策略冗余分析

特性简介

安全策略冗余分析可以通过分析安全策略中的过滤条件识别出冗余的策略，从而有利于达到精简策略的目的。过滤条件具体包括：源安全域、目的安全域、源IP/MAC地址、目的IP地址、用户、应用、URL分类、终端、服务、VRF和时间段。

设备会将高优先级的策略依次与低优先级的策略进行遍历比较，只要符合以下两种情况的任意一种，则认定为冗余：

• 所有过滤条件完全相同的安全策略，则低优先级的安全策略会被认定为冗余。

• 安全策略A的所有过滤条件被安全策略B完全包含，且安全策略A的优先级低于安全策略B，则安全策略A会被认定为冗余。

策略冗余分析可以在没有流量经过设备时进行分析，因此该功能可以在安全策略配置完成后立即进行。在冗余分析结果中修改安全策略配置后，设备会自动再次进行策略冗余分析，以便使冗余分析结果更加准确。

使用限制和注意事项

• 此功能仅对处于生效状态的安全策略进行冗余分析。

• 安全策略冗余分析功能，每次最多只能分析出一百条冗余的安全策略。若设备上冗余的安全策略大于一百条，请先修改已分析出冗余的策略，然后再重新进行策略冗余分析。

• 安全策略配置很多时，使用安全策略冗余分析功能时，将会消耗较多的CPU资源，建议在业务量较低时使用。

配置指南

配置准备

在配置本特性之前，需要完成以下任务：

配置接口IP地址。接口在“网络 > 接口与VRF > 接口”页面配置。

配置路由，保证路由可达。路由在“网络 > 路由”页面配置。

创建安全域。安全域在“网络 > 安全域”页面配置。

配置接口加入安全域。可在安全域页面添加接口，也可在接口页面选择接口所属的安全域。

配置安全策略，放行业务流量。安全策略在“策略 > 安全策略”页面配置。

安全策略冗余分析

通过对现有的安全策略进行分析，从而有利于达到精简策略的目的，消除安全策略中的重复或多余部分，以提升系统的效率和安全性。

1. 选择“策略 > 安全策略 > 策略冗余分析”。

2. 在“策略冗余分析”页面，单击<开始分析>按钮，进行策略冗余分析。

   图-1 开启策略冗余分析

   

3. 策略冗余分析完成后，可以在“策略冗余分析”页面查看冗余分析结果，冗余分析结果会按照安全策略的优先级由上到下显示与之存在冗余的安全策略。

   图-2 冗余的安全策略

   

4. 根据冗余分析结果，可以对冗余的安全策略做如下两种操作：

   • 若确定安全策略需要继续保留，则单击目标安全策略右侧的<编辑>按钮，进行修改即可。

     图-3 修改安全策略

     

   • 若确定安全策略不需要保留，则选中目标安全策略后，单击<删除>按钮，进行删除即可。

     图-4 删除安全策略