策略分析
下载
聚焦模式
字号
功能简介
策略分析功能对多账号下云防火墙-企业安全组及其内部的安全组规则进行深度分析。该功能通过展示风险分类、风险等级及规则分类等关键信息,辅助管理员精准识别可能存在的、规则冗余、策略冲突、无效配置等问题。
基于分析结果,系统会提供相应的优化建议,以帮助用户优化安全策略,从而提升产品的防护效率与资源利用率。
操作步骤
发起策略体检
1. 登录 防火墙管理控制台,在左侧导航中,选择策略分析,单击开始体检。
2. 选择需要进行体检产品和体检账号,单击开始体检。
3. 开始体检后,页面将显示体检中的加载状态,请耐心等待分析完成。
4. 您可以单击查看历史体检记录。历史记录按体检时间倒序排列。
查看体检结果
1. 体检完成后,可通过以下入口进入对应粒度的详情页:
入口 | 粒度 | 进入后看到的内容 |
待整改账号 TOP3中某行的查看详情 | 账号级 | 该账号下所有产品的体检结果汇总 |
账号分组卡片右上角的查看详情 | 账号级 | 该账号下所有产品的体检结果汇总 |
账号分组卡片内某产品行操作列的查看详情 | 账号 + 产品级 | 该账号该产品下所有命中风险规则的明细 |
2. 详情页内容如下:
体检概览:展示该账号下所有受检产品(企业安全组+安全组)的综合风险概况。
体检概览展示体检总策略数、有风险策略数、待整改策略、风险整改率等关键结果。
风险整改率 = (已整改策略 + 已忽略策略) / 有风险策略数。
体检详情列表:
列表默认按照风险严重程度与处置状态进行智能排序,确保有风险且待整改的策略优先展示。具体排序优先级为:高风险有待整改 > 中风险有待整改 > 低风险有待整改 > 高风险无待整改 > 中风险无待整改 > 低风险无待整改 > 高风险无风险 > 中风险无风险 > 低风险无风险。
列表展示的字段包括:风险大类、风险子类、风险等级、风险策略数、待整改策略数、整改率、已处置策略数、已忽略策略数及整改状态。并支持对部分字段进行筛选与排序。
整改率=(已处置+已忽略)/ 风险策略数。当整改率达到100%时,整改状态显示为“已整改”;小于100%时,显示为“待整改”;不涉及风险的条目则为“-”。
关于体检风险项的说明,详情请参见 体检项说明。
管理风险策略
对于识别出的风险策略,单击去整改,即可进入待整改风险项详情页面并管理风险策略。您可以进行复验并处置、忽略或误报反馈。
复验并处置
由于安全组规则没有唯一 ID,无法直接定位历史快照中的具体规则,因此每次处置前系统会重新进行实时检测,以确保操作的准确性。
1.1 单击复验并处置后,系统弹窗并立即执行实时分析。
若实时分析后无风险,则提示“暂无风险策略”,流程结束。
若实时分析后存在风险策略,则会展示最新的风险规则列表(此列表可能与体检详情中的历史快照不一致,属于正常现象)。
1.2 您可以在列表中直接对风险规则进行编辑或删除操作。
1.3 处置循环:每完成一条风险的复验并处置,系统会再次触发实时检测。如果仍有风险,则继续展示并供您处置,直至所有风险被消除,系统提示“整改已完成”。
1.4 处置完成后,该条目的“复验并处置”将变为不可单击状态。
忽略
对于确认为误报或无需处置的风险,您可以单击忽略。忽略后,该风险在后续检测中仍会显示,但会被标记为“已忽略”。
忽略后可以取消忽略。
反馈:如果您认为某条风险策略属于误报,可以单击反馈,输入您的自定义说明(3000字以内)。您的反馈将用于持续优化内置的风险检测逻辑。
附录
体检项说明
风险大类 | 风险子类 | 风险等级 | 风险描述 | 处置建议 |
黑白名单冲突规则 | 完全冲突规则 | 高 | 检测到黑白名单五元组完全一致。 | 建议基于业务实际需求,仅保留一个规则,删除其余冲突规则。 |
安全基线偏离规则 | 入向全放行规则 | 高 | 检测到入向全放行规则,范围过大。 | 建议根据业务实际需求调整规则,缩小覆盖范围以提升规则精准度。 |
重复冗余规则 | 完全重复规则 | 低 | 检测到规则五元组与匹配动作完全一致。 | 建议仅保留一个规则,删除其余冗余规则。 |
| 可合并规则 | 低 | 检测到规则的IP/CIDR连续端口一致 或 IP/CIDR 一致端口不一致。 | 建议将多规则合并至一条规则。 |
高风险放行规则 | 高风险威胁情报放行规则 | 高 | 检测到放行规则源IP、目的IP或域名命中威胁情报。 | 建议修改规则内容,避免遭受外部攻击。 |
| FTP高风险端口放行规则 | 高 | 检测到放行规则的目的端口为20/21端口,属于高危端口。 | 建议调整端口范围,避免因端口暴露引发数据泄露或外部攻击风险。 |
| DNS高风险端口放行规则 | 高 | 检测到放行规则的目的端口为53端口,属于高危端口。 | 建议调整端口范围,避免因端口暴露引发数据泄露或外部攻击风险。 |
| Elasticsearch高风险端口放行规则 | 高 | 检测到放行规则的目的端口为9200/9300端口,属于高危端口。 | 建议调整端口范围,避免因端口暴露引发数据泄露或外部攻击风险。 |
| Hadoop高风险端口放行规则 | 高 | 检测到放行规则的目的端口为50070/8088端口,属于高危端口。 | 建议调整端口范围,避免因端口暴露引发数据泄露或外部攻击风险。 |
| Kafka高风险端口放行规则 | 高 | 检测到放行规则的目的端口为9092端口,属于高危端口。 | 建议调整端口范围,避免因端口暴露引发数据泄露或外部攻击风险。 |
| Memcached高风险端口放行规则 | 高 | 检测到放行规则的目的端口为11211端口,属于高危端口。 | 建议调整端口范围,避免因端口暴露引发数据泄露或外部攻击风险。 |
| MongoDB高风险端口放行规则 | 高 | 检测到放行规则的目的端口为27017/27018端口,属于高危端口。 | 建议调整端口范围,避免因端口暴露引发数据泄露或外部攻击风险。 |
| MySQL高风险端口放行规则 | 高 | 检测到放行规则的目的端口为3306端口,属于高危端口。 | 建议调整端口范围,避免因端口暴露引发数据泄露或外部攻击风险。 |
| PostgreSQL高风险端口放行规则 | 高 | 检测到放行规则的目的端口为5432端口,属于高危端口。 | 建议调整端口范围,避免因端口暴露引发数据泄露或外部攻击风险。 |
| RDP高风险端口放行规则 | 高 | 检测到放行规则的目的端口为3389端口,属于高危端口。 | 建议调整端口范围,避免因端口暴露引发数据泄露或外部攻击风险。 |
| Redis高风险端口放行规则 | 高 | 检测到放行规则的目的端口为6379端口,属于高危端口。 | 建议调整端口范围,避免因端口暴露引发数据泄露或外部攻击风险。 |
| SMTP高风险端口放行规则 | 高 | 检测到放行规则的目的端口为25端口,属于高危端口。 | 建议调整端口范围,避免因端口暴露引发数据泄露或外部攻击风险。 |
| SSH高风险端口放行规则 | 高 | 检测到放行规则的目的端口为22端口,属于高危端口。 | 建议调整端口范围,避免因端口暴露引发数据泄露或外部攻击风险。 |
| Telnet高风险端口放行规则 | 高 | 检测到放行规则的目的端口为23端口,属于高危端口。 | 建议调整端口范围,避免因端口暴露引发数据泄露或外部攻击风险。 |
| VNC高风险端口放行规则 | 高 | 检测到放行规则的目的端口为5900-5902端口,属于高危端口。 | 建议调整端口范围,避免因端口暴露引发数据泄露或外部攻击风险。 |
| Zookeeper高风险端口放行规则 | 高 | 检测到放行规则的目的端口为2181/3888端口,属于高危端口。 | 建议调整端口范围,避免因端口暴露引发数据泄露或外部攻击风险。 |
无效规则 | 失效规则 | 高 | 检测到规则关联的资产实例、地址模板、或资源标签等模板已被部分删除。 | 建议直接删除该无效规则。 |
| 被高优覆盖规则 | 低 | 检测到规则已被优先级更高的规则覆盖。 | 建议删除被覆盖的无效规则。 |
| 源目相同规则 | 低 | 检测到规则的源IP与目的IP完全一致。 | 建议直接删除该无效规则。 |
文档反馈