防火牆的Policy管理者經常在開啟Policy 之後就不會再去理會,久而久之整個Policy變得相當多且複雜。如果再經過幾次的交接,對後面接手的人而言,更是不敢隨便去異動以前的Policy 了。
透過Policy Usage Report,可以將防火牆的Policy使用情況列表出來,將未被使用到的Policy重新檢視過,刪除不必要的,減少管理的複雜,也降低防火牆的負擔。
WatchGuard 在新的WatchGuard Dimension 上的Policy Map 雖然可以圖形化顯示Policy使用情況,但卻無法將未使用的Policy列出。
但我們可以透過WatchGuard CLI 方式來取得這部分資料
Login Command Line Interface 之後,只要執行以下指令
WG#show connection count by-policy,立刻會得到如下圖的連線資訊
如果Policy 已經上百條的話,就建議先將此內容存到文字檔,再匯入Excel 直接轉成表格,這樣也比較好做後續的管理。
好的管理方式,應該在新增Policy時,就定義下每條策略的落日(或是review)時間,並做好每條策略的使用描述,未來在管理上也才相對方便。
0 意見:
張貼留言