扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
几十年以来,防火墙一直都是网络安全的“基石”。90年代初期,第一个商业化防火墙SEAL面市,该防火墙是通过vi文本编辑器管理的。 而由USC信息科学院的Bob Braden开发的Visasa防火墙则是第一个引入GUI的防火墙。1994年由以色列的CheckPoint公司推出的Firewall-1 3.0管理工具涵盖了几个很重要的概念,包括对象级别的提取以及支持“一个政策多个防火墙”等概念。
13年前,也就是在1996年,当时的防火墙管理工具与现在的管理工具就已经十分类似,似乎这么多年来在这方面一直没有进步过。而另一方面,核心防火墙功能则发生了“翻天覆地”的改进。从最早的基于简单的包过滤(Packet Filter)技术的防火墙,到后来演变为与路由器相结合,执行NAT、IPSEC VPN、内容以及URL过滤、SSL VPN、防病毒以及防垃圾邮件等。而最近,防火墙已经开始与IPS结合来提供真正应用程序级别的过滤以及用户访问。
而防火墙管理工具则顺势发展,为这些新功能提供配置功能,但没有实质性的突破,防火墙管理工具只是顺应防火墙的发展而发展。
将重复的工作自动化
为什么防火墙供应商的管理工具没有突破性改进呢?也许是因为现有的工具已经够用。为了解答这个问题,让我们来看看防火墙中究竟真正需要管理哪些内容?
在理想的环境中,防火墙应该是自我维护的,就像散布在城市各处的交通红绿灯。只要设置一次就可以不用再管它,对吗?但是防火墙却不是这样。与城市街道不同的是,网络是一直在变化的,而且是迅速的变化。安全威胁也在不断演化,业务需求也是一样。例如,添加新网络后,服务器也需要重新定位,还需要新服务,用户也需要访问新服务,等等。防火墙管理员承受着巨大的压力,需要保证他们的防火墙能够处理所有这些不断的变化。
对于现在的防火墙管理工具而言,对于网络的每一点改变,管理员都需要进行很多重复性的工作,以保证不会对安全状态或者业务连续性造成影响。我们不期望防火墙变成自我调节式的工具,但是我们希望新管理工具能够尽可能地将这些重复工作自动化。
安全vs. 业务连续性
在我们展望防火墙管理工具的未来之前,我们来看看现在的管理工具的另一个问题。大家都知道,防火墙主要是通过防止“坏人”进入来提供网络安全性,防火墙政策主要是用来制止恶意通信流量并且允许所有其他流量(根据白名单的方法)或者仅仅允许需要的流量。
在任何情况下,防火墙在提供安全性的同时还必须确保业务连续性。这两者的关系相辅相成:修复安全漏洞可能会影响关键业务服务,而允许另一个应用程序通信又可能造成安全威胁。防火墙经常都被认为是安全设备,并且由安全管理员来管理。但是防火墙也承担着保证业务连续性的责任。例如,当一个用户需要访问邮箱,这是业务连续性问题,而不是安全问题。如果他在访问邮箱时遇到问题,这也是业务连续性问题。但是防火墙的这种保障业务连续的功能只是被作为防火墙的“副功能”,而不是很重要的功能。这一点也深刻地反映在现在的管理工具中。
企业们已经基于这些不实际的观点建立了业务结构和程序,安全管理员经常要负责业务连接性和连续性。而理想状态是,由安全专家负责管理安全,而由系统专家管理业务系统。让安全管理员同时处理安全和业务问题是很可笑的,但是现在的防火墙管理工具并不支持这种职责分离。
展望防火墙政策管理的未来
综上所述,在防火墙管理系统方面,主要有两个方面需要改进:重复工作的自动化;分离和加强业务方面安全的处理。以下是我们对未来防火墙管理系统的展望:
• 是从应用程序开始的,项目所有者提交访问请求。
• 技术人员调整提交的请求,使用自动化设计工具将请求转译为低级别的部署细节。
• 安全人员根据自动化风险分析以及合规报告来同意或者拒绝该请求。
• 请求直接执行或者在服务窗口等候。
• 在规则的生命周期中都维持业务所有权,当规则过期或者失效,联系原所有者。
• 可以根据公司的程序来定制工作流,在端到端执行SLA。
• 所有内容都需要存档,用以审计和责任查明。
• 需要定义业务连续性规则来减少对业务的影响
• 应用程序所有者有一个控制台来分析连接性问题,并且在大多数情况下,他们需要意识到他们与防火墙以及网络是无关的,以节省防火墙管理员的时间。
使用上面描述的防火墙管理系统将大大节省时间和资源。自动化可以帮助减少错误的发生,从而提高服务质量。安全人员可以专心考虑安全和架构问题,这样安全也加强了。应用程序所有者拥有自己的管理和监控控制台。经理们也可以很快了解当前的业务状况。
总结
技术仍然在不断进步,防火墙方面也有很多改进,我们希望这种防火墙管理系统能够早日面市,为企业的业务发展提供更好的支持。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。