如果数量极少,都是静态的或都来自同一家供应商,那么这些工具可能用处不大。Young说:“除非这些防火墙加载了某个具有大量规则的奇怪策略。”
虽然现在规模较小,但是确实需要防火墙策略管理工具的公司数量在不断增长。Young说:“由于我们的应用程序在创建时涉及的方面越来越多,因此配置能够处理这些应用程序的防火墙也越来越困难。现在已经不是用一个端口处理一个连接的问题了。当部署到云环境时,防火墙所监控的连接状态是Web,它非常复杂,所以规则库会越来越大和越来越复杂。随着更多的业务和应用程序上线,这些工具的应用也会慢慢增加。”
应用防火墙策略管理工具:不能一蹴而就
防火墙策略管理软件建立了一个工作流和一个配置管理系统,它能够将防火墙策略映射到防火墙规则上,这要求工程师调整规则变化,维护所有配置的即时记录。这种即时记录很适合向审计人员交付合规性验证。
这些工具还能够演示防火墙规则如何影响网络安全。它们可以确定一些不可靠的规则,同时也能够确定一些需要删除的冗余或过时规则。
Kramer正在他的公司中实现FirePAC,但是却又不得不暂停项目,因为他需要全力投入到一个新的PCI审计周期。他说:“由于我们的一些防火墙非常庞大,因此需要一定的时间才能完成消化和清理。这是大型业务扩大造成的直接后果。”在建立和运行FirePAC之后,Kramer希望公司的安全工程师跟进这些产品,从而使防火墙规则的整体管理能够得到改进。
他说:“我是审计人员,并且是从中受益最大的人之一。安全工程师还没有完全到位。在中层管理人员调配各小组协同工作的能力方面,我们公司还存在一些组织问题。所以,执行和防火墙日常安全和配置的人员与直接负责整个公司安全架构的风险管理人员是完全分离的。”
Kramer只需要监控安全工程师的防火墙操作。“但是,我相信,当我们做好部署并且人员到位时,人们将开始更多地购买这个工具。”