防火牆運用 重新掌權網絡安全管理

　　從理論上講，防火牆是一個神奇的安全集中器，是外部世界和受保護的網絡之間高性能的網關。理想情況下，它是一個易於控制的單點配置，允許你部署多個最佳安全技術。並且，它永遠不會讓你在晚上睡覺時翻來覆去地想它的配置是否存在漏洞，而導致企業數據洩露。但網絡安全管理的現實並非如此：其實我們的防火牆不可能永遠保持“刀槍不入”的狀態。

　　很少有安全管理員能夠“貫穿”防火牆的整個生命周期，他們可能沒有參與配置或者設置初始規則，或者沒有參與政策管理、審批和記錄，也可能是沒有參與政策遷移到後續硬件之前的徹底重新審查。99%的防火牆管理員從別人那裡“繼承”這些防火牆，他們徹夜無眠是因為，他們意識到他們繼承的是一堆“殘渣”：幾乎沒有可讀的策略庫，其中可能包含幾十個甚至上百個潛在漏洞。

　　解決方法包括企業范圍內的偵查工作、業務流程逆向工程、查看詳細的文檔和定期繁瑣的維護——這是IT人員痛恨的工作。除非是必須，管理員才不會處理這些繁瑣程序，大多數人寧願專注於子網和生成樹。防火牆很讓人頭疼。

　　攻擊者和破壞政策的高層

　　如果你從沒管理過防火牆，你可能會認為這個工作與管理任何其他網絡設備上的ACL類似。有規則來識別流量，並設有政策來對違反那些規則的流量采取行動。防火牆應該只是標准的網絡配置管理，而不是什麼藝術或魔術。如果企業IT政策阻止流量，而用戶不喜歡的話，就讓他們閱讀企業IT政策，用戶逐漸會遵守政策。

　　但實際上，除了來自刺探你網絡中未知漏洞的攻擊者(可能甚至是政府授權的攻擊者)的外部威脅，你的外部防火牆還受到異常安全請求的內部威脅。很多這些請求來自高管，他們一心想要拓展業務。還有些來自高層管理人員，他們可以改變政策，但對安全的認識有限。他們會找到你的經理，要求處理他們的請求，最後你怒了，你不得不申請一次特殊處理。

　　救援軟件

　　幸運的是這個問題很普遍，大家已經都意識到這些問題的嚴重性。這些問題讓廠商看到安全管理的商機。防火牆安全管理產品就像企業中的安全“忍者”，提供正常分析、配置清理、政策合規報告，甚至是最佳做法建議。一些防火牆甚至支持流量模擬，在部署防火牆之前允許你測試可能的情況。而幾乎所有防火牆都有必備的政策評論功能。

　　防火牆能夠存儲原有業務的簡單總結，策略有效期可定，並提供政策聯系信息，這可以防止今天臨時的例外成為明天永久的漏洞。它還允許團隊進行協作。網絡安全管理不僅能夠將防火牆移交給下一任，最好你還能確保你的防火牆能夠“履行其職責”。