防火墙策略管理一直是防火墙管理员头疼的难题，特别是在一些大型企业中防火墙策略少则上千，多则上万。但市面上大部分防火墙很少提供趁手的策略优化或检测功能（目前只见华为防火墙有“智能管理模块”宣传），每次清理策略对于防火墙管理员来说都是一件非常痛苦的事情。其实在国外已经有很多厂商提供了多品牌防火墙统一策略管理和优化平台，但国内只有一些运营商安全供应商做过一些尝试。本文不谈如何设计防火墙策略管理平台，只浅析一下防火墙（传统防火墙，侧重五元组访问控制模型）的策略优化方法。

首先必须将各品牌防火墙的策略用一个统一的模型进行描述，如果没有统一的模型就得针对每个防火墙品牌定制单独的优化策略，所以也得像SIEM范化日志一样对防火墙策略进行范化，下文将描述一个简化了的访问控制策略模型示例。

按此模型将防火墙策略范化，后续制定优化策略可以类似SIEM产品关联规则的方式，根据不同条件灵活配置。

防火墙名称	外网防火墙
防火墙IP	10.3.2.34
厂商	CISCO
型号	ASR5000
OS版本	7.1
策略序号	3
策略名称	外网策略
源地址对象	ExternalNetwork1
源IP	10.3.4.67
目的地址对象	TeamOPM
目的IP	10.5.2.34
端口对象	Team开放端口
协议	tcp
服务	SSH
端口	22
认证	0
方向	inbound
接口	ASR-END
动作	Permit
日志	0
内容检测策略	IPS
策略启用	1

如果是利用软件来进行防火墙策略范式化，建议将防火墙中读取的每条策略拆分成IP-IP-PORT的最小原子项策略，这样便于程序处理。将原始策略分解成原子策略范式化好后就可以按各种策略分析。这里列出了一些常见的防火墙策略风险点：

防火墙策略安全风险列表

• 源地址any、目的地址any、目的端口any、any to any

  检查动作为Permit的策略源地址对象、目的地址对象、端口对象任何一个对象中是否含有Any。

• 没启用策略

  检查策略启用是否为0。

• 最后一条不是Deny All策略

  检查防火墙最大策略序号的策略源地址对象、目的地址对象、端口对象是否为any，同时动作为Permit。

• 高风险端口

  检查动作为Permit的策略端口对象，用户可以自定义端口进行检查。

• 对称性策略

  源地址对象和目的地址对象一致的策略。状态过滤防火墙不需要这样配置。

• 太多IP地址

  检查动作为Permit的策略源地址对象、目的地址对象看是否为Class A、Class B、Class C或用户指定IP范围。

• 太多端口

  检查动作为Permit的策略端口对象中端口数量，用户可以指定端口数量多少（端口对象为any的策略除外）。

• 策略没有记录日志

  检查日志为0的策略，用户可以指定动作字段属性。

除了上述这些风险点一定要检查以外，防火墙业务相关策略也需要进行优化。

防火墙策略优化分为两类场景：

1. 最后一条策略是Deny all，没有Permit all策略

   这种场景下基本做到了按需开放策略，优化的目标主要是减少策略冲突、冗余策略，并分析策略使用情况。

2. 没有Deny all策略

   这种场景就比较复杂了，除了优化策略以外，还需要根据业务需求制定出未知的访问控制策略。

   如何利用流量信息制定访问控制规则可以尝试以下方法，先调研资产和业务系统信息，在流量分析系统中导入资产和业务系统信息（其实就是防火墙中的源地址对象、目的地址对象），然后再以资产和业务系统IP出基于源地址、目的地址、目的端口的会话统计报表，这样就基本得出防火墙所需要配置的访问控制策略。

具体优化策略示例如下：

• 冲突策略 
  在方向和接口相同的情况下，两条动作属性不一样的策略源地址、目的地址、端口三者相同。造成本来应该允许的流被拒绝，本来应该拒绝的流被允许。
• 冗余策略 
  在方向和接口相同的情况下，两条动作属性一样的策略源地址、目的地址、端口三者相同。这为策略调整留下了隐患。
• 策略使用情况分析 

1. 没有使用
2. 使用
3. 包含未使用的对象
4. 没有日志记录

• 对象使用情况分析 

1. 没有使用
2. 在某些规则中没有被使用
3. 使用
4. 没有日志记录

对于策略和对象的使用情况可以通过防火墙连接日志分析和流量日志分析两种方法得到，现在很多防火墙也带策略命中统计功能。

本文也只是简单探讨了一下单机防火墙策略优化的场景，如果是访问链上多个防火墙策略优化还会涉及到策略放哪个防火墙更合适的问题（CCNA有讲哦）。

国外做防火墙策略管理的厂商主要有Algosec、Firemon、Skybox、Solarwinds，有兴趣的同学可以去官网看看。