hcie-備考指南安全策略

1、目錄HCIE-Security 安全策略需要掌握的知識(shí)點(diǎn)1安全策略簡(jiǎn)介1安全原理描述.安全策略配置指導(dǎo).配置安全策略1策略冗余分析1策略命中分析1應(yīng)用風(fēng)險(xiǎn)調(diào)優(yōu)0舉例：配置安全策略.HCIE-Security 模擬面試問題及面試建議.HCIE-Security 備考指南 NAT 策略HCIE-Security 安全策略需要掌握的知識(shí)點(diǎn)n描述的安全策略原理及功能n描述的智能安全策略工作原理安全策略簡(jiǎn)介介紹下一代安全策略的定義和特點(diǎn)。如圖 1 所示，安全策略是控制設(shè)備對(duì)流量轉(zhuǎn)發(fā)以及對(duì)流量進(jìn)行內(nèi)容安全檢測(cè)的策略。圖 1 下一代的安全策略設(shè)備能夠識(shí)別出流量的屬性，并將流量的屬性與安全策略的條件進(jìn)行匹配。

2、如果所有條件都匹配，則此流量成功匹配安全策略。流量匹配安全策略后，設(shè)備將會(huì)執(zhí)行安全策略的動(dòng)作。如果動(dòng)作為“允許”，則對(duì)流量進(jìn)行內(nèi)容安全檢測(cè)。如果內(nèi)容安全檢測(cè)也通過，則允許流量通過；如果內(nèi)容安全檢測(cè)沒有通過，則流量通過。如果動(dòng)作為“”，則流量通過。內(nèi)容安全檢測(cè)是指使用設(shè)備的智能感知引擎對(duì)一條流量的內(nèi)容只進(jìn)行一次檢測(cè)和處理，就能實(shí)現(xiàn)包括反、防御、URL 過濾、文件過濾、內(nèi)容過濾、應(yīng)用行為控制、郵件過濾在內(nèi)的內(nèi)容安全功能。1由于檢測(cè)的高效性，我們往往可以通過配置較寬泛的安全策略條件來匹配一類流量，然后再通過各種內(nèi)容安全功能來保證。安全原理描述安全策略實(shí)現(xiàn)了基于用戶和應(yīng)用的流量轉(zhuǎn)發(fā)控制，而且還可以對(duì)流

3、量的內(nèi)容進(jìn)行安全檢測(cè)和處理。傳統(tǒng)的濾傳統(tǒng)根據(jù)五元組（源地址、目的地址、源端口、目的端口、協(xié)議類型）的濾規(guī)則來控制流量在安全區(qū)域間的轉(zhuǎn)發(fā)。如圖 1 所示，如果希望只有市場(chǎng)部的主機(jī)（/網(wǎng)段）能夠?yàn)g覽 Internet 網(wǎng)頁，則需要在 Trust 和 Untrust 區(qū)域間配置源地址為 /、目的地址為 any、協(xié)議為 HTTP（或目的端口為 0）、動(dòng)作為允許的濾規(guī)則。圖 1 傳統(tǒng)的濾傳統(tǒng)的濾反映了傳統(tǒng)網(wǎng)絡(luò)的特點(diǎn)，但隨著互聯(lián)網(wǎng)技術(shù)的不斷發(fā)展，網(wǎng)絡(luò)對(duì)有了新的需求。傳統(tǒng)網(wǎng)絡(luò)與網(wǎng)絡(luò)特點(diǎn)的對(duì)比如表 1 所示。表 1 傳統(tǒng)網(wǎng)絡(luò)與網(wǎng)絡(luò)對(duì)比傳統(tǒng)網(wǎng)絡(luò)的特點(diǎn)網(wǎng)絡(luò)特點(diǎn)用戶等于 IP（例如市場(chǎng)部

4、=/），用戶的區(qū)分只能通過網(wǎng)段或安全區(qū)域的劃分來實(shí)現(xiàn)。如果用戶的 IP 地址不固定，則無法將用戶與 IP 地址關(guān)聯(lián)。企業(yè)管理者希望將用戶與 IP 地址動(dòng)態(tài)關(guān)聯(lián)起來，從而能夠以可視化方式查看用戶的活動(dòng)，根據(jù)用戶信息來 審計(jì)和控制穿越網(wǎng)絡(luò)的應(yīng)用程序和內(nèi)容。針對(duì)網(wǎng)絡(luò)的特點(diǎn)，越來越需要用戶與應(yīng)用的識(shí)別能力，以確保流量控制更精細(xì)、更可視；同時(shí)防火墻還需要對(duì)流量的內(nèi)容進(jìn)行安全檢測(cè)與處理。下一代的安全策略下一代的安全策略不僅可以完全替代濾的功能，還進(jìn)一步實(shí)現(xiàn)了基于用戶和應(yīng)用的流量轉(zhuǎn)發(fā)控制，而且還可以對(duì)流量的內(nèi)容進(jìn)行安全檢測(cè)和處理。下一代的安全策略可以更好的適應(yīng)網(wǎng)絡(luò)的特點(diǎn)，滿足網(wǎng)絡(luò)的需求。，制定

5、安全策略 1 可以市場(chǎng)部的用戶使用 IM 和應(yīng)用，制定安全策略 允許市場(chǎng)部的用戶瀏覽 Internet 網(wǎng)頁并且對(duì)瀏覽的內(nèi)容進(jìn)行檢測(cè)，防止和的。默認(rèn)安全策略會(huì)研發(fā)部員工訪問 Internet。圖 下一代的安全策略表 1 傳統(tǒng)網(wǎng)絡(luò)與網(wǎng)絡(luò)對(duì)比傳統(tǒng)網(wǎng)絡(luò)的特點(diǎn)網(wǎng)絡(luò)特點(diǎn)應(yīng)用等于端口，例如瀏覽網(wǎng)頁的端口為 0，F(xiàn)TP 的端口為 1。如果想允許或限制某種應(yīng)用，直接允許或禁用端口就能解決問題。大多數(shù)應(yīng)用集中在少數(shù)端口（例如 0 和），應(yīng)用程 序越來越 Web 化（例如 Web、Web Mail）。允許訪問 0 端口將不僅僅是允許瀏覽 Internet 網(wǎng)頁，同時(shí)也可使用多種多樣的基于網(wǎng)頁的應(yīng)用程序。網(wǎng)絡(luò)是黑白

6、分明的，只有安全和不安全之分，即要么是 安全的應(yīng)用，要么是不安全的應(yīng)用。對(duì)于不安全的應(yīng)用 全部拒絕即可， 影響正常業(yè)務(wù)。正常的應(yīng)用程序常常會(huì)伴隨不安全的流量。網(wǎng)絡(luò)由傳統(tǒng)的單包轉(zhuǎn)為木馬等信息竊取技術(shù)，應(yīng)用和數(shù)據(jù)庫存在大量的風(fēng)險(xiǎn)。與圖 1 的傳統(tǒng)安全策略相比，下一代的安全策略體現(xiàn)了以下優(yōu)勢(shì)：能夠通過“用戶”來區(qū)分不同部門的員工，使網(wǎng)絡(luò)的管理更加靈活和可視。能夠有效區(qū)分協(xié)議（例如 HTTP）承載的不同應(yīng)用（例如網(wǎng)頁 IM、網(wǎng)頁等），使網(wǎng)絡(luò)的管理更加精細(xì)。能夠通過安全策略實(shí)現(xiàn)內(nèi)容安全檢測(cè)，阻斷、等的，更好的保護(hù)內(nèi)部網(wǎng)絡(luò)。下一代安全策略處理流程下一代（N）的安全策略處理流程。圖 下一代安全策略的處理流程

7、流量通過 N時(shí)，安全策略的處理流程如下：1.N會(huì)對(duì)收到的流量進(jìn)行檢測(cè)，檢測(cè)出流量的屬性，包括：源安全區(qū)域、目的安全區(qū)域、源地址/地區(qū)、目的地址/地區(qū)、用戶、服務(wù)（源端口、目的端口、協(xié)議類型）、應(yīng)用和時(shí)間段。.N將流量的屬性與安全策略的條件進(jìn)行匹配。如果所有條件都匹配，則此流量成功匹配安全策略。如果其中有一個(gè)條件不匹配，則繼續(xù)匹配下一條安全策略。以此類推，如果所有安全策略都不匹配，則N會(huì)執(zhí)行缺省安全策略的動(dòng)作（默認(rèn)為“”）。.如果流量成功匹配一條安全策略，N將會(huì)執(zhí)行此安全策略的動(dòng)作。如果動(dòng)作為“”，則 N會(huì)阻斷此流量。如果動(dòng)作為“允許”，則 N會(huì)判斷安全策略是否了安全配置文件。如果了安全配置文件

8、，則繼續(xù)進(jìn)行步驟 的處理；如果沒有安全配置文件，則允許此流量通過。.如果安全策略的動(dòng)作為“允許”且了安全配置文件，則 N會(huì)對(duì)流量進(jìn)行內(nèi)容安全的檢測(cè)。檢測(cè)是指根據(jù)安全配置文件的條件對(duì)流量的內(nèi)容進(jìn)行一次檢測(cè)，根據(jù)檢測(cè)的結(jié)果執(zhí)行安全配置文件的動(dòng)作。如果其中一個(gè)安全配置文件阻斷此流量，則 N阻斷此流量。如果所有的安全配置文件都允許此流量轉(zhuǎn)發(fā)，則 N允許此流量轉(zhuǎn)發(fā)。，與傳統(tǒng) UTM在每個(gè) UTM 模塊（AV、IPS、URL 過濾）都進(jìn)行內(nèi)容檢測(cè)相比，下一代防火墻只進(jìn)行一次檢測(cè)和處理，系統(tǒng)性能大幅度提升。另外，N的所有內(nèi)容安全功能都可以通過安全策略安全配置文件實(shí)現(xiàn)，真正做到了配置的一體化，降低了配置難度。

9、圖 傳統(tǒng) UTM與下一代的對(duì)比表 安全配置文件功能安全配置文件功能反反特性可以對(duì)網(wǎng)絡(luò)中傳輸?shù)奈募M(jìn)行檢測(cè)和處理，避免由引起的數(shù)據(jù)破壞、系統(tǒng)等情況發(fā)生，保證內(nèi)部。 防御防御通過比較流量?jī)?nèi)容與防御特征庫來實(shí)現(xiàn)檢測(cè)，有效防御來自應(yīng)用層的，例如緩沖區(qū)溢出、木馬、后門、蠕蟲等。URL 過濾URL 過濾可以對(duì)用戶的 URL 請(qǐng)求進(jìn)行管控，允許或用戶某些網(wǎng)頁，達(dá)到規(guī)范上網(wǎng)行為的目的。文件過濾文件過濾通過阻斷特定類型的文件傳輸，能夠降低內(nèi)部網(wǎng)絡(luò)執(zhí)行代碼和的風(fēng)險(xiǎn)，還能防止員工將公司文件泄漏到互聯(lián)網(wǎng)。內(nèi)容過濾內(nèi)容過濾可以阻斷包含特定關(guān)鍵字的流量，防止信息的泄露及敏感信息的傳輸。應(yīng)用行為控制應(yīng)用行為控制可以管理內(nèi)網(wǎng)

10、用戶的 HTTP 和 FTP 行為，包括：瀏覽網(wǎng)頁、發(fā)帖、上網(wǎng)、上傳和等行為。郵件過濾郵件過濾可以對(duì)郵件收為進(jìn)行管控，包括防止郵件和郵件泛濫，控制收發(fā)等。安全策略可以的安全配置文件及其功能如表 所示。安全配置文件的搭配使用合理搭配使用安全配置文件既可以實(shí)現(xiàn)強(qiáng)大的內(nèi)容安全防護(hù)功能，又可以避免系統(tǒng)的浪費(fèi)。下面介紹一些安全配置文件搭配使用的技巧，如表 所示。表 安全配置文件搭配使用功能作用安全配置文件服務(wù)器防護(hù)保證提供對(duì)外的服務(wù)器免受和入侵行為的危害。 反：對(duì)傳輸?shù)椒?wù)器的文件進(jìn)行檢測(cè)和處理。 防御：防御對(duì)服務(wù)器的應(yīng)用層攻擊。 文件過濾：保護(hù)文件服務(wù)器和 Web服務(wù)器。 郵件過濾：保護(hù)郵件服務(wù)器。W

11、eb防護(hù)保證內(nèi)網(wǎng)用戶Web和文件時(shí)免受和行為的危害。 URL 過濾：過濾掉和網(wǎng)站，降低和受到的風(fēng)險(xiǎn)。 反：阻斷 Web時(shí)的下載。 防御：阻斷 Web時(shí)的行為。數(shù)據(jù)泄露防護(hù)防止公司的信息泄露到 Internet，保證公司的。 文件過濾：阻斷員工向外 公司核心類型的文件，降低 信息泄露的風(fēng)險(xiǎn)。安全策略配置指導(dǎo)介紹如何選擇合適的方式配置安全策略。對(duì)業(yè)務(wù)比較熟悉的管理員可以通過前期的合理規(guī)劃，完成安全策略的配置。當(dāng)面對(duì)未知的網(wǎng)絡(luò)流量或?qū)?yīng)用自身存在的風(fēng)險(xiǎn)不了解，可以采用智能策略（Smart Policy）進(jìn)行輔助配置。安全策略的總體配置流程如圖 1 所示。圖 1 安全策略的總體配置流程表 安全配置文件

12、搭配使用功能作用安全配置文件 內(nèi)容過濾：對(duì)員工向外的文件的內(nèi)容進(jìn)行過濾，防止信息的泄 露。郵件防范防止郵件造成服務(wù)器和網(wǎng)絡(luò)的浪費(fèi)。 郵件過濾：郵件過濾中的 郵件過濾功能可以有效的過濾來自 郵件服務(wù)器的郵件。 內(nèi)容過濾：分析出 郵件內(nèi)容中常見的關(guān)鍵字，通過內(nèi)容過濾功能過濾掉包含 郵件關(guān)鍵字的郵件。在首次配置安全策略時(shí)，管理員可以根據(jù)自身對(duì)網(wǎng)絡(luò)流量或及應(yīng)用屬性的掌握程度，靈活選擇配置方式。對(duì)于比較熟悉網(wǎng)絡(luò)中的流量構(gòu)成并知曉可能存在哪些安全風(fēng)險(xiǎn)的管理員，可以通過安全策略常規(guī)配置思路，對(duì)安全策略進(jìn)行規(guī)劃；在完成規(guī)劃后，參考安全策略章節(jié)完成配置。對(duì)于不熟悉網(wǎng)絡(luò)中的流量構(gòu)成以及對(duì)各種應(yīng)用自身隱含的風(fēng)險(xiǎn)也了

13、解很少的管理員，通過參考配置安全策略章節(jié)，先配置基本安全策略，例如配置較為寬泛的匹配條件，這樣可以為后續(xù)的分析提供數(shù)據(jù)基礎(chǔ)；之后再根據(jù)智能策略的分析結(jié)果進(jìn)一步調(diào)整到細(xì)化的策略。在維護(hù)周期內(nèi)，管理員既可以根據(jù)實(shí)際情況手動(dòng)調(diào)整安全策略，也可以通過智能策略動(dòng)態(tài)維護(hù)安全策略。常規(guī)配置方式和智能策略并非完全存在。通過常規(guī)的安全策略配置方法和智能策略結(jié)合使用，既能減輕管理員的工作量，又可以借助雙重保證網(wǎng)絡(luò)的安全性。安全策略常規(guī)配置思路1.管理員應(yīng)首先明確需要?jiǎng)澐帜膸讉€(gè)安全區(qū)域，接口如何連接，分別加入哪些安全區(qū)域。例如：GE1/0/1 連接加入 Untrust 區(qū)域，GE1/0/ 連接服務(wù)器群加入 DMZ

14、區(qū)域，GE1/0/ 連接辦公網(wǎng)絡(luò)加入 Trust 區(qū)域。.管理員選擇根據(jù)“源地址”或“用戶”來區(qū)分企業(yè)員工?！霸吹刂贰边m用于 IP 地址固定或企業(yè)規(guī)模較小的情況。如果選擇根據(jù)“源地址”，則需要為不同部門的員工規(guī)劃 IP 和網(wǎng)段。例如研發(fā)員工的 IP 地址都規(guī)劃在 .1.0.0/網(wǎng)段，市場(chǎng)員工的 IP 地址都規(guī)劃在 .1.1.0/網(wǎng)段?！坝脩簟边m用于 IP 地址不固定且企業(yè)規(guī)模較大的情況。如果選擇根據(jù)“用戶”，則需要為每個(gè)員工定義一個(gè)“用戶”，為每個(gè)部門定義一個(gè)“用戶組”，并且將同一部門的“用戶”加入代表部門的“用戶組”。.先確定每個(gè)用戶組的權(quán)限，然后再確定特殊用戶的權(quán)限。包括用戶所處的源安全區(qū)

15、域和地址，用戶需要的目的安全區(qū)域和地址，用戶能夠使用哪些服務(wù)和應(yīng)用，用戶的網(wǎng)絡(luò)權(quán)限在哪些時(shí)間段生效等。如果想允許某種網(wǎng)絡(luò)，則配置安全策略的動(dòng)作為“允許”；如果想某種網(wǎng)絡(luò)，則配置安全策略的動(dòng)作為“”。例如：研發(fā)員工只能在非工作時(shí)間，且不能使用“”類別的應(yīng)用。市場(chǎng)員工可以在任何時(shí)間，但是不能使用“Game”子類別的應(yīng)用。管理者（特殊用戶）可以自由。.確定對(duì)哪些通過的流量進(jìn)行內(nèi)容安全檢測(cè)，進(jìn)行哪些內(nèi)容安全檢測(cè)。安全策略的匹配條件決定了對(duì)哪些流量進(jìn)行內(nèi)容安全檢測(cè)。例如對(duì)市場(chǎng)員工Internet 的 HTTP流量進(jìn)行內(nèi)容安全檢測(cè)。配置安全策略時(shí)哪些配置文件決定了進(jìn)行哪些內(nèi)容安全檢測(cè)。例如了反和內(nèi)容過濾配

16、置文件，就對(duì)匹配安全策略的流量進(jìn)行反和內(nèi)容過濾檢測(cè)。.將以上步驟規(guī)劃出的安全策略的參數(shù)一一列出，并將所有安全策略按照先精確（條件細(xì)化的、特殊的策略）再寬泛（條件為大范圍的策略）的順序排序。在配置安全策略時(shí)需要按照此順序進(jìn)行配置。如圖 中紅框所示，安全策略“policy_sec_management”的“用戶”參數(shù)比“policy_sec_1”更精確，因此需要先配置“policy_sec_management”。安全策略“policy_sec_1”的“應(yīng)用”參數(shù)比“policy_sec_”更精確，因此需要先配置“policy_sec_1”。圖 安全策略配置順序安全策略的常規(guī)配置流程 。由圖可見安

17、全策略中用到的參數(shù)都需要在配置安全策略前創(chuàng)建完成，包括：安全區(qū)域、用戶和認(rèn)證、對(duì)象和安全配置文件。圖 安全策略配置流程圖使用智能策略輔助配置迎來下一代之后，安全策略的邏輯變得十分復(fù)雜，管理員手動(dòng)調(diào)整安全策略不僅低效且容易出錯(cuò)，產(chǎn)生許多冗余無效的安全策略，不容易被發(fā)現(xiàn)；另外，由于應(yīng)用也會(huì)攜帶一些安全風(fēng)險(xiǎn)，導(dǎo)致許多安全策略本身存在安全隱患。這些問題給管理員帶來了新的管理，包含但不限于以下場(chǎng)景需求：精簡(jiǎn)安全策略，簡(jiǎn)化管理隨著企業(yè)業(yè)務(wù)的發(fā)展，為了持續(xù)保證安全性，企業(yè)管理員需要不斷調(diào)整策略，必然導(dǎo)致策略數(shù)量不斷增加，存在大量冗余、無效的策略。加之企業(yè)管理員很難判斷出哪些策略存在問題，即使判斷出來也因?yàn)閾?dān)

18、心影響業(yè)務(wù)不敢輕易調(diào)整。基于最小原則進(jìn)行管控最小原則是指僅允許企業(yè)業(yè)務(wù)必需的應(yīng)用，超出范圍的應(yīng)用必須額外申請(qǐng)。但面對(duì)數(shù)以千計(jì)的應(yīng)用，企業(yè)管理員通常不清楚如何將企業(yè)必需的應(yīng)用為設(shè)備已定義的應(yīng)用。目前，大部分使用下一代的企業(yè)通?；趹?yīng)用類別進(jìn)行應(yīng)用管控。例如，如果企業(yè)有對(duì)外即時(shí)通訊的需求，就會(huì)允許 IM類別的所有軟件。這種做法管理起來比較簡(jiǎn)單，卻引入了極大的安全隱患。因?yàn)闃I(yè)務(wù)需求之外的應(yīng)用很可能包含漏洞、攜帶代碼和后門程序，被者所利用；即使是業(yè)務(wù)必需的應(yīng)用，同樣也可能存在安全風(fēng)險(xiǎn)，應(yīng)該進(jìn)行防御、反、數(shù)據(jù)防泄漏等進(jìn)一步的安全防護(hù)。為了降低安全策略的管理成本，公司在下一代中提出智能策略，作為維護(hù)管理的

19、重要工具，滿足不同場(chǎng)景中的管理需求，可以迅速提升企業(yè)管理員的工作效率和維護(hù)質(zhì)量。智能策略提供以下實(shí)用的分析工具，協(xié)助企業(yè)管理員迅速完成配置和維護(hù)工作。策略冗余分析通過先進(jìn)的算法協(xié)助企業(yè)管理員識(shí)別完全相同和完全被包含的策略，為配置和維護(hù)提供有力參考。策略命中分析下一代可以分析出指定時(shí)間內(nèi)沒有命中的策略，企業(yè)管理員可以選擇修改或刪除安全策略，還原一個(gè)簡(jiǎn)潔易用的策略體系。應(yīng)用風(fēng)險(xiǎn)調(diào)優(yōu)由基于服務(wù)（端口）的安全策略向基于應(yīng)用的安全策略轉(zhuǎn)換，制定符合最小原則的安全策略。針對(duì)安全策略中應(yīng)用攜帶的風(fēng)險(xiǎn)進(jìn)行深度防護(hù)，如部署防御、反等措施進(jìn)一步保障企業(yè)信息安全。由于企業(yè)的網(wǎng)絡(luò)環(huán)境千變?nèi)f化，安全策略的時(shí)效性難以保證

20、，即企業(yè)管理員很難及時(shí)發(fā)現(xiàn)流量中包含的風(fēng)險(xiǎn)并對(duì)安全策略進(jìn)行相應(yīng)的調(diào)整。 ，企業(yè)管理員可以在的整個(gè)生命周期中循環(huán)使用智能策略的分析工具，從而提高安全策略的時(shí)效性，持續(xù)保護(hù)企業(yè)內(nèi)網(wǎng)安全。圖 智能策略使用周期1配置安全策略介紹安全策略的配置步驟。操作步驟1.選擇“策略 安全策略 安全策略”。.單擊“新建”。.可選：對(duì)于常見的辦公場(chǎng)景，設(shè)備預(yù)置了相應(yīng)的安全策略模板。管理員可以直接選擇合適的模板，設(shè)備會(huì)自動(dòng)配置相應(yīng)的應(yīng)用分類、時(shí)間段、動(dòng)作以及內(nèi)容安全防護(hù)措施。.配置安全策略規(guī)則的名稱和描述。.配置安全策略規(guī)則的匹配條件。1 如果配置了多條安全策略，會(huì)從上到下依次進(jìn)行匹配。如果流量匹配了某個(gè)安全策略，將不

21、再進(jìn)行下一個(gè)策略的匹配。所以需要先配置條件精確的策略，再配置寬泛的策略。說明：參數(shù)說明名稱輸入安全策略規(guī)則的名稱。名稱必須是唯一的，不能有重復(fù)的名稱。描述輸入安全策略規(guī)則的描述信息。合理填寫描述信息有助于管理員正確理解安 全策略規(guī)則的功能，使規(guī)則變得方便選擇、查找和維護(hù)。1 系統(tǒng)默認(rèn)存在一條缺省安全策略，如果流量沒有匹配到管理員定義的安全策略，就會(huì)命中缺省安 全策略（條件均為 any，動(dòng)作默認(rèn)為）。 每條策略中都包含了多個(gè)匹配條件，如安全區(qū)域、用戶、應(yīng)用等。流量只有與安全策略的每一個(gè)條件都匹配時(shí)，才認(rèn)為匹配了此安全策略。缺省情況下所有的條件均為 any，即所有流量均可以命中該策略。 如果一個(gè)匹

22、配條件中可以配置多個(gè)值，則這些值之間是或的關(guān)系。即只要匹配任意一個(gè)值，就可以認(rèn)為與該條件匹配。參數(shù)說明源安全區(qū)域源安全區(qū)域是指流量發(fā)出的安全區(qū)域。安全區(qū)域包括系統(tǒng)缺省存在和用戶自 定義的安全區(qū)域。目的安全區(qū)域目的安全區(qū)域是指流量去往的安全區(qū)域。安全區(qū)域包括系統(tǒng)缺省存在和用戶 自定義的安全區(qū)域。源地址/地區(qū)“源地址/地區(qū)”是指流量的源 IP 地址或 MAC 地址。當(dāng)安全策略使用“用戶” 時(shí)，“源地址/地區(qū)”可以無需配置。 地址和地址組：管理員可以指定一個(gè)單獨(dú)的 IP/MAC 地址或者 IP 地址范圍，還可以通過地址組來劃定不方便通過掩碼指定的 IP 地址范圍、MAC 地址集合。 地區(qū)和地區(qū)組：管

23、理員可以通過指定地區(qū)或地址地區(qū)組，將某些地區(qū) 的 IP 地址作為策略的匹配條件。配置時(shí)可以手動(dòng)輸入 IP/MAC 地址或者從下拉列表中選擇已有的地址對(duì)象。下拉列表中的地址對(duì)象包含如下幾類： 圖標(biāo)代表地址。 圖標(biāo)代表地址組。 或國(guó)旗圖標(biāo)代表地區(qū)，先顯示自定義地區(qū)再顯示預(yù)定義地區(qū)。地區(qū) 相當(dāng)于以地區(qū)為的 IP 地址集合。 圖標(biāo)代表地區(qū)組。說明：當(dāng)使用 MAC 地址作為策略匹配條件時(shí)，需注意： 如果 N與內(nèi)網(wǎng)之間直連或通過二層交換機(jī)相連，可以直接以 MAC地址作為匹配條件。 如果 N與內(nèi)網(wǎng)之間通過三層網(wǎng)絡(luò)設(shè)備相連，首先需要配置 N的跨三層 MAC 識(shí)別功能，再以 MAC 地址作為匹配條件。目的地址/

24、地區(qū)“目的地址/地區(qū)”是指流量的目的 IP 地址或 MAC 地址?！澳康牡刂?地區(qū)” 通常代表了用戶可以的目標(biāo)主機(jī)和服務(wù)器?！澳康牡刂?地區(qū)”的取值類型和配置方法同“源地址/地區(qū)”。用戶用戶是流量的所有者，代表了“誰”發(fā)出的流量。用戶組是一類具有相同權(quán) 限的用戶的集合。設(shè)備可以精確的識(shí)別出“用戶”，并通過此參數(shù)實(shí)現(xiàn)基于用戶的網(wǎng)絡(luò)行為控制 和網(wǎng)絡(luò)權(quán)限分配。.配置安全策略規(guī)則的動(dòng)作。選擇對(duì)匹配安全策略的流量進(jìn)行的控制動(dòng)作，包括：允許：如果動(dòng)作為允許，則設(shè)備會(huì)判斷安全策略是否了配置文件。如果沒有內(nèi)容安全配置文件，則允許符合條件的流量通過。如果了配置文件，則最終流量是否能夠通過還需要根據(jù)內(nèi)容安全檢測(cè)的

25、結(jié)果而定。：表示拒絕符合條件的流量通過。.配置安全策略內(nèi)容安全的配置文件。在這里可以選擇已經(jīng)創(chuàng)建的安全配置文件，還可以新建安全配置文件。各個(gè)配置文件的作用如下：1參數(shù)說明用戶和用戶組通常是企業(yè)組織結(jié)構(gòu)的體現(xiàn)。管理員可以根據(jù)企業(yè)的部門進(jìn)行 分層來創(chuàng)建用戶組（部門）和用戶。服務(wù)服務(wù)代表了流量的協(xié)議類型。服務(wù)包括預(yù)定義服務(wù)和自定義服務(wù)。 預(yù)定義服務(wù)是指系統(tǒng)缺省已經(jīng)存在，可以直接選擇的服務(wù)類型。預(yù)定 義服務(wù)通常都是知名協(xié)議，例如 HTTP、FTP、Telnet 等。 自定義服務(wù)是指管理員可以通過指定端等信息來自行定義一些協(xié)議類型。自定義服務(wù)包括三大類： 對(duì)于 TCP/UDP 報(bào)文，通過指定源端口和目的

26、端口來自定義協(xié)議類型。 對(duì)于 ICMP 報(bào)文，通過 ICMP 類型和代碼兩個(gè)字段來自定義協(xié)議類型。 對(duì)于 IP 報(bào)文，通過 IP 報(bào)文首部中的協(xié)議號(hào)來自定義協(xié)議類型。管理員還可以創(chuàng)建服務(wù)組，并在其中添加多種預(yù)定義服務(wù)和已經(jīng)創(chuàng)建的自定 義服務(wù)。應(yīng)用應(yīng)用是指流量的應(yīng)用類型。應(yīng)用的定義比服務(wù)更加細(xì)化一些，是指某一具體 的應(yīng)用程序。應(yīng)用包括預(yù)定義應(yīng)用和自定義應(yīng)用。 預(yù)定義應(yīng)用是指系統(tǒng)缺省已經(jīng)存在，可以直接選擇的應(yīng)用類型，例如BT、PPLive、Thunder 等。 自定義應(yīng)用是管理員根據(jù)應(yīng)用的特征去自定義的一個(gè)新的應(yīng)用，是預(yù) 定義應(yīng)用的補(bǔ)充。管理員還可以創(chuàng)建應(yīng)用組，并在其中添加多種預(yù)定義應(yīng)用和已經(jīng)創(chuàng)建

27、的自定 義應(yīng)用。時(shí)間段時(shí)間段可以控制安全策略的生效時(shí)間。時(shí)間段可以是周期時(shí)間段（每周五晚 上 1：00 至 ：00）和連續(xù)時(shí)間段（01/1晚上 1：00 至 01/晚上 1：00）。配置日志功能。.選中“策略命志”后，設(shè)備將匹配安全策略規(guī)則的流量的日志，即策略命志。選中“會(huì)話日志”后，設(shè)備將匹配安全策略規(guī)則的會(huì)話日志。配置會(huì)話老化時(shí)間。.在真實(shí)網(wǎng)絡(luò)環(huán)境中，會(huì)有一些特殊業(yè)務(wù)在長(zhǎng)時(shí)間內(nèi)沒有報(bào)文傳輸，這種情況下 N為了避免消耗性能會(huì)無用的會(huì)話連接。但在實(shí)際使用場(chǎng)景中又需要 N該連接狀態(tài)，避免正常的業(yè)務(wù)中斷（如數(shù)據(jù)庫服務(wù)），因此 N提供了基于策略的老化時(shí)間配置，保持特定的會(huì)話連接。配置自定義長(zhǎng)連接。.

28、該功能只針對(duì)匹配策略的 TCP 應(yīng)用報(bào)文生效。與“配置會(huì)話老化時(shí)間”相比，該功能提供了更為細(xì)的粒度管理（“配置會(huì)話老化時(shí)間”對(duì) TCP、UDP 應(yīng)用均生效），以及更長(zhǎng)時(shí)間的會(huì)話保持（“配置會(huì)話老化時(shí)間”只支持到秒級(jí)）。選中“自定義長(zhǎng)連接”對(duì)應(yīng)的“啟用”，開啟自定義長(zhǎng)連接功能，并配置長(zhǎng)連接時(shí)間。1說明：在會(huì)話表與長(zhǎng)連接中，詳細(xì)介紹了基于安全域間和服務(wù)集的會(huì)話老化時(shí)間配置方法，對(duì)于幾種配置并存參數(shù)說明反反特性可以對(duì)網(wǎng)絡(luò)中傳輸?shù)奈募M(jìn)行檢測(cè)和處理，避免由引起的數(shù)據(jù)破壞、系統(tǒng)等情況發(fā)生，保證內(nèi)部。 防御防御通過比較流量?jī)?nèi)容與防御特征庫來實(shí)現(xiàn)檢測(cè)，有效防御來自應(yīng)用層的，例如緩沖區(qū)溢出、木馬、后門、蠕蟲等

29、。URL 過濾URL 過濾可以對(duì)用戶的 URL 請(qǐng)求進(jìn)行控制，允許或用戶某些網(wǎng)頁，達(dá)到規(guī)范上網(wǎng)行為的目的。文件過濾文件過濾通過阻斷特定類型的文件傳輸，可以降低內(nèi)部網(wǎng)絡(luò)執(zhí)行代碼和的風(fēng)險(xiǎn)，還可以防止員工將公司文件泄漏到互聯(lián)網(wǎng)。內(nèi)容過濾內(nèi)容過濾可以阻斷包含特定關(guān)鍵字的流量，防止信息的泄露及敏感信息的傳輸。應(yīng)用行為控制應(yīng)用行為控制可以管理內(nèi)網(wǎng)用戶的 HTTP 和 FTP 行為，包括：瀏覽網(wǎng)頁、發(fā)帖、上網(wǎng)、上傳和等行為。郵件過濾郵件過濾可以對(duì)郵件收為進(jìn)行管控，包括防止郵件和郵件泛濫，控制收發(fā)等。.單擊“確定”，完成安全策略的配置。1.單擊界面右上角的“保存”，在彈出的框中單擊“確定”。1.可選：?jiǎn)螕艚缑?/p>

30、右上角的“提交”，在彈出的框中單擊“確定”。對(duì)以下內(nèi)容安全的配置文件進(jìn)行新建、修改和刪除操作時(shí)，需要使用“提交”使之生效，進(jìn)而保證其的安全策略也生效。 防御URL 過濾文件過濾內(nèi)容過濾郵件過濾策略冗余分析介紹策略冗余分析工具的使用方法。背景信息策略冗余分析工具可以識(shí)別出冗余策略，從而達(dá)到精簡(jiǎn)安全策略的目的。設(shè)備會(huì)分析安全策略中除地區(qū)以外的所有匹配條件，包括：源安全區(qū)域目的安全區(qū)域源地址目的地址用戶1的情況，其優(yōu)先級(jí)關(guān)系如下所示：基于策略的自定義長(zhǎng)連接 基于安全域間的自定義長(zhǎng)連接 基于策略的老化時(shí)間 基于服務(wù)集的老化時(shí)間服務(wù)應(yīng)用時(shí)間段設(shè)備會(huì)將高優(yōu)先級(jí)的策略依次與低優(yōu)先級(jí)的策略進(jìn)行遍歷比較，如果符

31、合以下兩種情況的任意一種便會(huì)認(rèn)定為完全冗余，并列出分析結(jié)果幫助管理員進(jìn)一步分析處理。所有匹配條件完全相同的安全策略，則低優(yōu)先級(jí)的安全策略會(huì)被認(rèn)定為完全冗余。安全策略 A 的所有匹配條件被安全策略 B 完全包含，并且該安全策略 A 的優(yōu)先級(jí)低于安全策略 B，則安全策略 A 會(huì)被認(rèn)定為完全冗余。策略冗余分析可以在沒有流量經(jīng)過設(shè)備時(shí)進(jìn)行靜態(tài)分析，因此該分析可以在配置安全策略后立即開始。缺省的 default 策略不參與策略冗余分析。安全策略中的安全策略配置文件分析對(duì)象，即只關(guān)注安全策略中的匹配條件和動(dòng)作。策略冗余分析1.選擇“策略 安全策略 策略冗余分析”。.單擊“開始分析”。如下圖所示，冗余分析結(jié)

32、果會(huì)按照安全策略的優(yōu)先級(jí)由上到下顯示與之存在冗余的安全策略。1說明：設(shè)備只對(duì)動(dòng)作相同的安全策略做冗余分析。處理建議由于安全策略是由上至下匹配命中的，也就是說排名越靠前的策略地位越重要，影響越大。因此在處理冗余策略時(shí)，建議也按照這個(gè)順序進(jìn)行。根據(jù)企業(yè)的實(shí)際情況，企業(yè)管理員可以選擇修改或刪除冗余的安全策略。若確認(rèn)安全策略應(yīng)為繼續(xù)保留，只需要進(jìn)行修改，可以單擊策略名稱或單擊對(duì)應(yīng)的，進(jìn)入修改安全策略頁面。若確認(rèn)安全策略確實(shí)存在冗余關(guān)系，可勾選安全策略對(duì)應(yīng)的復(fù)選框，將該策略刪除。調(diào)整完冗余的安全策略后，與其相關(guān)的分析結(jié)果會(huì)自動(dòng)刷新。策略命中分析介紹策略命中分析工具的使用方法。背景信息由于命中分析結(jié)果與策

33、略的匹配命中強(qiáng)相關(guān)，因此在進(jìn)行命中分析前，請(qǐng)盡量讓設(shè)備正常運(yùn)行（有流量經(jīng)過）一段時(shí)間，以保證分析結(jié)果會(huì)更準(zhǔn)確、全面。如果符合以下兩種情況的任意一種便會(huì)認(rèn)定為未命中，并列出分析結(jié)果幫助管理員進(jìn)一步分析處理。實(shí)際流量不滿足安全策略的匹配條件。存在深度冗余，例如 IP 地址和用戶的冗余、服務(wù)和應(yīng)用的冗余。由于高優(yōu)先級(jí)策略先命中，導(dǎo)致低優(yōu)先級(jí)的策略未命中。缺省的 default 策略不參與策略命中分析。策略命中分析1.選擇“策略 安全策略 策略命中分析”。.設(shè)備會(huì)自動(dòng)開始分析，并按照安全策略優(yōu)先級(jí)順序呈現(xiàn)分析結(jié)果，如下圖所示。1說明：可以通過“刷新”按鈕實(shí)時(shí)刷新分析結(jié)果。設(shè)備缺省顯示當(dāng)天（“今天”）的

34、策略命中分析結(jié)果，另外，“最近 天”、“最近一周”和“最近一個(gè)月”的策略命中分析結(jié)果，在界面的右上角以供選擇。 “今天”的分析結(jié)果至少需要在流量經(jīng)過設(shè)備后 1 分鐘。 “最近天”、“最近一周”和“最近一個(gè)月”的分析結(jié)果至少需要在流量經(jīng)過設(shè)備后 1 個(gè)小時(shí)。處理建議由于安全策略是由上至下匹配命中的，也就是說排名越靠前的策略地位越重要，影響越大。因此在處理未命中的策略時(shí)，建議也按照這個(gè)順序進(jìn)行。根據(jù)企業(yè)的實(shí)際情況，企業(yè)管理員可以選擇修改或刪除未命中的策略。若確認(rèn)安全策略應(yīng)為繼續(xù)保留，只需要進(jìn)行修改，可以點(diǎn)擊策略名稱，進(jìn)入修改安全策略頁面。若確認(rèn)安全策略不需要保留，可勾選安全策略對(duì)應(yīng)的復(fù)選框，將該策

35、略刪除。調(diào)整完未命中的安全策略后，與其相關(guān)的分析結(jié)果會(huì)自動(dòng)刷新。應(yīng)用風(fēng)險(xiǎn)調(diào)優(yōu)0說明：分析結(jié)果的維度不同，所需要的時(shí)間也不同：介紹應(yīng)用風(fēng)險(xiǎn)調(diào)優(yōu)工具的使用方法。前提條件在設(shè)備上已配置寬泛的安全策略，例如較大的 IP 地址范圍等，總之盡可能讓所有必要流量通過，并穩(wěn)定運(yùn)行足夠的時(shí)間。在運(yùn)行過程中，應(yīng)盡可能還原企業(yè)日常中網(wǎng)絡(luò)環(huán)境，使通過的流量多樣化。背景信息應(yīng)用風(fēng)險(xiǎn)調(diào)優(yōu)能夠解決如下問題：識(shí)別安全策略中包含的應(yīng)用類別，將基于服務(wù)（端口）的安全策略轉(zhuǎn)換為基于應(yīng)用的安全策略。識(shí)別安全策略中包含的應(yīng)用風(fēng)險(xiǎn)，并對(duì)相應(yīng)的風(fēng)險(xiǎn)進(jìn)行深度防護(hù)，即在安全策略中配置防御、反病毒等配置文件。N的智能感知引擎為常用應(yīng)用定義了相應(yīng)

36、的風(fēng)險(xiǎn)類型，而對(duì)于各類風(fēng)險(xiǎn)類型提供了相應(yīng)的防護(hù)措施，即內(nèi)容安全，風(fēng)險(xiǎn)類型和防護(hù)措施的對(duì)應(yīng)關(guān)系如表 1 所示。對(duì)于安全類風(fēng)險(xiǎn)和泄漏類風(fēng)險(xiǎn)系統(tǒng)提供了相應(yīng)的防護(hù)措施。對(duì)于辦公效率下降類風(fēng)險(xiǎn)，可參考帶寬管理章節(jié)對(duì)相應(yīng)的應(yīng)用進(jìn)行帶寬控制，或在安全策略中此類應(yīng)用。1說明：設(shè)備對(duì)動(dòng)作為“”的策略進(jìn)行應(yīng)用風(fēng)險(xiǎn)調(diào)優(yōu)，即只針對(duì)存在安全風(fēng)險(xiǎn)隱患（動(dòng)作為“允許”）的安全策略進(jìn)行應(yīng)用風(fēng)險(xiǎn)調(diào)優(yōu)。表 1 風(fēng)險(xiǎn)類型和防護(hù)措施的對(duì)應(yīng)關(guān)系風(fēng)險(xiǎn)分類風(fēng)險(xiǎn)類型防護(hù)措施安全類風(fēng)險(xiǎn)可被利用、承載軟件、具有躲避特征防御、反、URL 過濾泄漏類風(fēng)險(xiǎn)隧道協(xié)議、造成數(shù)據(jù)泄漏文件過濾、內(nèi)容過濾辦公效率下降類風(fēng)險(xiǎn)造成工作效率下降、消耗網(wǎng)絡(luò)帶寬帶寬控制

37、或禁用該應(yīng)用說明：應(yīng)用風(fēng)險(xiǎn)調(diào)優(yōu)只分析允許通過的流量，因此在配置寬泛的安全策略時(shí)，請(qǐng)將命中安全策略的關(guān)鍵流量的 動(dòng)作設(shè)置為“允許”。應(yīng)用風(fēng)險(xiǎn)分析1.選擇“策略 安全策略 應(yīng)用風(fēng)險(xiǎn)調(diào)優(yōu)”。.設(shè)備會(huì)自動(dòng)開始分析，并呈現(xiàn)分析結(jié)果，如圖 1 所示。圖 1應(yīng)用風(fēng)險(xiǎn)分析設(shè)備缺省顯示“最近一個(gè)月”的應(yīng)用風(fēng)險(xiǎn)分析結(jié)果，另外，“今天”、“最近天”和“最近一周”的應(yīng)用風(fēng)險(xiǎn)分析結(jié)果，在界面的右上角以供選擇。“今天”的分析結(jié)果至少需要在流量經(jīng)過設(shè)備后 1 分鐘。“最近天”、“最近一周”和“最近一個(gè)月”的分析結(jié)果至少需要在流量經(jīng)過設(shè)備后 1 個(gè)小.分析結(jié)果中各項(xiàng)信息如表 所示。時(shí)。 使用界面右上角的“只顯示未處理”，分析

38、結(jié)果中將會(huì)過濾掉狀態(tài)為“已處理”的安全策略，只顯示狀態(tài)為“未處理”的安全策略，可以讓企業(yè)管理員聚焦于調(diào)優(yōu)動(dòng)作。 分析結(jié)果的維度不同，所需要的時(shí)間也不同：說明：說明：可以通過“刷新”按鈕實(shí)時(shí)刷新分析結(jié)果。處理建議設(shè)備提供“按調(diào)優(yōu)建議批量處理”和逐條策略的“調(diào)優(yōu)處理”，前者遵循通用的安全策略調(diào)優(yōu)規(guī)則，較為方便快捷，但由于企業(yè)的網(wǎng)絡(luò)環(huán)境千差萬別，設(shè)備也提供了針對(duì)每條策略單獨(dú)進(jìn)行“調(diào)優(yōu)處理”，在調(diào)優(yōu)界面配置調(diào)優(yōu)細(xì)則，在實(shí)際應(yīng)用中會(huì)更為可靠。下面以調(diào)優(yōu)界面為基礎(chǔ)，介紹調(diào)優(yōu)過程中的相關(guān)說明和注意事項(xiàng)。管理員根據(jù)企業(yè)的自身情況，可以在調(diào)優(yōu)界面中通過選擇具體的應(yīng)用、安全策略配置文件等進(jìn)行手動(dòng)調(diào)優(yōu)，也可以使用“

39、調(diào)優(yōu)建議”按鈕自動(dòng)處理。圖 策略調(diào)優(yōu)界面說明：調(diào)優(yōu)界面中的“調(diào)優(yōu)建議”與“按調(diào)優(yōu)建議批量處理”的作用功能相同。區(qū)別在于“按調(diào)優(yōu)建議批量處理”是為 所有待調(diào)優(yōu)的安全策略執(zhí)行“調(diào)優(yōu)建議”動(dòng)作。“按調(diào)優(yōu)建議批量處理”支持異步，即在批量調(diào)優(yōu)過程中，企業(yè) 管理員可以進(jìn)行其他配置操作，提高維護(hù)效率。表 應(yīng)用風(fēng)險(xiǎn)分析結(jié)果項(xiàng)目描述總體安全評(píng)分對(duì)設(shè)備中所有安全策略的綜合評(píng)分，得分越高表示安全系數(shù)越高，相反低分?jǐn)?shù)表示 存在風(fēng)險(xiǎn)。策略名稱存在安全風(fēng)險(xiǎn)，待調(diào)優(yōu)的安全策略名稱。風(fēng)險(xiǎn)級(jí)別取值范圍 1，表示風(fēng)險(xiǎn)依次增高。策略的風(fēng)險(xiǎn)級(jí)別是由安全策略中包含的應(yīng)用，根據(jù)智能感知引擎中為應(yīng)用定義的風(fēng) 險(xiǎn)類型，使用既定算法計(jì)算出對(duì)應(yīng)

40、的風(fēng)險(xiǎn)值?？偟膩碚f，安全策略包含風(fēng)險(xiǎn)類型越 多，風(fēng)險(xiǎn)級(jí)別越高?？偭髁堪踩呗悦械目偭髁?。應(yīng)用在已命中安全策略的流量中，設(shè)備識(shí)別出的所有應(yīng)用。流量（接收/）應(yīng)用的流量信息，包括： 在已命中安全策略的流量中，指定應(yīng)用的流量占比。 設(shè)備接收和指定應(yīng)用流量的對(duì)比，綠色表示設(shè)備接收的流量，黃色表示 設(shè)備的流量。安全風(fēng)險(xiǎn)安全策略中所有應(yīng)用對(duì)應(yīng)的風(fēng)險(xiǎn)總類別。例如安全策略中包含應(yīng)用 a 和應(yīng)用 b，a 包含“可被利用”風(fēng)險(xiǎn)，b 包含“具有躲避特征”風(fēng)險(xiǎn)，則該安全策略的安全風(fēng)險(xiǎn)包括“可被利用”風(fēng)險(xiǎn)和“具有躲避特征” 風(fēng)險(xiǎn)。狀態(tài)安全策略的調(diào)優(yōu)狀態(tài)： 未處理：表示從未調(diào)優(yōu)過的安全策略。 已處理：表示為已調(diào)優(yōu)過，但

41、仍然存在風(fēng)險(xiǎn)的安全策略?？筛鶕?jù)實(shí)際情況選 擇是否繼續(xù)調(diào)優(yōu)。，調(diào)優(yōu)界面由上至下可分為策略基本信息、應(yīng)用信息、深度防護(hù)動(dòng)作和新策略選項(xiàng)。策略基本信息：包含了原安全策略的名稱和已配置的用戶、服務(wù)以及應(yīng)用/應(yīng)用組，這些信息可為后續(xù)的調(diào)優(yōu)提供參考。應(yīng)用信息：包括在已命中安全策略的流量中，設(shè)備識(shí)別出的所有應(yīng)用，以及原安全策略中已配置的應(yīng)用。這些信息可以幫助企業(yè)管理員了解網(wǎng)絡(luò)中的流量構(gòu)成以及命中情況，根據(jù)實(shí)際情況增加或減少相關(guān)的應(yīng)用，作為安全策略的匹配條件，以符合最小原則。深度防護(hù)動(dòng)作：設(shè)備提供的深度防護(hù)措施，即會(huì)配置缺省的安全策略配置文件（default）。企業(yè)管理員可根據(jù)應(yīng)用的風(fēng)險(xiǎn)類型配置對(duì)應(yīng)的深度防護(hù)

42、措施。新策略選項(xiàng)：調(diào)優(yōu)的最終結(jié)果是基于原有的安全策略修改或新生成一條安全策略。更詳細(xì)的調(diào)優(yōu)界面信息請(qǐng)參見表 。表 調(diào)優(yōu)界面信息策略基本信息策略名稱待調(diào)優(yōu)安全策略的名稱，可單擊名稱進(jìn)入安全策略修改界面，詳細(xì)操作請(qǐng)參考表 調(diào)優(yōu)界面信息策略基本信息安全策略。用戶待調(diào)優(yōu)安全策略中已配置的“用戶”信息，可在此直接修改策略中的用戶/用戶組信 息。服務(wù)待調(diào)優(yōu)安全策略中已配置的“服務(wù)”信息，此處只為調(diào)優(yōu)提供相應(yīng)的參考。應(yīng)用待調(diào)優(yōu)安全策略中已配置的“應(yīng)用”信息，此處只為調(diào)優(yōu)提供相應(yīng)的參考。應(yīng)用信息應(yīng)用應(yīng)用名稱，包括： 在已命中安全策略的流量中，設(shè)備識(shí)別出的所有應(yīng)用。 原安全策略中已配置的應(yīng)用。單擊名稱查看該應(yīng)用

43、的屬性。流量（接收/）應(yīng)用的流量信息，包括： 在已命中安全策略的流量中，指定應(yīng)用的流量占比。 設(shè)備接收和指定應(yīng)用流量的對(duì)比，綠色表示設(shè)備接收的流量，黃色表示 設(shè)備的流量。 設(shè)備接收和指定應(yīng)用的總流量。風(fēng)險(xiǎn)級(jí)別取值范圍 1，表示風(fēng)險(xiǎn)依次增高。應(yīng)用的風(fēng)險(xiǎn)級(jí)別是由智能感知引擎中為應(yīng)用定義的風(fēng)險(xiǎn)類型，使用既定算法計(jì)算出 對(duì)應(yīng)的風(fēng)險(xiǎn)值?？偟膩碚f，應(yīng)用包含風(fēng)險(xiǎn)類型越多，風(fēng)險(xiǎn)級(jí)別越高。安全風(fēng)險(xiǎn)智能感知引擎為常用應(yīng)用定義了相應(yīng)的風(fēng)險(xiǎn)類型。其他策略防護(hù)動(dòng)作缺省選中的安全防護(hù)動(dòng)作繼承原有安全策略中的配置。智能感知引擎針對(duì)安全風(fēng)險(xiǎn) 類型定義的安全防護(hù)措施，對(duì)應(yīng)關(guān)系請(qǐng)參考表 。目前應(yīng)用風(fēng)險(xiǎn)調(diào)優(yōu)工具只支持設(shè)備缺省存在的

44、安全策略配置文件（default），如需自定義配置文件請(qǐng)另行修改安全策略。新策略選項(xiàng) 生成一條新的策略放在原策略之前：不改變當(dāng)前策略的配置，生成一條新的 安全策略，優(yōu)先級(jí)高于當(dāng)前策略。若對(duì)采用該方式調(diào)優(yōu)過的安全策略再次進(jìn)行調(diào)優(yōu)，且仍然選擇生成一條新的 安全策略，則設(shè)備實(shí)際會(huì)修改原來已生成的安全策略并重命名 再生成新的安全策略。這種處理方式主要是為了避免多次調(diào)優(yōu)生成過多的安全策略。例 如，對(duì)安全策略 A 進(jìn)行調(diào)優(yōu)，生成安全策略 A1，再次對(duì) A 進(jìn)行調(diào)優(yōu)，則修改并重命名 A1， 引入新的安全策略。但以上情況不適用于保存配置并重啟后再次調(diào)優(yōu)，即如果在調(diào)優(yōu)后保存配置 并重啟，再次進(jìn)行調(diào)優(yōu)并選擇生成一

45、條新的安全策略，最終會(huì)生成一條新的策 略， 修改上次調(diào)優(yōu)生成的安全策略。例如，對(duì)安全策略 A 進(jìn)行調(diào)優(yōu)，生成安全策略 A1，保存配置重啟后再次對(duì) A 進(jìn)行調(diào)優(yōu)，則會(huì)生成新的安全策略A。 在原策略的基礎(chǔ)上修改：修改當(dāng)前策略，為其配置應(yīng)用或深度防護(hù)措施。通過調(diào)優(yōu)建議處理前后的對(duì)比，介紹“調(diào)優(yōu)建議”功能的作用。初始調(diào)優(yōu)界面，單擊“調(diào)優(yōu)建議”后調(diào)優(yōu)界面。圖調(diào)優(yōu)前界面圖調(diào)優(yōu)后界面表 調(diào)優(yōu)界面信息策略基本信息調(diào)優(yōu)建議遵循通用的安全策略調(diào)優(yōu)規(guī)則進(jìn)行處理，具體調(diào)優(yōu)內(nèi)容請(qǐng)參見下文。綜上所述，可見“調(diào)優(yōu)建議”功能主要完成：將有流量命中的應(yīng)用類型作為策略匹配條件。將有流量命中的應(yīng)用類型作為深度防護(hù)對(duì)象，為其配置策略

46、防護(hù)動(dòng)作。使用建議命名生成一條新的安全策略。注意事項(xiàng)應(yīng)用風(fēng)險(xiǎn)調(diào)優(yōu)后請(qǐng)不要立即進(jìn)行命中分析，這是由于缺少背景流量會(huì)將調(diào)優(yōu)生成的策略誤分析為未命中策略。舉例：配置安全策略舉例說明如何配置安全策略，保證流量的正常轉(zhuǎn)發(fā)以及實(shí)現(xiàn)內(nèi)容安全的管控。組網(wǎng)需求如圖 1 所示，某企業(yè)在網(wǎng)絡(luò)邊界處部署了 N作為安全網(wǎng)關(guān)。企業(yè)根據(jù)員工級(jí)別和職能不同劃分了三種用戶：管理者、市場(chǎng)員工、研發(fā)員工，他們能夠Internet的權(quán)限不同。具體如下：管理者可以自由Internet。市場(chǎng)員工能夠Internet，但不能玩，網(wǎng)絡(luò)。研發(fā)員工不能Internet。企業(yè)還希望對(duì)通過 N的流量進(jìn)行反和防御檢測(cè)，保護(hù)內(nèi)部。圖 1 配置安全策略組

47、網(wǎng)圖數(shù)據(jù)規(guī)劃項(xiàng)目數(shù)據(jù)說明全策略 名稱：policy_sec_management 源安全區(qū)域：trust 目的安全區(qū)域：untrust 用戶：management 動(dòng)作：允許 反：default 防御：default安全策略 policy_sec_management 的作用是允許高層管理者自由Internet。本舉例使用系統(tǒng)默認(rèn)存在的反配置文件 default和防御配置文件 default。市場(chǎng)員工的安全策略 1 名稱：policy_sec_marketing_1 源安全區(qū)域：trust 目的安全區(qū)域：untrust 用戶：marketing 應(yīng)用：、共享安全策略policy_sec_mar

48、keting_1 的作用是市場(chǎng)員工玩，網(wǎng)絡(luò)。代表類應(yīng)用，共享代表網(wǎng)絡(luò)類應(yīng)用。說明：本舉例的用戶已經(jīng)存在于 N中，并且已經(jīng)完成了認(rèn)證的配置。操作步驟1.配置接口 IP 地址和安全區(qū)域，完成網(wǎng)絡(luò)基本參數(shù)配置。選擇“網(wǎng)絡(luò) 接口”。a.單擊 GE1/0/1 對(duì)應(yīng)的，按如下參數(shù)配置。b.單擊“確定”。c.參考上述步驟按如下參數(shù)配置 GE1/0/ 接口。d.配置管理者的安全策略。選擇“策略 安全策略 安全策略”。a.單擊“新建”。b.按照如下參數(shù)配置管理者的安全策略。c.名稱policy_sec_management源安全區(qū)域trustIP 地址.0.1網(wǎng)絡(luò)掩碼.安全區(qū)域trustIP 地址

49、網(wǎng)絡(luò)掩碼.0安全區(qū)域untrust項(xiàng)目數(shù)據(jù)說明 動(dòng)作：市場(chǎng)員工的安全策略 名稱：policy_sec_marketing_ 源安全區(qū)域：trust 目的安全區(qū)域：untrust 用戶：marketing 動(dòng)作：允許 反：default 防御：default安全策略policy_sec_marketing_ 的作用是允許市場(chǎng)員工Internet。本舉例使用系統(tǒng)默認(rèn)存在的反配置文件 default和防御配置文件 default。研發(fā)員工的安全策略 名稱：policy_sec_research 源安全區(qū)域：trust 目的安全區(qū)域：untrust 用戶：research 動(dòng)作：安全策略 policy_sec_research 的作用是研發(fā)員工Internet。d.單擊“確定”。.配置市場(chǎng)員工的安全策略。a.選擇