第一款商業(yè)防火墻 DEC SEAL，于1992年發(fā)售。25年之后，防火墻依然是企業(yè)安全基礎(chǔ)設(shè)施中的核心構(gòu)件塊。誠然，防火墻自面世起經(jīng)過了很多發(fā)展變化，每個(gè)進(jìn)化階段都加入了更復(fù)雜的安全功能。

我們從僅需要用戶編寫出站策略的流量狀態(tài)防火墻，發(fā)展到支持更細(xì)粒度過濾和深度包檢測(cè)的下一代防火墻(NGFW)，不僅網(wǎng)絡(luò)協(xié)議和端口，特定應(yīng)用流量也能識(shí)別。虛擬數(shù)據(jù)中心的采用，引領(lǐng)了虛擬防火墻的發(fā)展，增添了更多需要管理的設(shè)備。

而如今，隨著向私有和公共云的遷移，出現(xiàn)了更多可供選擇的安全控制：商業(yè)云防火墻、云提供商自有的控制，以及基于主機(jī)的防火墻。

翻譯問題

目前的現(xiàn)實(shí)是，公司企業(yè)的環(huán)境通常都是混合的：數(shù)代防火墻、技術(shù)和廠商大雜燴。管理如此混雜的環(huán)境是一大挑戰(zhàn)，因?yàn)槊恳淮阑饓Α⒚總€(gè)廠商的產(chǎn)品，用的是不同的語法和語義來創(chuàng)建安全策略。

就拿同時(shí)采用傳統(tǒng)防火墻和NGFW的企業(yè)網(wǎng)絡(luò)來說。該企業(yè)可能有一套全公司范圍內(nèi)應(yīng)用的社交媒體站點(diǎn)封鎖規(guī)則，但其市場(chǎng)部又需要能夠訪問Facebook。Facebook流量流經(jīng)兩種類型的防火墻——意味著新安全策略需要針對(duì)兩種防火墻都來一份。

對(duì)NGFW而言，添加這條新規(guī)則直觀又簡單。Facebook可在防火墻規(guī)則集中被設(shè)置為預(yù)定義的‘允許’應(yīng)用，而對(duì)其他社交媒體站點(diǎn)的訪問和來自其他部門的訪問請(qǐng)求，則被禁止。然而，傳統(tǒng)防火墻理解不了“Facebook”這個(gè)詞：它只能理解Facebook使用的默認(rèn)“源地址”、“目的地址”、“服務(wù)”和“動(dòng)作”協(xié)議——http和https。

于是，實(shí)際上，在NGFW和傳統(tǒng)防火墻上做安全策略修改，涉及的是完全不同的過程和語言。配置設(shè)備的工程師必須既要清楚了解應(yīng)用間的映射(因?yàn)橐贜GFW中定義)，還要熟知它們各自的服務(wù)、協(xié)議和端口(因?yàn)橐趥鹘y(tǒng)防火墻中定義)，這樣規(guī)則和策略才能在兩種環(huán)境中都得到正確的設(shè)置。

編寫這些策略或作出網(wǎng)絡(luò)變動(dòng)時(shí)，各產(chǎn)品間出現(xiàn)的任何錯(cuò)誤或“翻譯差錯(cuò)”，都有可能導(dǎo)致非預(yù)期的應(yīng)用掉線或引入安全漏洞——要么源于重要流量被無心封堵，要么是其他流量被無意間允許了。典型企業(yè)網(wǎng)絡(luò)環(huán)境中都有數(shù)十乃至上百個(gè)防火墻，如此倍增下來，無異于通往超級(jí)大混亂的絕佳秘方。

云端并發(fā)癥

當(dāng)這些過程擴(kuò)展到云部署，取決于所用的云安全控制，IT團(tuán)隊(duì)還會(huì)遭遇到額外的難題。某家云提供商可能會(huì)對(duì)特定服務(wù)器提供多個(gè)安全分組，而其他提供商可能只允許單一安全組——但又可能允許與VLAN中所有服務(wù)器相關(guān)聯(lián)的安全組。從較高層次看，你可以為基礎(chǔ)流量過濾指定一個(gè)最小公約數(shù)，但一旦想要開始做點(diǎn)更復(fù)雜的事——企業(yè)網(wǎng)絡(luò)所需的細(xì)粒度過濾，有些提供商可能就沒有能力提供這些功能了。

而且，每家提供商的語義模型都不同，你能用其產(chǎn)品過濾的東西，你的控制規(guī)則能應(yīng)用的地方，也各不相同;與公司已經(jīng)部署的內(nèi)部防火墻也有差異。

這各不相同的語言意味著，在異構(gòu)網(wǎng)絡(luò)環(huán)境中跨多個(gè)不同類型防火墻部署安全策略，是一件極端復(fù)雜的事——意味著甚至做最簡單的改變(比如為公司某部門啟用Facebook或YouTube訪問)，都充滿了風(fēng)險(xiǎn)。

打破語言障礙

那么，怎樣才能除去安全策略修改中的風(fēng)險(xiǎn)，減少IT團(tuán)隊(duì)必須在多種防火墻語言中轉(zhuǎn)換的麻煩呢?無論企業(yè)內(nèi)部還是云端，各種安全控制用以構(gòu)建各自規(guī)則和策略的不同語法及詞匯間，能有辦法相互翻譯即可。這樣IT團(tuán)隊(duì)就可以讓安全資產(chǎn)理解各自業(yè)務(wù)的語言了。

為跨越語言障礙，以統(tǒng)一的控制臺(tái)和單一的命令集，有效優(yōu)化及管理安全，你需要具備以下4個(gè)關(guān)鍵功能的自動(dòng)化管理解決方案：

1. 可見性與控制

你要能虛擬化整個(gè)網(wǎng)絡(luò)上的全部防火墻、網(wǎng)關(guān)和安全控制，以單一面板盡在掌握。

2. 管理正常修改

你要能將這些安全產(chǎn)品的全面配置與管理作為日常運(yùn)營的一部分。所以你選擇的解決方案必須要能翻譯所用各個(gè)安全控制的不同語法和邏輯，要能協(xié)調(diào)一致地自動(dòng)實(shí)現(xiàn)安全策略修改。該解決方案還應(yīng)記錄下所有修改動(dòng)作。

3. 管理較大改動(dòng)

重大網(wǎng)絡(luò)架構(gòu)改動(dòng)也對(duì)安全策略管理提出了較高要求。將數(shù)據(jù)中心或應(yīng)用遷移到云端，或者團(tuán)隊(duì)選擇了另一家供應(yīng)商時(shí)，你得能在異構(gòu)環(huán)境中自動(dòng)調(diào)整你的安全策略。

4. 表現(xiàn)出合規(guī)

網(wǎng)絡(luò)安全是你必須向?qū)徲?jì)和監(jiān)管機(jī)構(gòu)展現(xiàn)出合規(guī)的重要領(lǐng)域。一套能自動(dòng)跟蹤所有過程和改動(dòng)，主動(dòng)評(píng)估風(fēng)險(xiǎn)，提供即時(shí)可用審計(jì)報(bào)告的解決方案，有助于提升審計(jì)準(zhǔn)備度，維持持續(xù)的合規(guī)狀態(tài)。

通用語

一套正確的解決方案，可使企業(yè)確保自身全部防火墻資產(chǎn)理解并響應(yīng)常見的安全要求，無論這些防火墻被部署在哪里。安全策略也能連續(xù)一致地應(yīng)用，無需耗時(shí)費(fèi)力還易出錯(cuò)的人工過程，并能保證網(wǎng)絡(luò)流量能在企業(yè)內(nèi)部網(wǎng)絡(luò)和私營或公共云環(huán)境中安全流通。

畢竟，企業(yè)的安全和合規(guī)，是你絕對(duì)不能在翻譯中迷失掉的兩件事。

【本文是51CTO專欄作者“”李少鵬“”的原創(chuàng)文章，轉(zhuǎn)載請(qǐng)通過安全牛（微信公眾號(hào)id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文