防火墙里的安全策略，是这个世界上最乱的东西之一，很多甲方想梳理清楚本单位的安全策略，给安全团队安排任务，邀请第三方安全服务公司等等方式，最后能成功梳理清楚，满足甲方最初预期的很少。安全策略梳理工作，是不是真的无从下手，没法实施呢？本文以参与过几次安全策略梳理的经验，讨论安全策略梳理的难点，同时对应的解决方式。

总结安全策略梳理工作难以满足要求的原因，不外乎几点：

甲方领导起了安全策略梳理的念头，第一时间会把工作安排给安全团队。安全团队需要找运维团队、业务部门配合，调研目前业务访问情况和安全策略现状，流程上是没错，但是，就这项调研工作，基本上就没法开展下去。调研工作需要的时间太多，没法让其他部门抛开当前工作，花大量的时间来配合。

防火墙策略太多，一般都是几千条，以项目的形式开展工作，周期太长，领导急于看到效果，匆忙给出的结果往往不尽如意。

很多策略的配置时间很久，有几年前配置的，当时配置的人员很难再找到，所以，因为什么原因配置，策略周期多久都没法再问到。这样的策略调研后也会被标注不明策略，最后会发现，最起码有60%的策略，都是不明策略。

安全策略的优化目标不明确，安全策略整改时，没有明确的目标作为对照。

分析以上的原因，为了避免安全策略梳理工作再次“入坑”，需要调整工作开展思路：

首先安排一名专职工程师，负责安全策略梳理工作，同时，可以把安全策略维护工作全部交给这名工程师来开展，如果策略维护是其他人负责，中间的沟通成本太高，另外，这名专职工程师负责全部的安全策略相关工作，也可以降低整体成本。工程师可以本单位IT部门安排，也可以找第三方公司，第三方公司提供人员的话，必须是驻场形式。

安全策略管理工程师，会接手单位安全策略工作，负责新增策略需求，策略调整，同时，主动熟悉了解策略单位安全策略配置情况，预计三个月左右，该工程师即为单位最了解安全策略的人。

开展安全策略调研工作，基于前期对整体环境和安全策略的熟悉程度，基本已经了解主要的安全策略，如安全域划分、NAT转换、反向代理、主要的业务服务提供等。依然还是有很多“不明策略”，需要向业务部门调研。这时候的调研工作，不再是像安全咨询工作那样，集中调研，而是，分批次，以自身主动了解为主，业务部门配合调研为辅的方式开展。

安全策略管理工程师在了解策略的基础上，开展安全策略梳理工作。

确定安全域

安全策略管理工程师首先要做的是确定安全域，安全域是具有相同安全边界的网络分区，是由路由器、交换机、防火墙等设备的ACL（访问控制列表）封闭起来的一个逻辑上的区域，可以跨地域存在，这个区域内所有主机具有相同的安全等级，内部网络自由可达。

访问数据流分析

在确定了安全域的基础上，对每个安全域之间的访问数据流进行分析，前文已经提到，每个安全域内部网络自由可达，安全策略主要配置在不同安全域之间的边界上，实现边界隔离。

安全策略管理工程师经过前期工作，已经基本调研清楚安全策略情况，将安全策略对应到安全域上，绘制安全域之间的访问数据流图谱。

安全策略优化

安全策略管理工程师这时候可以开展安全策略优化工作了，基于以下目标：

以安全域为主要节点，分析各安全域之间的数据流量访问关系，如果前期策略有重合部分，可以合并到一个大的策略中。同时，梳理清楚各个安全域的安全级别。

先确定主要数据访问关系，如：DMZ区域的门户网站对外网区域提供web服务，数据库区域对DMZ区域web服务器提供数据库服务等。主要数据访问关系的策略放在最前端（一般设备都是从上往下匹配策略，匹配到之后，就不再往下继续匹配了）其他临时开启、使用范围较小的策略、“不明策略”、放在后面。

对后面部分策略开始优化处理，可以在流量分析工具上抓取数据，对长时间不能匹配到的策略，关闭策略但是不删除，没有影响后，删除策略，做好记录，后期如果网络出现问题，可以在已删除策略中尝试恢复。对匹配到策略，但是流量很小的策略，调研清楚是哪些服务，跑的哪些数据，是否还在使用。

以最小开放原则优化安全策略，从业务侧开始，只开放最少的服务，不再需要开放时，及时关闭策略。

建立安全策略开启、废弃流程，确定安全策略的生命周期，持续优化，做到每条策略记录在册，每条策略的配置满足最小化开放需求、对设备性能消耗最小需求、不再需要时关闭需求。