防火墙安全策略介绍，防火墙安全策略功能入门？( 四 )

文章插图
调整阻断规则到放通规则之前，发现流量被阻断；查看命令配置，配置顺序被同步调整，规则编号没有变化。

文章插图
结论：安全策略的匹配顺序是按照显示顺序进行顺序匹配的。所以在配置时应当避免在第一条配置生效的any到any的放通策略，这样就失去了防火墙的功能；同时为了保证配置生效，新增精确规则时，建议调整精确规则到模糊规则的前面。
TEST4：策略冗余分析功能新版本的防火墙增加了安全策略冗余分析功能，可以通过分析安全策略中的过滤条件识别出冗余的策略，从而有利于达到精简策略的目的。过滤条件具体包括：源安全域、目的安全域、源IP/MAC地址、目的IP地址、用户、应用、服务、VRF和时间段等。
设备会将高优先级的策略依次与低优先级的策略进行遍历比较，只要符合以下两种情况的任意一种，则认定为冗余：
·所有过滤条件完全相同的安全策略，则低优先级的安全策略会被认定为冗余；
·安全策略A的所有过滤条件被安全策略B完全包含，且安全策略A的优先级低于安全策略B，则安全策略A会被认定为冗余。
策略冗余分析可以在没有流量经过设备时进行分析，因此该功能可以在安全策略配置完成后立即进行。在冗余分析结果中修改安全策略配置后，设备会自动再次进行策略冗余分析，以便使冗余分析结果更加准确。
点击”开始分析”，结果显示出两条安全策略。按照过滤条件，配置的规则中只符合源安全域和目的安全域两个条件，符合第二种情况，可以参考域间策略优先级，any到B和any到any的策略被提示冗余。

文章插图
不过这个功能一般用不到，因为平时最多不过配置几十条策略，使用这个功能的分析结果较大概率与实际需求不匹配。
TEST5：策略命中分析功能新版本的防火墙还增加了安全策略命中分析功能，可以分析出指定时间段内的安全策略是否被命中过，并将未命中的安全策略按照从高到低的优先级顺序进行呈现，以帮助管理员对设备上的安全策略进行深度分析和处理。
只要符合如下两种情况中的任意一种，则认为策略未命中：
·流量不符合安全策略的过滤条件；
·安全策略之间存在深度冗余，例如IP地址和用户的冗余、应用和服务的冗余等。这样会由于高优先级的策略被命中，而导致低优先级的策略未命中。
可看到分析出两条策略，命中结果均为未命中。

文章插图
但是实际使用场景中用处不大，不比在策略配置中开启策略匹配统计，在安全策略中查看命中次数来的只关一点。
【防火墙安全策略介绍，防火墙安全策略功能入门？】 好了，这篇文章的内容蜀川号就和大家分享到这里！