这次跟大伙聊聊智能安全策略技术白皮书,这份报告总共23页,由新华三技术有限公司搞出来的,专门来聊聊怎么搞定传统网络安全配置那点事儿。传统防火墙全靠接口做包过滤,在复杂网络里折腾人,容易出错还不安全。后来弄出了安全域分层管理,但域一多,域间策略还是乱糟糟的。智能安全策略就是来解决这个问题的,它按全局来生效,管控更精细。功能上挺强,不光能区分不同协议里的应用,还能管更多报文属性。要是配上DPI业务,就能做深度内容检测。同时它还有不少好用的功能,比如分析冗余规则、看哪些规则没被用、调优应用风险,甚至还能帮着你制定更细的规则。 实现原理上主要靠一套规则,用源安全域、用户、应用这些条件去匹配报文,该放的放过,不该放的拦下来。如果要走DPI的深度检测路线,那就得进行Web应用防护。这技术还支持批量操作策略、加快匹配速度、设置生效时间段。清楚说明了怎么去识别各种报文属性。 在用在哪儿呢?主要是本设备被访问、访问别人或者做流量转发这三种情况,得针对性地设置放行规则。特色方面做得很足:能把没用的冗余规则找出来精简掉;能查清楚为什么有些规则没用上;还能评估风险帮你优化安全系数;甚至能通过学习报文属性来辅助制定细则。 最后还讲了在四种典型组网里怎么配置安全策略:应用控制报文、OSPF、NAT、IPsec VPN这四种场景下的配置方案。结合了不同业务的需求,把安全域划分好并把具体规则定下来,给实际部署提供了能落地的参考。整体上实现了业务和安全分开干的好事儿,大大降低了配策略和维护的难度,让网络的管控变得更灵活精细了。