网络中的流量错综复杂，安全策略的部署不可能一蹴而就，而任何错误的操作都可能影响组织的正常工作，所有的安全人员都对此提心吊胆。在把防火墙接入网络之前，防火墙管理员最大的困惑是，如何开始配置防火墙安全策略，才能不影响业务运行？

实际上，有一种万无一失的方法，可以降低这种风险，保证业务零中断

这个部署方法既适用于防火墙首次接入网络时初始部署安全策略，也适用于安全策略的优化。如果当前部署的某个安全策略不够精确（如指定了Any作为匹配条件），你可以参照这个方法来确定更具体的匹配条件。

通常情况下，安全策略中不指定用户、应用、URL分类、时间段是可以接受的。但是源/目的IP地址、源/目的安全区域、服务应指定具体的范围。

【1】确定防火墙在网络中的部署位置，并使用安全区域划分网络。你需要对照组网图，了解当前网络资源的分布情况，识别关键信息资产、服务及其安全等级。

【2】尽你所能了解当前网络中的运行的合法业务，建立白名单。业务白名单通常有以下几类。

• 网络基础设施，如路由协议、NTP、FTP、DNS、VPN等。

• 企业IT基础设施，如AD/LDAP认证服务、企业邮箱、Windows Update升级服务等。

• 管理服务，如SNMP、SSH、RDP远程桌面等。

• 企业办公应用和服务，如MySQL、Salesforce、GitHub、Office 365、企业自建服务等。

• 个人应用和服务，如上网、社交媒体、私人邮箱等。

【3】结合企业信息安全政策（Information security policy）、用户组结构和业务白名单，确定通信矩阵和业务访问规则。

【4】类似的，尽你所能了解需要禁止的高风险应用和非法业务（企业信息安全政策禁止的服务），建立黑名单，确定业务禁止规则。

【5】首先在防火墙上创建一条允许所有流量的临时安全策略，并记录策略命中日志。

表1-1 临时安全策略示意

【7】分析策略命中日志，识别并判断业务的合法性和必要性，并添加新的、精确的安全策略。在分析策略命中日志时，重点关注业务的源/目的IP地址、源/目的安全区域、服务/端口，识别出同类业务。然后把策略命中日志中离散的IP地址合并为地址段，创建地址组，并在精确安全策略中引用。建议优先分析和处理命中次数最多的服务/端口或应用（如图1-1中的TCP3389），这样可以快速减少日志的数量。

除了使用Web界面，你还可以从日志服务器查看策略命中日志，或者使用命令行display firewall session table verbose policy "Temporary Security Policy"。

图1-1 策略命中日志列表

【8】把新添加的精确安全策略移动到临时安全策略的前面。

【9】清除临时安全策略的命中计数，继续观察和分析日志、添加精确安全策略，直到没有流量命中临时安全策略。根据网络业务复杂度的不同，这个过程可能需要几个小时，甚至几天。

【10】在确认网络中所有流量都得到了充分的分析以后，删除临时策略。

【11】分析放行业务可能存在的安全风险，为安全策略添加合适的内容安全配置文件。