從理論上講,防火墻是一個神奇的安全集中器����,是外部世界和受保護的網絡之間高性能的網關�。理想情況下�����,它是一個易于控制的單點配置��,允許你部署多個最佳安全技術��。并且�,它永遠不會讓你在晚上睡覺時翻來覆去地想它的配置是否存在漏洞���,而導致企業(yè)數據泄露。但網絡安全管理的現實并非如此:其實我們的防火墻不可能永遠保持“刀槍不入”的狀態(tài)��。
很少有安全管理員能夠“貫穿”防火墻的整個生命周期��,他們可能沒有參與配置或者設置初始規(guī)則��,或者沒有參與政策管理�����、審批和記錄��,也可能是沒有參與政策遷移到后續(xù)硬件之前的徹底重新審查。99%的防火墻管理員從別人那里“繼承”這些防火墻��,他們徹夜無眠是因為�,他們意識到他們繼承的是一堆“殘渣”:幾乎沒有可讀的策略庫,其中可能包含幾十個甚至上百個潛在漏洞�。
解決方法包括企業(yè)范圍內的偵查工作、業(yè)務流程逆向工程�����、查看詳細的文檔和定期繁瑣的維護——這是IT人員痛恨的工作���。除非是必須����,管理員才不會處理這些繁瑣程序����,大多數人寧愿專注于子網和生成樹。防火墻很讓人頭疼�����。
攻擊者和破壞政策的高層
如果你從沒管理過防火墻,你可能會認為這個工作與管理任何其他網絡設備上的ACL類似��。有規(guī)則來識別流量�,并設有政策來對違反那些規(guī)則的流量采取行動。防火墻應該只是標準的網絡配置管理�����,而不是什么藝術或魔術�。如果企業(yè)IT政策阻止流量,而用戶不喜歡的話��,就讓他們閱讀企業(yè)IT政策�����,用戶逐漸會遵守政策��。
但實際上���,除了來自刺探你網絡中未知漏洞的攻擊者(可能甚至是政府授權的攻擊者)的外部威脅,你的外部防火墻還受到異常安全請求的內部威脅����。很多這些請求來自高管,他們一心想要拓展業(yè)務。還有些來自高層管理人員����,他們可以改變政策,但對安全的認識有限�。他們會找到你的經理,要求處理他們的請求�,最后你怒了,你不得不申請一次特殊處理��。
救援軟件
幸運的是這個問題很普遍�����,大家已經都意識到這些問題的嚴重性��。這些問題讓廠商看到安全管理的商機���。防火墻安全管理產品就像企業(yè)中的安全“忍者”����,提供正常分析���、配置清理��、政策合規(guī)報告���,甚至是最佳做法建議��。一些防火墻甚至支持流量模擬�,在部署防火墻之前允許你測試可能的情況���。而幾乎所有防火墻都有必備的政策評論功能���。
防火墻能夠存儲原有業(yè)務的簡單總結,策略有效期可定����,并提供政策聯(lián)系信息,這可以防止今天臨時的例外成為明天永久的漏洞�����。它還允許團隊進行協(xié)作�。網絡安全管理不僅能夠將防火墻移交給下一任,最好你還能確保你的防火墻能夠“履行其職責”�。
