Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
AUF DIESER SEITE
 

Übersicht über die Regelbasis

In Security Director können Sie für jede Richtlinie einen oder beide Typen (zonenbasiert oder global) von Regelbasen konfigurieren. Alle zonenbasierten Regeln werden unter "Zone" und alle Geräteregeln unter "Global" gruppiert.

Wenn Geräte einer Richtlinie zugewiesen werden, für die keine der Regelgrundlagen verwaltet wird, interpretiert Security Director diese Regelbasis dennoch als in ihrem Gültigkeitsbereich liegend. Wenn Sie z. B. Out-of-Band-Firewall-Richtlinien auf einem Gerät in einer nicht verwalteten Regelbasis konfigurieren, löscht Security Director diese Richtlinien. Wenn Sie die zuvor konfigurierte Regelbasis nicht im Security Director-Änderungsworkflow für die Richtlinie auswählen, löscht Security Director bei der nächsten Veröffentlichung und Aktualisierung automatisch alle Regeln in der Richtlinie.

Beispiel: Entfernen einer zuvor verwalteten Regelbasis

Sie können ein verwaltetes Gerät aus Security Director entfernen. Befolgen Sie diese Richtlinien, um eine zuvor verwaltete Regelbasis zu entfernen, wenn außer der vorhandenen Richtlinie keine anderen Richtlinien auf dem Gerät veröffentlicht werden:

  • Wählen Sie nicht die Option "Globale Richtlinie verwalten" aus, um eine Geräterichtlinie in Security Director zu ändern.

    Security Director löscht die globale Regelbasis in den Entwurfsdaten der Security Director-Anwendung.

  • Veröffentlichen Sie eine Richtlinie und aktualisieren Sie das Gerät. Durch das Update werden alle globalen Regeln vom Gerät gelöscht.

    Nach erfolgreichem Update wird die Richtlinie für alle Geräte für das Gerät aus der Security Director-Verwaltung entfernt.

Hinweis:

Security Director löscht bei nachfolgenden Veröffentlichungsaktualisierungen weiterhin alle auf dem Gerät über die CLI konfigurierten Richtlinien für alle Geräte.

Policy-Analyse

Im Laufe der Zeit können Firewall-Regelbasen ineffizient werden, da Regeln unorganisiert werden, was dazu führt, dass einige Regeln unwirksam werden. Dies liegt in erster Linie daran, dass Endbenutzer nicht rechtzeitig benachrichtigt werden, wenn neue oder geänderte Regeln hinzugefügt werden, was sich nachteilig auf die anderen Regeln in der Regelbasis auswirken kann.

Dieses Problem kann behoben werden, indem die Richtlinie analysiert und die Anomalien in den Regeln einer Richtlinie an den Endbenutzer gemeldet werden. Richtlinienanalyseberichte über Shadowing und redundante Anomalien in einer Regel; Diese Berichte sind im PDF-Format verfügbar. Außerdem findet die Richtlinienanalyse die Anomalie zwischen der Adresse und dem Dienst der Regeln.

Die Richtlinienanalyse hilft Ihnen bei der Analyse der Firewallregelbasis für Richtlinien, die von Security Director verwaltet werden, und identifiziert die Firewallregeln, die die folgenden Probleme enthalten:

  • Shadowing – Tritt auf, wenn eine Regel, die in der Reihenfolge der Regelbasis höher ist, mit allen Paketen einer Regel übereinstimmt, die in der Reihenfolge der Regelbasis niedriger ist. Die Shadowed-Regel wird nie aktiviert. Die mögliche Lösung besteht darin, die Regeln neu anzuordnen oder eine der Regeln zu deaktivieren oder zu löschen. Die Berechnung der Anomalie erfolgt nicht für deaktivierte Regeln.

  • Redundant (Redundant): Tritt auf, wenn zwei oder mehr Regeln vorhanden sind, die dieselbe Aktion für dieselben Pakete zusammen mit denselben Einstellungen oder Konfigurationen ausführen. Die Lösung besteht darin, die redundanten Regeln zu deaktivieren oder zu löschen.

Der Richtlinienanalysebericht wird im PDF-Format erstellt und kann per E-Mail an mehrere Empfänger gesendet werden. Die Berichte enthalten eine Zusammenfassung und ein Kreisdiagramm, in dem alle Anomalien dargestellt sind. Sie können die Berichtsgenerierung einplanen.

Die folgende Liste zeigt das Verhalten der Richtlinienanalyse für verschiedene Typen von Firewallrichtlinien:

  • Richtlinie für alle Geräte: Analysiert alle Regeln, die auf der Landingpage der Firewall-Richtlinie innerhalb der Richtlinie für alle Geräte vorhanden sind.

  • Gruppenrichtlinie: Analysiert alle Regeln, die auf der Landingpage der Firewallrichtlinie innerhalb der Gruppenrichtlinie vorhanden sind, einschließlich der Richtlinienregeln für alle Geräte.

  • Geräterichtlinie: Analysiert alle Regeln, die auf der Landingpage der Firewall-Richtlinie innerhalb der Geräterichtlinie vorhanden sind, einschließlich der Richtlinienregeln für alle Geräte. Wenn Sie alle auf einem Gerät vorhandenen Regeln analysieren möchten, müssen Sie den Bericht generieren, indem Sie auf die Geräterichtlinie klicken.

  • Geräteausnahmerichtlinie: Analysiert alle Regeln, die auf der Landingpage der Firewall-Richtlinie innerhalb der Geräteausnahmerichtlinie, einschließlich des gesamten Geräts, vorhanden sind.

Die Richtlinienanalyse wird in den folgenden Szenarien nicht durchgeführt:

  • Deaktivierte Regeln werden bei der Berechnung der Richtlinienanalyse nicht berücksichtigt.

  • Abgesehen von den Spalten Adresse (Quelle und Ziel) und Dienst werden keine anderen Spalten auf der Firewall-Landingpage für die Berechnung der Richtlinienanalyse berücksichtigt.

  • Die Variablenadresse, die Platzhalteradresse und die Ausschlussadresse werden bei der Berechnung der Richtlinienanalyse nicht berücksichtigt.

Zugehörige Dokumentation