從理論上講����,防火墻是一個神奇的安全集中器�����,是外部世界和受保護的網絡之間高性能的網關����。理想情況下,它是一個易于控制的單點配置�����,允許你部署多個最佳安全技術���。并且����,它永遠不會讓你在晚上睡覺時翻來覆去地想它的配置是否存在漏洞�,而導致企業(yè)數據泄露。但網絡安全管理的現(xiàn)實并非如此:其實我們的防火墻不可能永遠保持“刀槍不入” 的狀態(tài)����。
很少有安全管理員能夠“貫穿”防火墻的整個生命周期���,他們可能沒有參與配置或者設置初始規(guī)則,或者沒有參與政策管理�、審批和記錄���,也可能是沒有參與政策遷移到后續(xù)硬件之前的徹底重新審查�����。99%的防火墻管理員從別人那里“繼承”這些防火墻����,他們徹夜無眠是因為�,他們意識到他們繼承的是一堆“殘渣”:幾乎沒有可讀的策略庫,其中可能包含幾十個甚至上百個潛在漏洞����。
解決方法包括企業(yè)范圍內的偵查工作、業(yè)務流程逆向工程��、查看詳細的文檔和定期繁瑣的維護——這是IT人員痛恨的工作�。除非是必須�,管理員才不會處理這些繁瑣程序�����,大多數人寧愿專注于子網和生成樹���。防火墻很讓人頭疼�����。
攻擊者和破壞政策的高層
如果你從沒管理過防火墻�����,你可能會認為這個工作與管理任何其他網絡設備上的ACL類似�。有規(guī)則來識別流量�,并設有政策來對違反那些規(guī)則的流量采取行動。防火墻應該只是標準的網絡配置管理�,而不是什么藝術或魔術。如果企業(yè)IT政策阻止流量���,而用戶不喜歡的話�����,就讓他們閱讀企業(yè)IT政策����,用戶逐漸會遵守政策。
但實際上����,除了來自刺探你網絡中未知漏洞的攻擊者(可能甚至是政府授權的攻擊者)的外部威脅,你的外部防火墻還受到異常安全請求的內部威脅���。很多這些請求來自高管,他們一心想要拓展業(yè)務����。還有些來自高層管理人員,他們可以改變政策����,但對安全的認識有限。他們會找到你的經理��,要求處理他們的請求�,最后你怒了,你不得不申請一次特殊處理����。
救援軟件
幸運的是這個問題很普遍����,大家已經都意識到這些問題的嚴重性�����。這些問題讓廠商看到安全管理的商機�。防火墻安全管理產品就像企業(yè)中的安全“忍者”,提供正常分析��、配置清理��、政策合規(guī)報告��,甚至是最佳做法建議�。一些防火墻甚至支持流量模擬,在部署防火墻之前允許你測試可能的情況��。而幾乎所有防火墻都有必備的政策評論功能��。
防火墻能夠存儲原有業(yè)務的簡單總結����,策略有效期可定��,并提供政策聯(lián)系信息��,這可以防止今天臨時的例外成為明天永久的漏洞�。它還允許團隊進行協(xié)作���。網絡安全管理不僅能夠將防火墻移交給下一任�����,最好你還能確保你的防火墻能夠“履行其職責”�����。
