访问控制策略变更方案

访问控制策略变更方案

—作者wyd

变更背景

1.1变更目的

本次深变更的主要目的，旨在配合xxxx单位的安全建设项目。对贵单位在安全建设方面提出的相关需求，结合现有DMZ区域的某公司现有防火墙的安全能力，进行有效策略优化。

1.2需求说明

变更前期，与贵单位信息部，就贵单位的业务环境和安全建设需求，进行深入的沟通了解。

安全的防护相对会滞后于威胁的发生，特别类似于0day威胁。所以防火墙，需要最大程度的细化业务系统对外开放的权限，减少各类威胁对业务系统产生的攻击面，降低安全风险。而这里也需要贵单位梳理出各业务系统需要开放的服务范围，针对策略分组，再通过AF进行相应的应用控制防护

第2章变更准备

此次变更只涉及到贵单位DMZ区防火墙的应用控制策略变更，所以需要贵单位做提前准备如下业务策略表格。

第3章变更方法

防火墙默认情况下，对数据流的策略是全部拦截，所以上线前，需要先完成相应应用控制的放通，才能保证上线后，业务的正常使用。按照如下策略进行配置，

（1）主机开启一条定义一条全部放通的策略并记录日志（应用控制策略不会对业务进行拦截）

（2）按照如上的策略梳理进行配置策略并分组      

（3）配合客户进行对应业务的访问，然后查看之前定义的单条应用控制策略是否有匹配数

（4）如果没有匹配数目，证明此条策略没有实现对这个业务的放通，需要重新梳理访问关系，重新配置；

（5）如果有匹配数，再进一步在日志中心查看源目IP，端口的关系，是否是刚才进行的访问，如果是，则证明了此条策略匹配到了这业务的放通。

（6）以此类推，再在此条策略上面定义其他的业务放通策略，用同样的方式，在全部策略定义完并验证生效之后，可以将全禁止策略上面的一条全放通策略删除，即实现了完整的白名单形式的应用控制策略。

第4章回退方案

本次设备上线部署如果出现不可控的异常问题，在短时间不能解决的，应尽快恢复业务，照以下回退方案对网络进行还原，保证内网用户上网正常，待故障问题查明并有明确解决方案后，再根据修改后的方案进行实施。

1．开启直通

2．检查AF设备的配置信息，确认是否有错误的配置项。

3．重新梳理客户现网环境，排查故障原因。

感谢楼主分享，楼主的变更方案非常具有代表性，特别是对于一些对网络稳定性非常敏感的客户，在操作之前一定要先评估操作方案再来操作，期待楼主有更加精彩的分享~

我在社区摸爬滚打这么多年，所谓阅人无数，就算没有见过猪走路，也总明白猪肉是啥味道的。一看到楼主的气势，我就觉得楼主同在社区里灌水的那帮小混子有着本质的差别，你一定就是传说中的最强技术牛。

楼主的文章图文并茂，清晰易懂，看完这波操作可以轻松上手了，如遇到问题再向楼主请教~

看过就得留言

访问控制策略，要做好记录和备份，上次做好策略，没备份，重新做，头大

回帖是美德