随着业务的深入，防火墙策略的管理一直是运维环节中管理员最为头疼的问题，多年运行、防火墙策略上线流程不完整、人员交接导致上千条的策略，这里面出现冗余、无效等“蜘蛛网”架构，甚至因为策略的繁杂导致设备性能下降，造成业务转发异常，业务故障，同时也给技术人员带来不敢碰的痛苦局面。

下面将从安全风险、优化场景及方案几个维度介绍如何解决策略管理问题。

一.防火墙策略安全风险列表

1.1 策略过于宽松

源地址any、目的地址any、目的端口any、any to any

检查动作为Permit的策略源地址对象、目的地址对象、端口对象任何一个对象中是否含有Any。

1.2 未启用或重叠的无效策略

检查策略是否启用、或者是默认策略放行拒绝全部或部分，其他策略被包含在默认策略类的重叠效果策略。

1.3 默认策略不是Deny All策略

检查防火墙默认策略源地址对象、目的地址对象、端口对象是否为any，同时动作为Permit。

1.4 高风险端口被全部放行

检查是否存在比如SSH 22、RDP 3389、MySQL数据库3306等高风险应用端口是否被放行发布到互联网上，如果发布了这些高风险端口，则会有很大的攻击风险。

1.5 源和目的对象相同无效策略

源地址对象和目的地址对象一致的策略。状态过滤防火墙不需要这样配置。

1.6 源和目的对象的IP地址范围过大

检查Permit的策略源地址对象、目的地址对象看是否为Class A、Class B、Class C或用户指定IP范围。

1.7 ACL端口范围过大或无效协议端口

检查Permit的策略端口对象中端口数量，用户可以指定端口数量多少（端口对象为any的策略除外）。

1.8 测试环境策略和生产环境策略混杂

在实际使用中，随意添加策略导致测试环境策略和生产环境策略混杂无法区分，时间久了无法管理。

二.防火墙策略优化场景

防火墙策略优化分为两类场景：

2.1.白名单策略模式

白名单策略模式指最后一条策略是Deny all，在这种场景下基本做到了按需开放策略，优化的目标主要是减少策略冲突、冗余策略，并分析策略使用情况。

2.2 可白又可黑模式

可白又可黑模式表示默认策略不是Deny all策略，可以同时设置为放行或拒绝策略，这种场景就比较复杂了，除了优化策略以外，还需要根据业务需求制定出未知的访问控制策略。

如何利用流量信息制定访问控制规则可以尝试以下方法？

对于线上生产环境，可以先调研资产和业务系统信息，在流量分析系统中导入资产和业务系统信息（其实就是防火墙中的源地址对象、目的地址对象），然后再以资产和业务系统IP出基于源地址、目的地址、目的端口的会话统计报表，这样就基本得出防火墙所需要配置的访问控制策略。注意，输出结果仅供参考，需要结合实际业务情况，考虑应用休眠期没有流量的情况。

一般建议在所有业务流量高峰期统计数据分析结果。

三.防火墙策略优化方法

以上简单的介绍常见遇到的实际管理问题，笔者在13年左右给运营商做防火墙策略优化咨询项目时，具体在实践中需要长时间的梳理，与各个应用负责人沟通交流调研，对业务摸底了解，才能慢慢收敛问题，规范管理防火墙策略，让防火墙精简简洁。当然在梳理的过程中，耗费了大量的人力和时间，也冒着业务的风险收敛策略。

四.关于策略流程管理

策略的管理本质上是流程规范化管理，建议从使用产品开始前流程好业务流程，从策略需求评估、上线、实施、回收删除与应用保持一致的生命周期进行平台化进行管理，目前国外也有很多防火墙策略管理的厂商，主要有Algosec、Firemon、Skybox、Solarwinds，国内也有一些相关的安全管理平台（SMP）集成了策略变更相关流程类的管理功能，这些都是基于传统硬件设备支持和落地，云上环境可以按照以上建议方案进行人工梳理或者是开发管理平台实现自动化梳理管理策略。

防火墙策略申请模板样例：