通过对目标防火墙设备的流量会话数据进行实时监控和分析，能够实现防火墙上每条安全策略在一段历史时间内命中流量总数的统计与呈现，同时可查看对应历史命中流量会话的数据详情。

是一种结合目标防火墙流量会话数据监控并通过量化分析，对目标防火墙上每条安全策略的宽松程度进行精确计算的分析方法。安全策略对应的策略收敛度值越小则策略越宽松，同时可以查看实际命中原子策略的流量会话数据详情。

策略列表加载策略命中与策略收敛度显示

策略命中主要是汇总分析经过防火墙的流量是否匹配了安全策略七元组。

• 通过部署流量探针，将防火墙出接口和入接口的流量全部镜像到流量探针设备；

• 策略可视化平台结合防火墙安全策略配置与路由配置（策略路由、静态路由、动态路由），计算出每条安全策略对应的有效策略集；

• 策略可视化平台定期将有效策略集作为查询条件，在流量探针中检索五元组一致的流量会话信息并进行汇聚和统计；

• 流量探针将汇聚和统计结果返回至策略可视化平台，并在Web页面上进行呈现与下载。

策略命中流量会话数据详情

策略收敛在策略命中的基础上，进一步分析每条安全策略的实际命中原子策略数占整个安全策略原子策略数的比值。

• 每条安全策略对应的有效策略集包含了该安全策略所有可能存在的情况，即最大原子策略集，假设有N种；

• 通过命中分析结果，假设实际流量命中的最小策略原子种类数量为n；

• 策略收敛度 CA = ( n / N ) * 100% .

流量探针部署示意图

策略收敛分析中有效策略列表

1、借助流量探针并基于防火墙实际流量进行统计分析，实现对异构防火墙设备安全策略命中与收敛分析，有效提高安全策略梳理和优化检查的工作效率与准确性；

2、结合策略命中报告，根据策略命中数量大小调整安全策略的优先级，提升防火墙运行效率；

3、通过策略命中与策略收敛分析，快速找出长期无用策略和宽松策略，并针对性进行删除和缩紧，以实现安全策略最小化原则，从而提升全网整体安全防御能力。