防火牆問世25年 語言翻譯成挑戰

2021-09-23 05:27:29 字數 2146 閱讀 7676

本文講的是防火牆問世25年 語言翻譯成挑戰,第一款商業防火牆 dec seal,於2023年發售。25年之後,防火牆依然是企業安全基礎設施中的核心構件塊。誠然,防火牆自面世起經過了很多發展變化,每個進化階段都加入了更複雜的安全功能。

我們從僅需要使用者編寫出站策略的流量狀態防火牆,發展到支援更細粒度過濾和深度包檢測的下一代防火牆(ngfw),不僅網路協議和埠,特定應用流量也能識別。虛擬資料中心的採用,引領了虛擬防火牆的發展,增添了更多需要管理的裝置。

翻譯問題

目前的現實是,公司企業的環境通常都是混合的:數代防火牆、技術和廠商大雜燴。管理如此混雜的環境是一大挑戰,因為每一代防火牆、每個廠商的產品,用的是不同的語法和語義來建立安全策略。

就拿同時採用傳統防火牆和ngfw的企業網路來說。該企業可能有一套全公司範圍內應用的社交**站點封鎖規則,但其市場部又需要能夠訪問facebook。facebook流量流經兩種型別的防火牆——意味著新安全策略需要針對兩種防火牆都來乙份。

對ngfw而言,新增這條新規則直觀又簡單。facebook可在防火牆規則集中被設定為預定義的『允許』應用,而對其他社交**站點的訪問和來自其他部門的訪問請求,則被禁止。然而,傳統防火牆理解不了「facebook」這個詞:它只能理解facebook使用的預設「源位址」、「目的位址」、「服務」和「動作」協議——http和https。

於是,實際上,在ngfw和傳統防火牆上做安全策略修改,涉及的是完全不同的過程和語言。配置裝置的工程師必須既要清楚了解應用間的對映(因為要在ngfw中定義),還要熟知它們各自的服務、協議和埠(因為要在傳統防火牆中定義),這樣規則和策略才能在兩種環境中都得到正確的設定。

編寫這些策略或作出網路變動時,各產品間出現的任何錯誤或「翻譯差錯」,都有可能導致非預期的應用掉線或引入安全漏洞——要麼源於重要流量被無心封堵,要麼是其他流量被無意間允許了。典型企業網路環境中都有數十乃至上百個防火牆,如此倍增下來,無異於通往超級大混亂的絕佳秘方。

雲端併發症

當這些過程擴充套件到雲部署,取決於所用的雲安全控制,it團隊還會遭遇到額外的難題。某家雲提供商可能會對特定伺服器提供多個安全分組,而其他提供商可能只允許單一安全組——但又可能允許與vlan中所有伺服器相關聯的安全組。從較高層次看,你可以為基礎流量過濾指定乙個最小公約數,但一旦想要開始做點更複雜的事——企業網路所需的細粒度過濾,有些提供商可能就沒有能力提供這些功能了。

而且,每家提供商的語義模型都不同,你能用其產品過濾的東西,你的控制規則能應用的地方,也各不相同;與公司已經部署的內部防火牆也有差異。

這各不相同的語言意味著,在異構網路環境中跨多個不同型別防火牆部署安全策略,是一件極端複雜的事——意味著甚至做最簡單的改變(比如為公司某部門啟用facebook或youtube訪問),都充滿了風險。

打破語言障礙

那麼,怎樣才能除去安全策略修改中的風險,減少it團隊必須在多種防火牆語言中轉換的麻煩呢?無論企業內部還是雲端,各種安全控制用以構建各自規則和策略的不同語法及詞彙間,能有辦法相互翻譯即可。這樣it團隊就可以讓安全資產理解各自業務的語言了。

為跨越語言障礙,以統一的控制台和單一的命令集,有效優化及管理安全,你需要具備以下4個關鍵功能的自動化管理解決方案:

可見性與控制

你要能虛擬化整個網路上的全部防火牆、閘道器和安全控制,以單一面板盡在掌握。

管理正常修改

你要能將這些安全產品的全面配置與管理作為日常運營的一部分。所以你選擇的解決方案必須要能翻譯所用各個安全控制的不同語法和邏輯,要能協調一致地自動實現安全策略修改。該解決方案還應記錄下所有修改動作。

管理較大改動

重大網路架構改動也對安全策略管理提出了較高要求。將資料中心或應用遷移到雲端,或者團隊選擇了另一家**商時,你得能在異構環境中自動調整你的安全策略。

表現出合規

網路安全是你必須向審計和監管機構展現出合規的重要領域。一套能自動跟蹤所有過程和改動,主動評估風險,提供即時可用審計報告的解決方案,有助於提公升審計準備度,維持持續的合規狀態。

通用語一套正確的解決方案,可使企業確保自身全部防火牆資產理解並響應常見的安全要求,無論這些防火牆被部署在**。安全策略也能連續一致地應用,無需耗時費力還易出錯的人工過程,並能保證網路流量能在企業內部網路和私營或公共雲環境中安全流通。

畢竟,企業的安全和合規,是你絕對不能在翻譯中迷失掉的兩件事。

防火牆 防火牆安全

作為計算機的第一道屏障,防火牆的重要性不言而喻,儘管防火牆在面臨網路攻擊時仍有很大的缺陷,不如無法阻止自內而外的攻擊,對複雜多變的網路攻擊攻擊無法預警和像ids所做的那樣。但防火牆依然是伺服器乃至個人機的一道不可或缺的屏障。木桶原理 本文將對防火牆做乙個初步的簡介,顯然像我們知道的那樣,防火牆是一款...

防火牆系列(一) 何為防火牆

簡單解釋下內聯網路和外聯網路 內聯網路類似於區域網是指某個企業或者單位內部互動的網路,外聯網路就是外部的internet 部署在使用者內聯網路和外聯網路之間的一道屏障,一切內外聯網路交換的資料都應該通過防火牆裝置。以預先定義好的安全規則為標準,防火牆將對通過他的資料進行安全監測,符合安全規則的資料流...

外圍防火牆規則 內部防火牆規則

外圍防火牆規則 通常情況下,您的外圍防火牆需要以預設的形式或者通過配置來實現下列規則 拒絕所有通訊,除非顯式允許的通訊。阻止宣告具有內部或者外圍網路源位址的外來資料報。阻止宣告具有外部源 ip 位址的外出資料報 通訊應該只源自堡壘主機 允許從 dns 解析程式到 internet 上的dns 伺服器...