什么是政策执行？

策略实施是根据定义允许访问的条件的一个或多个策略来管理网络和应用的连接、访问和使用的过程。

在计算环境中，策略实施通常是指创建、分类、管理、监控和自动执行使用计算机或通信网络的一组特定要求 - 也就是说，不仅是策略的实施，而且更广泛地说是策略的定义、应用和管理。

策略可以解决几乎任何“谁、什么、哪里、何时、如何或为什么”的参数，包括谁可以访问资源、何时、从哪里、使用什么设备或软件、用户在获得访问权限后可以做什么和不能做什么、访问多长时间以及进行什么样的审计或监控。 策略还可以解决更多技术交互或要求，例如要接受的协议、要使用的端口或连接超时。

组织制定政策来控制、管理其资产和服务，有时甚至将其货币化。 网络策略实施有助于自动化数据和资产安全措施，包括 BYOD 要求。 例如，它可以使服务提供商针对特定服务或使用时间创建差别费率。 它还可用于帮助执行企业道德标准（例如将公司设备和时间用于个人目的）以及更好地理解和管理网络使用。

策略实施通常由充当网关、代理、防火墙或网络中的其他集中控制点的软件或硬件来处理。 首先必须定义政策，以及发生违规时将采取的一个或多个措施。 一旦定义了策略，软件或硬件就成为网络中的策略执行点——策略执行分为三个部分：

• 对连接或请求的评估
• 将评估状态与已知策略进行比较，以确定连接是否违反一条（或多条）
• 最终的操作，从处理请求到断开连接或列入拒绝名单。

例如，一项策略可以识别已知的恶意 IP 地址，并指定拒绝来自这些地址的所有流量。 更复杂的策略可能允许特定用户连接某些applications但不允许其他应用程序连接，或者允许其在连接后执行某些操作，而这些操作会比其他操作产生更高的费用（例如在高分辨率设备上使用流媒体服务）。 这样，身份验证、授权和记帐 (AAA) 系统就是一种策略执行形式。

网络策略实施可能要求遵守更复杂、更细致的参数，例如是否存在未过期的证书、用于连接的设备或浏览器的类型或版本，或者是否存在与攻击相关的行为模式。

监控或记录整个执行过程，特别是不合规事件，通常是政策执行解决方案的一部分。

多个 F5 产品可充当网关或完整代理，从而能够从单一集中的控制点对策略创建和实施进行精细控制。 特别是， BIG-IP 策略执行管理器 (PEM)为寻求通过服务盈利并提高网络性能的服务提供商提供了复杂的控制。 对于企业而言， BIG-IP 访问策略管理器 (APM)通过名为可视化策略编辑器 (VPE) 的图形用户界面提供基于上下文的applications访问管理，从而可以轻松创建、编辑和管理基于上下文的身份感知策略。