下一代防火墙(NGFW)已成为当前安然业界的热点。按照Gartner的猜想,到2014年底,全球的NGFW占比将由10%上升到35%,企业新采办的防火墙中60%将是NGFW。传统防火墙期间,基于端口进行管控。被管控的端口比较固定,数量凡是少于100个。而NGFW基于利用进行防护,利用数量数以千计,治理复杂度数量级的晋升。Gartner的陈述指出:“锁定方针报复打击正不竭渗入尺度的安然控管,让安然控管原封不动的企业承受巨大年夜的商业损掉…”。面对日趋卑劣的安然环境,企业必需遵守最小授权原则,不竭调剂安然策略才能包管安然。若何有效地做到这一点,对NGFW的治理和利用提出了新的挑战。
端口防护策略若何优化为利用防护策略?
每个从传统防火墙过渡到NGFW的企业城市道对这个标题问题。一方面,企业利用NGFW就是因为可以或许对利用进行更精准的管控。在NGFW上利用遗留的端口防护策略,其实不克不及带来更多的安然性。必需将其优化为更安然的、基于利用的防护策略。另外一方面,传统防火墙遗留了大年夜量汗青策略,某些大年夜型企业的防火墙策略数量乃至超越一万。这些遗留策略都颠末端企业的合法性审批,在利用中证实了其营业合理性。端口防护策略到利用防护策略的优化必需以原有策略作为基准,不成能完全推倒重来。这类端口策略的优化意味着海量的工作,优化后策略的有效性也难以保障。
若何遵守最小授权原则进行防护?
寻求极致安然的企业会遵守最小授权原则拟定企业的安然策略。最小授权原则是指仅承诺企业营业必需的利用,超出范围的利用拜候必需额外申请。但面对数以千计的利用,若何将企业营业映照为设备定义的利用,一向是个坚苦。今朝,大年夜部门NGFW的利用者基于利用类别进行利用管控。例如,假定企业有对外即时通信(Instant Message,IM)的需求,就会承诺IM类别的所有软件。如许做治理起来比较简单,却引进了极大年夜的安然隐患。因为营业需求以外的利用很可能包含缝隙、携带歹意代码和后门法度,被报复打击者所操纵。即便是营业必需的利用,一样也可能存在安然风险,应当进行进侵防御、防病毒、数据防泄漏等进一步的防护。
遵守最小授权原则拟定安然策略,NGFW的利用者需要大年夜量的阐发报表,找出企业营业必需的利用;还要掌控各类利用存在何种安然风险,和对应的防护编制。这些无疑对利用者的手艺和工作时候提出了更高的要求,大年夜幅进步了NGFW的整体具有成本。
若何精简策略,简化治理?
跟着企业营业的成长,为了延续包管安然性,需要不竭调剂防火墙策略。安然东西厂商Skybox的查询拜访发现,有58%的企业在他们的下一代防火墙上摆设了100条以上的法则,而有35%的公司每个月履行100次以上变动。频繁的变动导致防火墙策略数量不竭增加,存在大年夜量冗余、无效的策略。因为治理员很难鉴定哪些策略有标题问题,即便鉴定出来也因为担忧影响营业不敢等闲调剂。今朝,大年夜型企业经由过程采办昂贵的第三方东西来精简防火墙策略。对中小型企业,这个标题问题因为预算有限没法解决。
NGFW需要额外的智能,实现简单治理
Gartner公司研究副总裁Greg Young说:“防火墙法则老是处处泛滥,可是进侵防御和利用节制使标题问题加倍复杂。此刻恰是利用下一代防火墙降落复杂性的机会,可是假定实施不当,则可能会拔苗助长。”利用维度的增加使管控更精准,也带来了更多的治理复杂性。市场初期的NGFW产品,基于威胁进行防护,安然更多依托于安然治理员。NGFW更多的是一个响应者,对安然员不克不及发现的威胁不会做出防护。在实际的利用过程中,因为安然策略不敷严格,暗藏风险常常被操纵。直到造成了损掉被发现,进行“亡羊补牢”式的防护。可以预感到,“人”主导的安然防护很难持久包管质量。是以, NGFW需要具有额外的智能。要可以或许将原有防火墙上的端口防护策略快速的优化为更能阐扬NGFW能力的利用防护策略;要可以或许提早发现风险,按照收集环境遵守最小授权原则,动态调剂防护策略或提出策略优化建议;要可以或许主动发现冗余和无效的策略,简化治理。让安然更多依托于“设备”,有益于持久保持不变的安然质量。智能化和主动化将是NGFW产品的一个成长趋势。只有解决了简单治理的标题问题,NGFW才能真正地保障企业下一代安然。