之前在帮客户做防火墙策略梳理的工作，在此写一些方法和总结

写在前面的建议：有流量分析的设备尽量用设备来做梳理。

前言：
此次做梳理的原因是客户想把防火墙模式改为白名单模式，之前为黑名单模式，最后一条是默认全通。改为白名单模式后最后一条默认全部禁止，增加安全性。

大体方法：

收集日志——>筛选梳理——>形成策略以及调整

1.收集日志（这个日志主要是业务日志，带源地址、源端口，目的地址、目的端口的那种）

开启现有策略的日志记录功能，尤其是最后一条默认通过策略。

如果防火墙设备配备了硬盘（或存储空间足够）的话，在不影响防火墙工作性能的前提下可以用防火墙设备来收集，收集完毕后导出进行分析筛选。

如果防火墙没有足够的空间来保存日志就只能自行搭建一个日志服务器来进行收集了，最简单的方法就是安装一个Syslog Watcher。可以用官网最新版的（可以免费试用一个月），也可以自己去网上找低版本的破解版。

人工梳理的话要注意收集日志的数量，要适量，不能过多也不能过少。过多会导致你筛选困难，过少无法形成有效的策略。建议一次收集一天左右，如果业务量很大可以适当减少到半天或者只收集业务高峰期。以我为例，客户一天的业务时间一般是从早上10点到晚上的21点左右（可以询问客户或者直接在防火墙的流量统计上观察），我就只收集这期间的日志。可以通过windows的计划任务功能实现定时开启/关闭收集日志。

初期一般收集3-5次就可以观察效果如何了。

2.筛选梳理

这部分工作比较繁琐，面对海量的日志你要用合适的方法来梳理。然后形成有效的策略。

主要收集策略允许通过的，TCP和UDP要分开梳理，顺便附上流量日志中常见的protocol和数字对照表：

protocol=1      ICMP
protocol=6     TCP
protocol=17    UDP
protocol=41    IPV6

更详细的看这里:https://blog.csdn.net/zhou1021jian/article/details/80337308

策略拒绝通过的日志根据要求选择是否进行梳理。

初期的筛选一般只看目的地址和目的端口，这两个合起来唯一算是一条策略，然后根据此条策略在日志中出现的次数决定是否要添加。

至于源地址要根据客户各个地区的ip段来添加限制，源端口除特殊情况外一般不做限制。

Syslog Watcher可以导出csv格式的日志，csv可以用Excel来打开。可以利用强大的Excel来进行筛选。当然也可以用利用linux shell命令来进行筛选，总之怎么方便怎么快速就怎么来。

但是Excel对文件大小是有限制的：

所以用Excel梳理只适用于不是大量的日志。顺便推荐一个可以打开csv大文件的工具：Snapde。

我这个环节一开始也是利用Excel筛选，很繁琐。后来量大的就没法用了，于是求助了一个大佬针对这个导出的csv的日志格式利用python写了一个脚本。这个脚本可以把这样的日志：

变成这样的结果：

根据自己需要修改脚本就可以了。上图是只取了目的ip和目的端口。后面的是策略名字和次数。脚本原理就是利用python中对excel操作的模块来实现梳理。由于不是我本人编写的暂时就不发源码了，如果有需要的话可以联系我。