1.策略静态审查与分析

策略静态审查与分析随着网络复杂度的提升，防火墙的策略也变得日益庞大，而其中通常有大量无用或者冗余的安全策略，过多的安全策略严重降低了防火墙的性能及效率。通过防火墙策略多维审计平台，管理员可查看哪些安全策略是不必要的冗余配置，进一步根据该报告清理这些多余的安全策略。通过对防火墙策略逐条分析，从开放范围、策略冗余和策略冲突等几个方面静态分析策略问题，生成宽松策略、重复策略、包含策略、交叉策略、冲突策略、过期策略、敏感策略【高危端口、核心管理端口】等报表。

2.防绕行审计

随着安全意识的提升，越来越多的企业已经建设了堡垒机或访问控制系统未通过访问控制系统直接登录设备的情况称为绕行访问。防火墙策略多维审计系统可检查策略是否存在绕行可能，例如：对于设备的SSH、TELNET、远程桌面等管理端口（支持自定义管理端口），只允许对访问控制系统和应急终端开放，则可从网络层面彻底切断绕行可能，保障访问控制系统的使用效果。

3.策略动态审计

在真实的生产环境中，大量防火墙积累了成千上万条策略。由于不知道每条策略的具体使用情况，管理员们不敢轻易删除，一旦删除了使用中的策略，会影响业务运行、造成大量损失，这也是防火墙策略管理的难点和痛点。通过自动化监测防火墙每条策略的实际的命中使用次数，可以帮助管理员掌握成千上万条策略的实际使用情况，可将经常用的策略放到最前面和精简长时间（半年或一年)没有使用的策略，既节省了防火墙的性能开销，又加强了安全性。

例如：管理员会在防火墙上配置一些“Any”类型的安全策略。但在管理上,非常需要知道这些“Any”类型安全策略下的流量状况，包括特定应用流量的占比，如HTTP 流量百分比多少，TCP端口443 的占比多少等。通过本平台，管理员可查看任何一条安全策略的流量详细信息，包括各种应用的占比等系统支持实时分析当前时刻某设备上访问控制策略的使用状况，给出每条安全规则的利用率。支持基于特定时间段内、特定命中率范围、或特定命中次数范围等条件，对安全策略使用率信息进行查询。当然这需要了解这些安全策略的真实流量状况，包括具体的源和目的都是谁，特定应用的发生频次等。通过本平台，管理员可查看任何一条安全策略的流量详细信息，包括各种应用的占比等。管理员可以根据该报告制定更加有针对性、更加准确的安全策略，从而提升防火墙的安全性。

4.策略脚本迁移和策略版本对比分析

系统支持通过策略配置信息和防火墙品牌型号自动生成策略脚本，并可实现不同品牌防火墙的策略脚本转换和迁移对设备的任意两个不同的策略版本进行比对，发现差异，如新增的、删除的、同策略ID 发生变化的等。策略版本比对分析分为两种情况：（1）同一设备不同时间节点的比对。为了对比指定设备的指定两个时间点的策略区别，选择这两个版本后系统自动识别不同配置信息，使用红色加粗字体明亮显示。（2）不同设备的策略比对。选择不同设备的两个策略进行比对，主要用于主/备设备的策略比对分析，以及迁移前后设备的策略比对等情况。