下一代防火墻將通過集成入侵防御和應(yīng)用與用戶監(jiān)控功能來提升網(wǎng)絡(luò)安全性，但是它們也會帶來新的管理挑戰(zhàn)。由于傳統(tǒng)防火墻充斥了大量廢棄的規(guī)則，所以防火墻管理總是一個有挑戰(zhàn)的工作。但是，在使用下一代防火墻管理技術(shù)之后，網(wǎng)絡(luò)安全專業(yè)人員將需要維護(hù)更多的規(guī)則和策略。

斯坦福德Gartner公司研究副總裁Greg Young說：“防火墻規(guī)則總是到處泛濫，但是入侵防御和應(yīng)用控制使問題更加復(fù)雜?，F(xiàn)在正是使用下一代防火墻降低復(fù)雜性的時機(jī)，但是如果實(shí)施不當(dāng)，則可能會適得其反。”

最近，Osterman Research代表安全與風(fēng)險(xiǎn)管理公司Skybox Security對209家企業(yè)進(jìn)行了一次關(guān)于下一代防火墻管理的調(diào)查。在調(diào)查中，他們邀請網(wǎng)絡(luò)安全人員列舉下一代防火墻管理的三大挑戰(zhàn)，其中包括：確認(rèn)訪問策略與網(wǎng)絡(luò)分片策略是否正確實(shí)施（39%）；維護(hù)入侵防御系統(tǒng)(IPS)簽名（37%）；以及優(yōu)化防火墻規(guī)則集（36%）。

在有狀態(tài)防火墻中，規(guī)則與策略的復(fù)雜性迫使網(wǎng)絡(luò)安全管理員在防火墻管理方法中整合更多的業(yè)務(wù)邏輯。Skybox的CEO及創(chuàng)始人Gidi Cohen說：“下一代防火墻規(guī)則將控制哪些用戶群組在哪個時間段可以訪問Web應(yīng)用或社交網(wǎng)絡(luò)。不僅規(guī)則變得更加復(fù)雜，而且組織的安全策略邏輯也變得更加復(fù)雜。這是一個計(jì)劃挑戰(zhàn)、協(xié)調(diào)挑戰(zhàn)，也是一個技術(shù)挑戰(zhàn)。”

Young指出，網(wǎng)絡(luò)安全人員需要拋棄“老派的”防火墻管理方法，轉(zhuǎn)而采用下一代產(chǎn)品。例如，他說，改變對應(yīng)用控制規(guī)則和策略的控制不可能像基于端口的傳統(tǒng)規(guī)則一樣。

在傳統(tǒng)防火墻上，任何變更都需要發(fā)起一個變更請求。如果開發(fā)團(tuán)隊(duì)希望啟動一個新應(yīng)用程序，那么它會發(fā)送一個變更請求到防火墻上要求打開端口。這種細(xì)致方法不適用于下一代防火墻的應(yīng)用監(jiān)控。Young說：“要采用不同的方法。您可以批準(zhǔn)特定類型的應(yīng)用程序。您可以說：‘除了特定的情況，我們不允許使用任何點(diǎn)對點(diǎn)應(yīng)用程序。’所以如果發(fā)現(xiàn)一個點(diǎn)對點(diǎn)應(yīng)用程序，而防火墻管理員又希望批準(zhǔn)這條規(guī)則，那么它應(yīng)該以預(yù)先批準(zhǔn)的方式進(jìn)行處理。”

Young指出，網(wǎng)絡(luò)安全人員需要拋棄“老派的”防火墻管理方法，轉(zhuǎn)而采用下一代產(chǎn)品。例如，他說，改變對應(yīng)用控制規(guī)則和策略的控制不可能像基于端口的傳統(tǒng)規(guī)則一樣。

在傳統(tǒng)防火墻上，任何變更都需要發(fā)起一個變更請求。如果開發(fā)團(tuán)隊(duì)希望啟動一個新應(yīng)用程序，那么它會發(fā)送一個變更請求到防火墻上要求打開端口。這種細(xì)致方法不適用于下一代防火墻的應(yīng)用監(jiān)控。Young說：“要采用不同的方法。您可以批準(zhǔn)特定類型的應(yīng)用程序。您可以說：‘除了特定的情況，我們不允許使用任何點(diǎn)對點(diǎn)應(yīng)用程序。’所以如果發(fā)現(xiàn)一個點(diǎn)對點(diǎn)應(yīng)用程序，而防火墻管理員又希望批準(zhǔn)這條規(guī)則，那么它應(yīng)該以預(yù)先批準(zhǔn)的方式進(jìn)行處理。”

下一代防火墻管理是一種成熟且協(xié)調(diào)的方法

企業(yè)管理聯(lián)盟研究主管Scott Crawford指出，在廣義上，防火墻管理就是變更控制。擁有成熟防火墻變更管理方法的企業(yè)更能避免安全漏洞和性能破壞問題。在下一代防火墻中，隨著防火墻環(huán)境變得越來越復(fù)雜，自動化也變得越來越重要。Skybox的調(diào)查發(fā)現(xiàn)，有58%的企業(yè)在他們的下一代防火墻上部署了100條以上的規(guī)則，而有35%的公司每個月執(zhí)行100次以上變更。

Crawford說，在這些復(fù)雜環(huán)境中，用戶必須利用自動化方法，因?yàn)樗麄兺ǔ＿^于復(fù)雜，而無法通過手工流程進(jìn)行可靠管理。在部署之前，一定要在您的建模范圍內(nèi)驗(yàn)證您規(guī)劃的所有變更，然后跟蹤這些變更，保證它們按預(yù)期方式部署。此外，您需要設(shè)定一個回滾變更的流程，這樣才不會產(chǎn)生其他問題。

Skybox、Tufin Technologies、AlgoSec和Athena Security等供應(yīng)商在專門研究這些問題。他們提供了防火墻變更控制產(chǎn)品，其中大多數(shù)都可以對這些變更影響網(wǎng)絡(luò)的方式進(jìn)行建模。此外，這些供應(yīng)商正在將他們的產(chǎn)品更新到下一代防火墻管理技術(shù)。

如果一個IT組織的下一代防火墻管理團(tuán)隊(duì)與網(wǎng)絡(luò)運(yùn)營團(tuán)隊(duì)屬于獨(dú)立實(shí)體，那么網(wǎng)絡(luò)安全團(tuán)隊(duì)還應(yīng)該保證要這兩個團(tuán)隊(duì)協(xié)調(diào)一致。Crawford說：“即使在下一代防火墻出現(xiàn)之前，我們也發(fā)現(xiàn)一些組織遇到一些預(yù)料到的性能水平和可用性中斷的問題，因?yàn)榘踩呗栽诓恢罆a(chǎn)生什么影響的情況下就應(yīng)用了。”

“當(dāng)您增加了感知應(yīng)用的防火墻，這個挑戰(zhàn)越來越大。即使在分布式網(wǎng)絡(luò)的客戶端，如果您部署WAN優(yōu)化設(shè)備，那么您會希望將它是專門為應(yīng)用程序的設(shè)備。您需要在網(wǎng)絡(luò)性能、可用性與安全性需求之間做出協(xié)調(diào)，以避免出現(xiàn)沖突和增加暴露風(fēng)險(xiǎn)。”

另一個問題：防火墻的入侵防御

Skybox的調(diào)查證明，許多企業(yè)在管理下一代防火墻上的入侵防御簽名時舉步維艱。有86%的公司計(jì)劃在他們的防火墻上使用IPS模塊；他們中有65%處于在線防御模式。管理這些模塊的IPS簽名并不容易。只有54%的公司由供應(yīng)商自動更新。三分之二的公司正嘗試手動管理這些簽名。

Gartner的Young說：“默認(rèn)簽名集只是一個入口。接著是優(yōu)先值。例如，如果您沒有Oracle數(shù)據(jù)庫，則不要啟用Oracle簽名。相反，如果您有大量的Oracle流量，則確實(shí)需要進(jìn)行優(yōu)化和調(diào)優(yōu)這些Oracle簽名。”

根據(jù)Skybox全球銷售副總裁Michelle Johnson Cobb的觀點(diǎn)，有一些企業(yè)希望了解這些簽名如何有效地阻擋威脅。她說：“他們是否真的阻擋住了原本我想要阻擋的威脅？有一些方法可以檢驗(yàn)它是否真的有用。”

如果用戶實(shí)施了大量潛在威脅的默認(rèn)簽名，那么它將會減慢流量傳輸速度。Cobb說：“所以，如果您的目標(biāo)之一是保證最高性能，同時有效阻擋威脅，那么這里需要一種平衡。此外，事情總會發(fā)生變化。在網(wǎng)絡(luò)中，每天都會出現(xiàn)新的漏洞或威脅。您可能要確定是否需要激活新的簽名。”

SkyBox剛剛增加了對Palo Alto Networks的IPS功能支持，它可以分析簽名，然后將它們映射到漏洞上。“您可以在一個控制面板顯示哪些簽名已激活，哪些漏洞被阻擋住，以及您可以打開哪些控制，從而得到更多的保護(hù)。”