下一代防火墙管理设备：更智能也更复杂！

下一代防火墙将通过集成入侵防御和应用与用户监控功能来提升网络安全性，但是它们也会带来新的管理挑战。由于传统防火墙充斥了大量废弃的规则，所以防火墙管理总是一个有挑战的工作。但是，在使用下一代防火墙管理技术之后，网络安全专业人员将需要维护更多的规则和策略。

斯坦福德Gartner公司研究副总裁Greg Young说：“防火墙规则总是到处泛滥，但是入侵防御和应用控制使问题更加复杂。现在正是使用下一代防火墙降低复杂性的时机，但是如果实施不当，则可能会适得其反。”

最近，Osterman Research代表安全与风险管理公司Skybox Security对209家企业进行了一次关于下一代防火墙管理的调查。在调查中，他们邀请网络安全人员列举下一代防火墙管理的三大挑战，其中包括：确认访问策略与网络分片策略是否正确实施（39%）；维护入侵防御系统(IPS)签名（37%）；以及优化防火墙规则集（36%）。

在有状态防火墙中，规则与策略的复杂性迫使网络安全管理员在防火墙管理方法中整合更多的业务逻辑。Skybox的CEO及创始人Gidi Cohen说：“下一代防火墙规则将控制哪些用户群组在哪个时间段可以访问Web应用或社交网络。不仅规则变得更加复杂，而且组织的安全策略逻辑也变得更加复杂。这是一个计划挑战、协调挑战，也是一个技术挑战。”

Young指出，网络安全人员需要抛弃“老派的”防火墙管理方法，转而采用下一代产品。例如，他说，改变对应用控制规则和策略的控制不可能像基于端口的传统规则一样。

在传统防火墙上，任何变更都需要发起一个变更请求。如果开发团队希望启动一个新应用程序，那么它会发送一个变更请求到防火墙上要求打开端口。这种细致方法不适用于下一代防火墙的应用监控。Young说：“要采用不同的方法。您可以批准特定类型的应用程序。您可以说：‘除了特定的情况，我们不允许使用任何点对点应用程序。’所以如果发现一个点对点应用程序，而防火墙管理员又希望批准这条规则，那么它应该以预先批准的方式进行处理。”

Young指出，网络安全人员需要抛弃“老派的”防火墙管理方法，转而采用下一代产品。例如，他说，改变对应用控制规则和策略的控制不可能像基于端口的传统规则一样。

在传统防火墙上，任何变更都需要发起一个变更请求。如果开发团队希望启动一个新应用程序，那么它会发送一个变更请求到防火墙上要求打开端口。这种细致方法不适用于下一代防火墙的应用监控。Young说：“要采用不同的方法。您可以批准特定类型的应用程序。您可以说：‘除了特定的情况，我们不允许使用任何点对点应用程序。’所以如果发现一个点对点应用程序，而防火墙管理员又希望批准这条规则，那么它应该以预先批准的方式进行处理。”

下一代防火墙管理是一种成熟且协调的方法

企业管理联盟研究主管Scott Crawford指出，在广义上，防火墙管理就是变更控制。拥有成熟防火墙变更管理方法的企业更能避免安全漏洞和性能破坏问题。在下一代防火墙中，随着防火墙环境变得越来越复杂，自动化也变得越来越重要。Skybox的调查发现，有58%的企业在他们的下一代防火墙上部署了100条以上的规则，而有35%的公司每个月执行100次以上变更。

Crawford说，在这些复杂环境中，用户必须利用自动化方法，因为他们通常过于复杂，而无法通过手工流程进行可靠管理。在部署之前，一定要在您的建模范围内验证您规划的所有变更，然后跟踪这些变更，保证它们按预期方式部署。此外，您需要设定一个回滚变更的流程，这样才不会产生其他问题。

Skybox、Tufin Technologies、AlgoSec和Athena Security等供应商在专门研究这些问题。他们提供了防火墙变更控制产品，其中大多数都可以对这些变更影响网络的方式进行建模。此外，这些供应商正在将他们的产品更新到下一代防火墙管理技术。

如果一个IT组织的下一代防火墙管理团队与网络运营团队属于独立实体，那么网络安全团队还应该保证要这两个团队协调一致。Crawford说：“即使在下一代防火墙出现之前，我们也发现一些组织遇到一些预料到的性能水平和可用性中断的问题，因为安全策略在不知道会产生什么影响的情况下就应用了。”

“当您增加了感知应用的防火墙，这个挑战越来越大。即使在分布式网络的客户端，如果您部署WAN优化设备，那么您会希望将它是专门为应用程序的设备。您需要在网络性能、可用性与安全性需求之间做出协调，以避免出现冲突和增加暴露风险。”

另一个问题：防火墙的入侵防御

Skybox的调查证明，许多企业在管理下一代防火墙上的入侵防御签名时举步维艰。有86%的公司计划在他们的防火墙上使用IPS模块；他们中有65%处于在线防御模式。管理这些模块的IPS签名并不容易。只有54%的公司由供应商自动更新。三分之二的公司正尝试手动管理这些签名。

Gartner的Young说：“默认签名集只是一个入口。接着是优先值。例如，如果您没有Oracle数据库，则不要启用Oracle签名。相反，如果您有大量的Oracle流量，则确实需要进行优化和调优这些Oracle签名。”

根据Skybox全球销售副总裁Michelle Johnson Cobb的观点，有一些企业希望了解这些签名如何有效地阻挡威胁。她说：“他们是否真的阻挡住了原本我想要阻挡的威胁？有一些方法可以检验它是否真的有用。”

如果用户实施了大量潜在威胁的默认签名，那么它将会减慢流量传输速度。Cobb说：“所以，如果您的目标之一是保证最高性能，同时有效阻挡威胁，那么这里需要一种平衡。此外，事情总会发生变化。在网络中，每天都会出现新的漏洞或威胁。您可能要确定是否需要激活新的签名。”

SkyBox刚刚增加了对Palo Alto Networks的IPS功能支持，它可以分析签名，然后将它们映射到漏洞上。“您可以在一个控制面板显示哪些签名已激活，哪些漏洞被阻挡住，以及您可以打开哪些控制，从而得到更多的保护。”