现在，有了启明星辰的FlowEye，这些头痛的问题将迎刃而解!

　　FlowEye可以协助管理员优化防火墙的安全策略，了解当前防火墙策略的使用状况，可以查看哪些策略是长期以来没有被使用过，哪些安全策略的使用率最高，可以查看某条安全策略实际的流量状况，分析流量是如何穿过这条策略的;根据这些信息，管理员就可以对安全策略进行优化，如清理掉一些不必要的策略，并且能够准确了解到当前策略的使用效果等。良好的全图形化界面将提升管理员对安全策略的可视性，这将大大提高管理员针对防火墙的安全管理效率。防火墙的管理将变得简单、容易。

▲

　　FlowEye的一些典型功能包括：

　　安全策略初始化

　　FlowEye提供统一的模板，能够将不同品牌的防火墙策略配置文件导入到FlowEye中，以便FlowEye统一对不同位置的、不同品牌的防火墙策略进行分析

　　安全策略审计分析

　　冗余安全策略分析

　　随着网络复杂度的提升，防火墙的策略也变得日益庞大，而其中通常有大量的无用或者冗余的安全策略。过多的安全策略严重降低防火墙的性能及效率。通过FlowEye，管理员可查看哪些安全策略是不必要的冗余配置。可以根据该报告清理多余的安全策略。

　　安全策略收敛分析

　　许多防火墙上均会存在一些过于“宽松”的安全策略，包括允许了过多的IP 地址、允许了过多的服务端口，或者直接是“any”类型的安全策略。这不符合安全策略配置的一般性原则，需要进行“收敛”。这需要了解这些安全策略下的真实流量状况，包括具体的源和目的都是谁，特定应用的发生频次。。通过FlowEye，管理员可查看任何一条安全策略的流量详细信息，包括各种应用的占比等。管理员可以根据该报告制定更加有针对性、更加准确的安全策略，从而提升防火墙的安全性。

　　策略命中频率分析

　　通常，将命中频率高的策略放在靠前的位置，有助于提升防火墙的处理能力。但是，当策略达到一定规模时，靠人去分析命中频率情况是不现实的。FlowEye利用自身采集到的一定时间范围内流经防火墙的流量，对每一条防火墙策略的流量命中情况进行计算，报告出策略命中情况，辅助用户快速完成策略次序的调整。从而达到优化防火墙处理性能的目的。

▲

　　(图中数据为构造数据，仅供了解功能使用)

　　潜在冲突策略分析

　　潜在冲突策略是指防火墙访问控制效果与策略次序相关的策略。例如，将any any策略放在最前和放在最后会导致访问控制效果完全不同。放在最前导致防火墙形同虚设。放在最后却不然(虽然防火墙也不应该允许any any策略的存在，在此仅为方便描述问题)，因为其前如果有DENY动作的策略，就能起到一定的访问控制效果。这类策略是用户最难发现的，而且也是导致用户总是将新策略插入到最后，不敢删除老策略的一个重要的原因。导致策略条目越来越多、策略次序不合理等现象出现。FlowEye使用特有的策略元素重合度分析技术，能够准确发现这类策略，帮助用户消除策略中潜藏的隐患。

　　直观的策略分析报告

　　FlowEye提供清晰易懂的、符合防火墙策略管理员习惯的分析报告。

▲

　　(图中数据为构造数据，仅供了解功能使用)

　　策略动态跟踪

　　FlowEye的策略监视实现了对防火墙策略全生命周期的管理。FlowEye根据自身采集到的流量持续不断地对防火墙策略进行监视，一旦发现问题及时给出告警。使得用户对防火墙策略的管理变得更加主动。

　　部署

　　FlowEye可部署在系统中任何IP 可达的位置，技术上通过旁路镜像抓包的形式采集交换上的镜像流量。硬件方面，用户可以选择FlowEye 的专用硬件产品，并不需要在防火墙或者其他网络设备上安装软件，对用户网络安全方面的配置不会有任何。