从理论上讲,防火墙是一个神奇的安全集中器,是外部世界和受保护的网络之间高性能的网关。理想情况下,它是一个易于控制的单点配置,允许你部署多个最佳安全技术。并且,它永远不会让你在晚上睡觉时翻来覆去地想它的配置是否存在漏洞,而导致企业数据泄露。但网络安全管理的现实并非如此:其实我们的防火墙不可能永远保持“刀枪不入”的状态。
很少有安全管理员能够“贯穿”防火墙的整个生命周期,他们可能没有参与配置或者设置初始规则,或者没有参与政策管理、审批和记录,也可能是没有参与政策迁移到后续硬件之前的彻底重新审查。99%的防火墙管理员从别人那里“继承”这些防火墙,他们彻夜无眠是因为,他们意识到他们继承的是一堆“残渣”:几乎没有可读的策略库,其中可能包含几十个甚至上百个潜在漏洞。
解决方法包括企业范围内的侦查工作、业务流程逆向工程、查看详细的文档和定期繁琐的维护——这是IT人员痛恨的工作。除非是必须,管理员才不会处理这些繁琐程序,大多数人宁愿专注于子网和生成树。防火墙很让人头疼。
攻击者和破坏政策的高层
如果你从没管理过防火墙,你可能会认为这个工作与管理任何其他网络设备上的ACL类似。有规则来识别流量,并设有政策来对违反那些规则的流量采取行动。防火墙应该只是标准的网络配置管理,而不是什么艺术或魔术。如果企业IT政策阻止流量,而用户不喜欢的话,就让他们阅读企业IT政策,用户逐渐会遵守政策。
但实际上,除了来自刺探你网络中未知漏洞的攻击者(可能甚至是政府授权的攻击者)的外部威胁,你的外部防火墙还受到异常安全请求的内部威胁。很多这些请求来自高管,他们一心想要拓展业务。还有些来自高层管理人员,他们可以改变政策,但对安全的认识有限。他们会找到你的经理,要求处理他们的请求,最后你怒了,你不得不申请一次特殊处理。
救援软件
幸运的是这个问题很普遍,大家已经都意识到这些问题的严重性。这些问题让厂商看到安全管理的商机。防火墙安全管理产品就像企业中的安全“忍者”,提供正常分析、配置清理、政策合规报告,甚至是最佳做法建议。一些防火墙甚至支持流量模拟,在部署防火墙之前允许你测试可能的情况。而几乎所有防火墙都有必备的政策评论功能。
防火墙能够存储原有业务的简单总结,策略有效期可定,并提供政策联系信息,这可以防止今天临时的例外成为明天永久的漏洞。它还允许团队进行协作。网络安全管理不仅能够将防火墙移交给下一任,最好你还能确保你的防火墙能够“履行其职责”。