跟着企业愈来愈多地将下一代防火墙整合到其安然摆设中,他们将可以或许更精准地节制利用法度和用户行动,但同时,这也进步了弊端建设和变动治理变乱的可能性。并且,假定防火墙治理本身已经是传统防火墙组合中的一个标题问题标话,这将进一步增加复杂性。
RedSeal Networks公司首席手艺官Mike Lloyd暗示,“在最早防火墙推出以来,就存在这些标题问题:运维很复杂,因为其法则是手艺性的,很等闲带来混乱,‘下一代防火墙’一样也存在这些标题问题。”
Lloyd指出,每种额外的安然节制城市增加复杂性,在高级防火墙范畴也是如许。防火墙利用的根本举措措施本身就很复杂,并且同时在良多层面运作。额外的一层(例如利用层)对某些目标而言是好的,但其实不会消弭其他层的工作。
按照本年早些时辰,防火墙治理公司AlgoSec对175名防火墙治理员进行的查询拜访显示,56%的受访者称治理下一代防火墙比治理传统防火墙需要更多精力。AlgoSec公司市场营销主管Sam Erdheim暗示,这首要回结为两方面的标题问题,起首是弄清晰与传统防火墙法则政策比拟,下一代防火墙法则政策有甚么不合。
第二个标题问题是若何将这些新政策的治理整合到收集环境中(传统防火墙仍然会留在环境中),和如安在不需要重写防火墙治理编制的环境下,来实现这一目标。
Skybox Security公司首席履行官Gidi Cohen暗示,“下一代防火墙的建设包含定义流量若何勾当的新思路,但仍然要以传统的编制来表达,是以,企业需要经历一个漫长的过渡过程,他们需要定义新的企业政策,而这凡是是一个漫长而具有挑战性的过程。在将来几年,传统防火墙和下一代防火墙仍然要并肩作战,是以,企业还需要思虑若何对它们摆布开弓。”
RedSeal、AlgoSec、Skybox Security和FireMon等防火墙治理公司已将针对下一代产品的治理功能加进了其功能集,但按照Erdheim和FireMon公司总裁首席手艺官Jody Brazil暗示,企业起首必需教育他们的员工,并对用于下一代环境中的过程和政策进行调剂,而这将不成避免地需要范式改变。
Brazil诠释说,下一代防火墙将会带来一些防火墙治理员最初没有料想到的奇特的标题问题。例如,下一代防火墙成立了一个简单的法则,来承诺用户拜候Facebook,这个法则其实其实不那么简单。防火墙本身其实不会辨认Facebook等web利用,直到用户已拜候到、连接到和验证到该利用。在此之前,它看起来就像是尺度的HTTP。
他暗示,“在你的政策的某处,你必需承诺经由过程尺度web流量或80端口拜候到互联网;不然承诺拜候到Facebook的法则将掉效,此刻,这些关系必需共存,假定不可的话,拜候将不被承诺。这是一个很是简单的例子,假定治理员不克不及解决这个标题问题,将会带来良多麻烦。”
这可能不只是简单地治理端口80,企业可能实际需要治理1500以上个利用法度。别的,当企业开端实现下一代防火墙和Active Directory之间的慎密集成时,也会增加复杂性。Brazil暗示,““防火墙团队和AD团队很少交换,因为他们历来没有如许的需要,也没用来由,此刻,突然之间,Active Directory治理员的平常糊口开端影响防火墙治理员的行动,而后者可能还不知道。”
这是因为良多这些防火墙的策略都***到AD团队,这些策略的改变城市影响到AD团队。这个过程很等闲导致AD团队埋怨防火墙禁止拜候,虽然防火墙治理员这边历来没有进行更改。
Palo Alto Networks公司高级研究阐发师Matt Keil暗示,这就是为甚么企业在摆设下一代防火墙时需要多方协和谐调剂的启事。“我们给企业的建议是,进步前辈行打算,然后有层次地进行摆设。”
Keil暗示,这类过渡是一个很好的机缘,来加强安然团队和商业团队之间的合作。他觉得,这首要触及三个步调。起首,企业需要清点和研究收集上已有的利用法度,它们的用户是谁,和这些利用法度的暗藏风险。第二个步调是,与营业团队接见会面,参议这些利用法度的营业需求,和IT肯定的风险,从而经由过程明白的蒸菜,来均衡营业需乞降安然风险。第三步就是回档。
Keil暗示,“回档协商后的政策,对所有效户进行培训,履行政策,并按期审查有关政策,当有新利用时,更新政策。”当企业为将来治理拟定政策时,他们必需服膺,虽然传统防火墙和下一代防火墙有所不合,不管利用的是哪一种防火墙,糟的治理和审计习惯城市让企业陷进风险当中。
Lloyd暗示,“首要需要避免的弊端是复制不好的习惯法则。假定你一向是逐条审计法则,这是一个糟的编制,事实上,这可能会禁止你摆设新的手艺,假定审计过于严格,你就损掉了应对新威胁的能力。”