Optymalizacja zasad służy do utrzymania porządku w ustalonych politykach.
Optymalizację można przeprowadzić m.in. poprzez:
– wyłączenie/usunięcie polityk dawno nie używanych
– wyłączenie/usunięcie polityk stosowanych sporadycznie
– wyłączenie/usunięcie polityk redundantnych (powtarzających się)
Optymalizacja, dostępna w zakładce Policy -> Security Policy -> Policy Optimization składa się z 3 sekcji:
1. Policy Hit Analysis
Podstawowym narzędziem analizy trafień jest filtr (przycisk Filter). Można nim odseparować polityki według trzech kryteriów:
– liczby dni od założenia polityki
– liczby dni od pierwszego zadziałania polityki
– liczby dni od ostatniego zadziałania polityki
2. Redundancy Check
Wykrywa polityki, które się wzajemnie przesłaniają lub pokrywają, oraz wskazuje polityki, których elementy są względem siebie redundantne.
3. PolicyAssistant
W celu użycia asystenta polityk należy włączyć go dla wybranej polityki w zakładce Policy->Security Policy->Policy i wybrać politykę, której ruch chcemy monitorować (więcej w poradniku: Optymalizacja polityk (zabezpieczenia.it).
Asystent prowadzi tu przez 5 etapów:
– Wyświetlanie ruchu sieciowego (Display Traffic) – dla wybranej polityki wyświetla tabelę zdarzeń z parametrami: strefy źródła, źródłowego adres IP, strefy docelowej, docelowego adres IP i typu (rodzaju usługi) ruchu sieciowego trafiającego do wybranej polityki.
– Generowanie usług na podstawie protokołów sieciowych (Generate Service). Opcjonalne – można pominąć włączając/wyłączając w Display Traffic.
– Podmiana polityki (Replace Policy) – pozwala zmienić politykę na podstawie jej wcześniejszego działania. Zmiany dotyczą adresu źródłowego, docelowego i protokołu (do wyboru TCP, UDP i ICMP).
– Agregacja/spajanie polityk (Aggregating Policy) – daje możliwość łączenia polityk pokrywających się, celem zmniejszenia ich nadmiarowości.
– Generowanie polityk (Generate Policy) – pozwala, na podstawie pojedynczych, odnotowanych działań, wygenerować nową, bardziej szczegółowo zdefiniowaną politykę. Wygenerowana polityka będzie widoczna w zakładce Policy -> Security Policy -> Policy, aktywna lub nieaktywna (zależnie od wyboru Generate & Enable / Generate & Disable).
Przykładowa agregacja polityk względem usług (protokołów i portów):