解读防火墙管理的现状与未来发展趋势

　　几十年以来，防火墙一直都是网络安全的“基石”。90年代初期,第一个商业化防火墙SEAL面市，该防火墙是通过vi文本编辑器管理的。 而由USC信息科学院的Bob Braden开发的Visasa防火墙则是第一个引入GUI的防火墙。1994年由以色列的CheckPoint公司推出的Firewall-1 3.0管理工具涵盖了几个很重要的概念，包括对象级别的提取以及支持“一个政策多个防火墙”等概念。

　　13年前，也就是在1996年，当时的防火墙管理工具与现在的管理工具就已经十分类似，似乎这么多年来在这方面一直没有进步过。而另一方面,核心防火墙功能则发生了“翻天覆地”的改进。从最早的基于简单的包过滤(Packet Filter)技术的防火墙，到后来演变为与路由器相结合，执行NAT、IPSEC VPN、内容以及URL过滤、SSL VPN、防病毒以及防垃圾邮件等。而最近，防火墙已经开始与IPS结合来提供真正应用程序级别的过滤以及用户访问。

　　而防火墙管理工具则顺势发展，为这些新功能提供配置功能，但没有实质性的突破，防火墙管理工具只是顺应防火墙的发展而发展。

　　将重复的工作自动化

　　为什么防火墙供应商的管理工具没有突破性改进呢?也许是因为现有的工具已经够用。为了解答这个问题，让我们来看看防火墙中究竟真正需要管理哪些内容?

　　在理想的环境中，防火墙应该是自我维护的，就像散布在城市各处的交通红绿灯。只要设置一次就可以不用再管它，对吗?但是防火墙却不是这样。与城市街道不同的是，网络是一直在变化的，而且是迅速的变化。安全威胁也在不断演化，业务需求也是一样。例如，添加新网络后，服务器也需要重新定位，还需要新服务，用户也需要访问新服务，等等。防火墙管理员承受着巨大的压力，需要保证他们的防火墙能够处理所有这些不断的变化。

　　对于现在的防火墙管理工具而言，对于网络的每一点改变，管理员都需要进行很多重复性的工作，以保证不会对安全状态或者业务连续性造成影响。我们不期望防火墙变成自我调节式的工具，但是我们希望新管理工具能够尽可能地将这些重复工作自动化。

　　安全vs. 业务连续性

　　在我们展望防火墙管理工具的未来之前，我们来看看现在的管理工具的另一个问题。大家都知道，防火墙主要是通过防止“坏人”进入来提供网络安全性，防火墙政策主要是用来制止恶意通信流量并且允许所有其他流量(根据白名单的方法)或者仅仅允许需要的流量。

　　在任何情况下，防火墙在提供安全性的同时还必须确保业务连续性。这两者的关系相辅相成：修复安全漏洞可能会影响关键业务服务，而允许另一个应用程序通信又可能造成安全威胁。防火墙经常都被认为是安全设备，并且由安全管理员来管理。但是防火墙也承担着保证业务连续性的责任。例如，当一个用户需要访问邮箱，这是业务连续性问题，而不是安全问题。如果他在访问邮箱时遇到问题，这也是业务连续性问题。但是防火墙的这种保障业务连续的功能只是被作为防火墙的“副功能”，而不是很重要的功能。这一点也深刻地反映在现在的管理工具中。

　　企业们已经基于这些不实际的观点建立了业务结构和程序，安全管理员经常要负责业务连接性和连续性。而理想状态是，由安全专家负责管理安全，而由系统专家管理业务系统。让安全管理员同时处理安全和业务问题是很可笑的，但是现在的防火墙管理工具并不支持这种职责分离。

　　展望防火墙政策管理的未来

　　综上所述，在防火墙管理系统方面，主要有两个方面需要改进：重复工作的自动化;分离和加强业务方面安全的处理。以下是我们对未来防火墙管理系统的展望：

　　• 是从应用程序开始的，项目所有者提交访问请求。

　　• 技术人员调整提交的请求，使用自动化设计工具将请求转译为低级别的部署细节。

　　• 安全人员根据自动化风险分析以及合规报告来同意或者拒绝该请求。

　　• 请求直接执行或者在服务窗口等候。

　　• 在规则的生命周期中都维持业务所有权，当规则过期或者失效，联系原所有者。

　　• 可以根据公司的程序来定制工作流，在端到端执行SLA。

　　• 所有内容都需要存档，用以审计和责任查明。

　　• 需要定义业务连续性规则来减少对业务的影响

　　• 应用程序所有者有一个控制台来分析连接性问题，并且在大多数情况下，他们需要意识到他们与防火墙以及网络是无关的，以节省防火墙管理员的时间。

　　使用上面描述的防火墙管理系统将大大节省时间和资源。自动化可以帮助减少错误的发生，从而提高服务质量。安全人员可以专心考虑安全和架构问题，这样安全也加强了。应用程序所有者拥有自己的管理和监控控制台。经理们也可以很快了解当前的业务状况。

　　总结

　　技术仍然在不断进步，防火墙方面也有很多改进，我们希望这种防火墙管理系统能够早日面市，为企业的业务发展提供更好的支持。