规则放置分析
在一段时间内,随着规则的混乱,安全策略规则可能会变得效率低下,导致某些规则失效。发生这种情况的主要原因是,添加新规则时,缺乏及时通知最终用户,可能会对规则库中的其他规则产生不利影响。
瞻博网络 Security Director Cloud 通过分析规则放置并建议正确的规则放置来解决此问题,以避免给定策略的规则出现异常。
-
您可以在创建安全策略或编辑现有安全策略时启用规则放置分析。
-
规则放置分析建议仅适用于安全策略中新创建的规则。
规则放置分析可识别包含以下问题的安全策略规则:
-
影子 — 当规则库顺序较高的规则与规则库顺序较低的规则数据包匹配时,将发生。
-
冗余 — 当两个或多个规则对相同的数据包以及相同的设置或配置执行相同操作时,将发生。
以下列表显示了不同类型的安全策略规则的规则放置分析行为:
-
完全匹配 — 如果新创建的规则与源、目标、应用程序/服务和操作字段的现有规则的值相同,则新规则应置于现有规则之后。
-
操作的完全匹配 — 如果新创建的规则与 源、 目标、 应用程序/服务 字段的现有规则相同,并具有不同 操作,则新规则应放置在现有规则之前。
-
新规则是现有规则的子集 — 如果新创建的规则是现有规则的子集,则新规则应放置在现有规则之前。
-
新规则是现有规则的超组 — 如果新创建的规则是现有规则的超组,则新规则应置于现有规则之后。
-
部分匹配 — 如果新创建的规则与现有规则部分匹配,则新创建的规则应放置在现有规则之上。
-
无匹配或无重叠 — 如果新创建的规则与现有规则没有重叠,应将新创建的规则放置在现有规则的顶部。
下表显示了针对不同类型的规则进行规则放置分析的几个例子:
条件 | 规则 1(现有) | 规则 2(新) | 建议的规则放置 |
---|---|---|---|
完全匹配 |
|
|
将规则 2 置于规则 1 之后。 |
不同操作的完全匹配 |
|
|
将规则 2 置于规则 1 之前。 |
新规则是现有规则的子集 |
|
|
将规则 2 置于规则 1 之前。 |
规则 2 是现有规则的超级集合 |
|
|
将规则 2 置于规则 1 之后。 |
部分匹配 |
|
|
将规则 2 置于规则 1 之前。 |
无匹配或无重叠 |
|
|
将规则 2 置于规则 1 之前。 |