一年一度的HW行动就要开始了，防守方进行的诸多准备中，防火墙策略的梳理检查和整改加固是重要的一项工作。

“防火墙策略管理”说起来容易做起来难，这项工作需要花费大量的人力和时间，在运营商行业尤其如此。原因在于以下几个难点：

1、防火墙设备数量多、品牌多；

2、安全区域多，防火墙部署在不同区域的边界；

3、安全策略多，核心防火墙有成百上千条策略；

4、策略涉及广，一条安全策略可能经过多个区域、涉及多台防火墙；

5、有些策略无据可查，随着人员变更无人认领。

但是“防火墙策略管理”又是不可或缺的，怎么把复杂变得简单？不妨来看看这场battle吧！

Round 1

某省运营商派出2名精兵强将，对两台核心防火墙的安全策略，进行梳理和有效性验证。他们需要梳理出策略台账，整改其中存在的无效、宽松、配置错误等问题策略。

经过半个月时间，效果却并不尽如人意。虽然2名“参赛选手”能力过硬，但面对黑黑屏幕上超过30万行的策略代码，还是难以完成。

Round 2

安博通派出自主研发的安全策略智能运维平台，同样对上述两台防火墙的安全策略进行梳理和验证。

半个小时后，就给出了最终结果：除了清晰的策略台账外，还发现其中存在一定比例的问题策略甚至风险策略。运营商专家逐条核对后，确认梳理结果无误。

两台防火墙共有近4000条策略，由于设备型号较陈旧，只能通过命令行形式梳理，而两台设备的命令行将近30万行。在半个月内审计如此之多的内容，对人工方式来说是巨大的挑战；但对防火墙策略管理产品却轻而易举，只需半小时即可完成。

要将半个月缩减为半小时，安博通的这三项能力必不可少：

1、跨厂商策略管理

为更好管理各类异构网络安全设备的安全策略，平台通过在线采集方式，定期抓取异构防火墙、路由交换、负载均衡、VPN等设备的策略配置文件和路由表信息。再通过归一化方式，解析存储到统一的安全策略模型中。最终实现各类访问控制策略的集中展示、查询、分析等相关功能，可兼容市面上95%以上的防火墙品牌。

因此，尽管两台防火墙型号陈旧，依然可以快速将30万行命令行还原为安全策略。

2、策略风险评估

策略开通或变更时，极易产生风险配置和不合规问题。平台预置大量的策略风险检测规则，覆盖配置不当、域间违规、高危端口开放等多个维度；根据安全域间访问控制规则，设置区域间的访问控制基线。针对安全策略的五元组信息进行合规性检查，帮助运维人员最大限度减少策略配置带来的安全风险。

通过预置规则发现策略中的问题策略和风险策略。在策略变更时，还可以提前进行风险评估，规避错误配置。

3、优化策略配置

防火墙由于日积月累、业务变更等原因形成了很多垃圾策略，防护效果随之降低。平台将配置文件中的安全策略与其他策略逐一比对分析，判断相互之间的包含与被包含关系，发现冗余策略、隐藏策略、可合并策略和过期策略等问题策略；通过字段分析，发现空策略、含ANY策略等风险策略，作为运维人员策略清理和优化的依据。保证访问控制规则数量最小化，提升设备运行效率。

清理问题策略，实现“策略清”，提升网络安全等级。

除这三项能力之外，安博通安全策略智能运维平台还通过策略变更自动化管理、攻击面评估与收敛等功能，持续保障安全策略的准确与合规。

产品目前已服务上海移动、河北移动、青海移动、江西电信、北京电信、江苏电信、湖北联通等运营商行业客户，并成功应用于政企、金融等行业，为千行百业持续创造网络安全业务新体验。