【IT168 资讯】当前，随着信息化的加速，用户面临的网络安全威胁也越来越大。因此，用户往往购买了许多的网络安全设备部署在网络信息系统中，其中应用和部署最广的网络安全设备之一就是防火墙。

　　防火墙是通过安全策略(rule)来进行安全防护的，防火墙安全策略的配置对防火墙的安全防护作用起着至关重要的作用。试想，一台再好的防火墙设备，如果不配置安全策略，或者安全策略的配置错误，那么这台防火墙就完全无法起到应有的安全防护作用，并且还会带来许多安全隐患和安全事件。根据Gartner 的统计，95%的防火墙安全事件均是由防火墙的配置错误而引起的。而另一份Gartner 的报告表明，造成系统故障的原因有超过80%是由于人员失误，包括配置失误、流程失误等。

　　因此，防火墙安全策略配置的正确性对于防火墙设备的安全防护作用至关重要。

　　但是，许多用户目前对防火墙安全策略的管理缺乏有效的手段，使得防火墙安全策略处于“不可见”的状态。最基本的两个困惑之处是：1)如何确定防火墙上的安全策略配置是正确的?2)当收到业务部门提交的安全策略配置申请时，该如何配置一条正确的策略?

　　一些典型的管理员关于安全策略的问题包括：

　　哪些安全策略是冗余的? 哪些策略是无用的?

　　哪个或哪些安全策略被使用的最多、最频繁?

　　这条安全策略的目的?谁配的?什么时间配的?在起作用吗?

　　是否存在过于“宽松”的安全策略，允许了过多的流量通过?该如何收敛该条策略?

　　是否存在安全策略，允许了高危端口流量的通过?

　　网络中某两点间某服务是否可达?可达的路径是什么?穿过了哪些防火墙设备?命中了哪些策略?

　　当收到业务部门提交的安全策略配置申请时，该如何配置策略?是否需要新增策略?该配置一条什么样的策略?该在哪一台防火墙上增加策略?这条新增的策略合规吗?

　　系统内防火墙的配置是否符合安全规范，如PCI、ISO27002 等?

　　企业内部安全域之间的互访规则，在防火墙上的安全策略是否符合这些互访规则呢?

　　因此，在防火墙的安全策略配置、变更时，包括新增策略、变更策略，或者删除策略时，管理员操作依据较为模糊，缺少相关的数据分析报告或者科学依据，从而有时会出现防火墙安全策略配置上的缺陷或者错误，有些配置错误甚至造成了客户信息系统的故障。