GET新技能，2秒钟发现上千条ACL规则中的错误！

如何用2秒发现上千条ACL规则中的错误？

      在安全领域，安全运维人员往往会花费大量的时间精力在ACL规则的检查中，因为对于中等规模的数据中心他们往往要检查少则几百条多则上千条的ACL控制策略，以便判断其是否有逻辑错误。

ACL是什么？

      ACL 即访问控制列表。信息点间通信和内外网络的通信都是企业网络中必不可少的业务需求，为了保证内网的安全性，需要通过安全策略来保障非授权用户只能访问特定的网络资源，从而达到对访问进行控制的目的。简而言之，ACL可以过滤网络中的流量，是控制访问的一种网络技术手段。

      比如，你可以允许主机A访问人力资源系统，而禁止主机B访问；还可以允许工作人员只在午休等非工作时间访问某些特定服务。

令人头疼的逻辑策略管理

      过去，安全运维人员由于管理的应用策略众多，同时又没有简单易用的管理工具，所以往往只能通过人工的、经验式的方式进行策略添加、策略检查和单一的策略查找。耗时费力不说，还总是会出现以下的问题：

策略难控

      对于繁多的控制规则，很有时候可能有所忽略，导致前后的添加的策略在逻辑上是冲突的，从而使部分策略失效或者没有更好地对安全策略进行把控。

任务繁重

为了更好地维护控制规则，需要定期人工检查，但是谁辛苦谁知道，而且还无法有效保证准确率。

排查纠错

针对新增的场景，想要知道到底有哪些策略是会对其产生影响的话，就需要一条条的查看，工作量之大令人心力交瘁。

辨识困难

      某些策略是单独针对特定的安全设备，过去只能修改名称加一个前缀用以区分，比如AF_XXXX这种方式。但这种方式在规则数目很多的情况下并没有起到实际分组的作用。

查找不便

      如果要利用搜索功能查找一条信息，只能通过其名称来查找，但是名称复杂往往不易记忆，所以会导致无法精确查找或者查找出的模糊匹配条目太多，极大降低了工作效率。

2秒内核查上千条ACL规则是个梦？

     一般来说遇到这些问题，运维人员首先会将ACL策略进行分类，在某一个类别里面看是否存在匹配次数为0的情况，如果有就需要重点关注。因为很可能是这条策略已经失效才导致不匹配，之后就需要凭借管理员的技能和经验加以判断了。

    但是，这种传统的方法存在BUG。首先匹配次数会在机器重启后自动清零，意味着这个判断方式并不完全准确。其次，即便匹配次数不为0，也不代表没有问题。因此，仅靠个人的技能和经验加以筛选，效率和准确度并不理想。

那如果想在2秒内准确查找到上千条ACL规则中的错误，对于传统方法来说简直就是天方夜谭，但是某公司安全产品可以做到。

在使用某公司安全产品时，可以对ACL逻辑进行配置，利用ACL逻辑错误自检功能自动化、高效地对ACL逻辑进行核对，有效规避各类错误，提高工作效率。

丰富的常用功能

      ACL逻辑管理中一般都有新增、删除、启用、禁用、导入和导出以及刷新功能。这些常用的功能方便相关人员进行策略的增删和使用管理。

新增的策略管理辅助模块

      此外，可以通过失效策略检查、启用定期检查、模拟策略匹配和分组管理功能分别可以解决策略难控、任务繁重、排查纠错和辨识困难的问题。

强大的策略查找功能与策略调级矛盾自检

      对于查找不便的情况，也可以通过搜索功能进行精确定位，这种搜索功能比传统方式强大许多，精确到什么程度呢？比如搜索“全部”，可以看到在详细信息中，所有包含“全部”字样的条目都会展现出来，而不仅仅局限于名称部分。此外，一般还可通过上移和下移的功能，方便安全运维人员对某些策略的升优先级和降优先级操作。而一旦操作后导致策略上产生矛盾，管理界面将会提示。

总结

对于安全产品而言，如果ACL逻辑是混乱的，不仅会给运维人员带来繁重的工作量还可能诱发无法预知的安全事件。因此，某公司希望可以通过工具化的手段、自动化的方式将ACL逻辑的问题所在予以呈现，让IT更简单、更安全、更有价值。

ACL的使用，您学会了么?

对于某公司安全产品中的ACL功能，您还有哪些需求、建议，欢迎跟帖~

支持~

配置核查？

不错，长知识了 。。。

其实有一个bug：
当内网有两个同一个网段的透明口，网关配置在vlan接口上。
放通LAN到WAN时，本来只需选择源区域为vlan接口所在区域即可
但是配置完后，该策略显示感叹号，但又不影响上网·····。
于是源区域再加上两个透明口所在区域之后，该策略的感叹号就消失了····。
之后再去掉两个透明口所在区域，这时该策略就不显示感叹号了····。
真是无语········

这个功能很实用。研发哥给力！！！

只有这个是不够的，应该要有ACL的匹配历史记录，某些ACL3个月从未命中的就应该列出给用户审核。