從理論上講,防火墻是一個神奇的安全集中器�,是外部世界和受保護的網(wǎng)絡之間高性能的網(wǎng)關(guān)。理想情況下���,它是一個易于控制的單點配置�����,允許你部署多個最佳安全技術(shù)。并且��,它永遠不會讓你在晚上睡覺時翻來覆去地想它的配置是否存在漏洞���,而導致企業(yè)數(shù)據(jù)泄露��。但網(wǎng)絡安全管理的現(xiàn)實并非如此:其實我們的防火墻不可能永遠保持“刀槍不入” 的狀態(tài)��。
很少有安全管理員能夠“貫穿”防火墻的整個生命周期�,他們可能沒有參與配置或者設(shè)置初始規(guī)則,或者沒有參與政策管理����、審批和記錄,也可能是沒有參與政策遷移到后續(xù)硬件之前的徹底重新審查����。99%的防火墻管理員從別人那里“繼承”這些防火墻,他們徹夜無眠是因為���,他們意識到他們繼承的是一堆“殘渣”:幾乎沒有可讀的策略庫��,其中可能包含幾十個甚至上百個潛在漏洞���。
解決方法包括企業(yè)范圍內(nèi)的偵查工作、業(yè)務流程逆向工程�、查看詳細的文檔和定期繁瑣的維護——這是IT人員痛恨的工作。除非是必須�,管理員才不會處理這些繁瑣程序,大多數(shù)人寧愿專注于子網(wǎng)和生成樹。防火墻很讓人頭疼�����。
攻擊者和破壞政策的高層
如果你從沒管理過防火墻���,你可能會認為這個工作與管理任何其他網(wǎng)絡設(shè)備上的ACL類似�。有規(guī)則來識別流量��,并設(shè)有政策來對違反那些規(guī)則的流量采取行動�����。防火墻應該只是標準的網(wǎng)絡配置管理���,而不是什么藝術(shù)或魔術(shù)�����。如果企業(yè)IT政策阻止流量�,而用戶不喜歡的話��,就讓他們閱讀企業(yè)IT政策���,用戶逐漸會遵守政策����。
但實際上���,除了來自刺探你網(wǎng)絡中未知漏洞的攻擊者(可能甚至是政府授權(quán)的攻擊者)的外部威脅����,你的外部防火墻還受到異常安全請求的內(nèi)部威脅����。很多這些請求來自高管,他們一心想要拓展業(yè)務��。還有些來自高層管理人員���,他們可以改變政策,但對安全的認識有限�。他們會找到你的經(jīng)理,要求處理他們的請求���,最后你怒了����,你不得不申請一次特殊處理。
救援軟件
幸運的是這個問題很普遍�����,大家已經(jīng)都意識到這些問題的嚴重性�����。這些問題讓廠商看到安全管理的商機�����。防火墻安全管理產(chǎn)品就像企業(yè)中的安全“忍者”����,提供正常分析、配置清理���、政策合規(guī)報告����,甚至是最佳做法建議��。一些防火墻甚至支持流量模擬�,在部署防火墻之前允許你測試可能的情況。而幾乎所有防火墻都有必備的政策評論功能�。
防火墻能夠存儲原有業(yè)務的簡單總結(jié),策略有效期可定�����,并提供政策聯(lián)系信息����,這可以防止今天臨時的例外成為明天永久的漏洞。它還允許團隊進行協(xié)作��。網(wǎng)絡安全管理不僅能夠?qū)⒎阑饓σ平唤o下一任���,最好你還能確保你的防火墻能夠“履行其職責”����。
