下一代防火牆將改變防火牆管理規則

2021-09-23 01:16:03 字數 2162 閱讀 9941

本文講的是下一代防火牆將改變防火牆管理規則,隨著企業越來越多地將下一代

防火牆整合到其安全部署中,他們將能夠更精準地控制應用程式和使用者行為,但同時,這也提高了錯誤配置和變更管理事故的可能性。並且,如果

防火牆管理本身已經是傳統防火牆組合中的乙個問題的話,這將進一步增加複雜性。

redseal networks公司首席技術官mike lloyd表示,「在最早防火牆推出以來,就存在這些問題:運維很複雜,因為其規則是技術性的,很容易帶來混亂,『下一代防火牆』同樣也存在這些問題。」

lloyd指出,每種額外的安全控制都會增加複雜性,在高階防火牆領域也是這樣。防火牆使用的基礎設施本身就很複雜,並且同時在很多層面運作。額外的一層(例如應用層)對於某些目的而言是好的,但並不會消除其他層的工作。

根據今年早些時候,防火牆管理公司algosec對175名防火牆管理員進行的調查顯示,56%的受訪者稱管理下一代防火牆比管理傳統防火牆需要更多精力。algosec公司市場營銷主管sam erdheim表示,這主要歸結為兩方面的問題,首先是弄清楚與傳統防火牆規則政策相比,下一代防火牆規則政策有什麼不同。

第二個問題是如何將這些新政策的管理整合到網路環境中(傳統防火牆仍然會留在環境中),以及如何在不需要重寫防火牆管理方式的情況下,來實現這一目的。

skybox security公司首席執行官gidi cohen表示,「下一代防火牆的配置包括定義流量如何流動的新思路,但仍然要以傳統的方式來表達,因此,企業需要經歷乙個漫長的過渡過程,他們需要定義新的企業政策,而這通常是乙個漫長而具有挑戰性的過程。在未來幾年,傳統防火牆和下一代防火牆仍然要並肩作戰,因此,企業還需要思考如何對它們雙管齊下。」

redseal、algosec、skybox security和firemon等防火牆管理公司已經將針對下一代產品的管理功能加入了其功能集,但根據erdheim和firemon公司總裁首席技術官jody brazil表示,企業首先必須教育他們的員工,並對用於下一代環境中的過程和政策進行調整,而這將不可避免地需要正規化轉變。

brazil解釋說,下一代防火牆將會帶來一些防火牆管理員最初沒有預想到的獨特的問題。例如,下一代防火牆建立了乙個簡單的規則,來允許使用者訪問facebook,這個規則其實並不那麼簡單。防火牆本身並不會識別facebook等web應用,直到使用者已經訪問到、連線到以及驗證到該應用。在此之前,它看起來就像是標準的http。

他表示,「在你的政策的某處,你必須允許通過標準web流量或80埠訪問到網際網路;否則允許訪問到facebook的規則將失效,現在,這些關係必須共存,如果不行的話,訪問將不被允許。這是乙個非常簡單的例子,如果管理員不能解決這個問題,將會帶來很多麻煩。」

這可能不只是簡單地管理埠80,企業可能實際需要管理1500以上個應用程式。另外,當企業開始實現下一代防火牆和active directory之間的緊密整合時,也會增加複雜性。brazil表示,「「防火牆團隊和ad團隊很少交流,因為他們從來沒有這樣的需要,也沒用理由,現在,突然之間,active directory管理員的日常生活開始影響防火牆管理員的行為,而後者可能還不知道。」

這是因為很多這些防火牆的策略都**到ad團隊,這些策略的變化都會影響到ad團隊。這個過程很容易導致ad團隊抱怨防火牆阻止訪問,儘管防火牆管理員這邊從來沒有進行更改。

palo alto networks公司高階研究分析師matt keil表示,這就是為什麼企業在部署下一代防火牆時需要多方協調和調整的原因。「我們給企業的建議是,先進行規劃,然後有條理地進行部署。」

keil表示,這種過渡是乙個很好的機會,來加強安全團隊和商業團隊之間的合作。他認為,這主要涉及三個步驟。首先,企業需要盤點和研究網路上已有的應用程式,它們的使用者是誰,以及這些應用程式的潛在風險。第二個步驟是,與業務團隊會面,商討這些應用程式的業務需求,以及it確定的風險,從而通過明確的蒸菜,來平衡業務需求和安全風險。第三步就是歸檔。

keil表示,「歸檔協商後的政策,對所有使用者進行培訓,執行政策,並定期審查有關政策,當有新應用時,更新政策。」當企業為未來管理制定政策時,他們必須牢記,儘管傳統防火牆和下一代防火牆有所不同,無論使用的是哪種防火牆,糟糕的管理和審計習慣都會讓企業陷入風險之中。

lloyd表示,「主要需要避免的錯誤是複製不好的習慣規則。如果你一直是逐條審計規則,這是乙個糟糕的辦法,事實上,這可能會阻止你部署新的技術,如果審計過於嚴格,你就喪失了應對新威脅的能力。」

下一代防火牆進入大規模部署階段

下一代防火牆應安全局勢和市場需求而生,可以對應用 業務和使用者完全識別並加以控制 可以幫助企業降低管理難度 減少運維成本,在安全技術和管理策略方面幫助企業使用者實現價值。從整體安全市場來看,下一代防火牆對傳統防火牆和utm的替換正在快速進行。根據idc在2014年5月發布的資料顯示,2013年下一代...

下一代防火牆 決勝於應用層

本文講的是下一代防火牆 決勝於應用層,網際網路 時代,海量應用隱藏億萬風險。網路失陷,也許只是源於一次網頁瀏覽,或開啟一封郵件。傳統的包過濾型或狀態檢測型防火牆雖然可以有效防範各種網路層的攻擊,但對於大多數利用web應用漏洞進行的攻擊卻束手無策。面對新威脅 新挑戰,下一代防火牆的核心安全能力體現在 ...

防火牆管理

防火牆管理是指對防火牆具有管理許可權的管理員行為和防火牆執行狀態的管理,管理員的行為主要包括 通過防火牆的身份鑑別,編寫防火牆的安全規則,配置防火牆的安全引數,檢視防火牆的日誌等。防火牆的管理一般分為本地管理 遠端管理和集中管理等。本地管理 是指管理員通過防火牆的console口或防火牆提供的鍵盤和...