防火墙问世25年 语言翻译成挑战
作者: 日期:2017年07月10日 阅:9,558

第一款商业防火墙 DEC SEAL,于1992年发售。25年之后,防火墙依然是企业安全基础设施中的核心构件块。诚然,防火墙自面世起经过了很多发展变化,每个进化阶段都加入了更复杂的安全功能。

我们从仅需要用户编写出站策略的流量状态防火墙,发展到支持更细粒度过滤和深度包检测的下一代防火墙(NGFW),不仅网络协议和端口,特定应用流量也能识别。虚拟数据中心的采用,引领了虚拟防火墙的发展,增添了更多需要管理的设备。

而如今,随着向私有和公共云的迁移,出现了更多可供选择的安全控制:商业云防火墙、云提供商自有的控制,以及基于主机的防火墙。

翻译问题

目前的现实是,公司企业的环境通常都是混合的:数代防火墙、技术和厂商大杂烩。管理如此混杂的环境是一大挑战,因为每一代防火墙、每个厂商的产品,用的是不同的语法和语义来创建安全策略。

就拿同时采用传统防火墙和NGFW的企业网络来说。该企业可能有一套全公司范围内应用的社交媒体站点封锁规则,但其市场部又需要能够访问Facebook。Facebook流量流经两种类型的防火墙——意味着新安全策略需要针对两种防火墙都来一份。

对NGFW而言,添加这条新规则直观又简单。Facebook可在防火墙规则集中被设置为预定义的‘允许’应用,而对其他社交媒体站点的访问和来自其他部门的访问请求,则被禁止。然而,传统防火墙理解不了“Facebook”这个词:它只能理解Facebook使用的默认“源地址”、“目的地址”、“服务”和“动作”协议——http和https。

于是,实际上,在NGFW和传统防火墙上做安全策略修改,涉及的是完全不同的过程和语言。配置设备的工程师必须既要清楚了解应用间的映射(因为要在NGFW中定义),还要熟知它们各自的服务、协议和端口(因为要在传统防火墙中定义),这样规则和策略才能在两种环境中都得到正确的设置。

编写这些策略或作出网络变动时,各产品间出现的任何错误或“翻译差错”,都有可能导致非预期的应用掉线或引入安全漏洞——要么源于重要流量被无心封堵,要么是其他流量被无意间允许了。典型企业网络环境中都有数十乃至上百个防火墙,如此倍增下来,无异于通往超级大混乱的绝佳秘方。

云端并发症

当这些过程扩展到云部署,取决于所用的云安全控制,IT团队还会遭遇到额外的难题。某家云提供商可能会对特定服务器提供多个安全分组,而其他提供商可能只允许单一安全组——但又可能允许与VLAN中所有服务器相关联的安全组。从较高层次看,你可以为基础流量过滤指定一个最小公约数,但一旦想要开始做点更复杂的事——企业网络所需的细粒度过滤,有些提供商可能就没有能力提供这些功能了。

而且,每家提供商的语义模型都不同,你能用其产品过滤的东西,你的控制规则能应用的地方,也各不相同;与公司已经部署的内部防火墙也有差异。

这各不相同的语言意味着,在异构网络环境中跨多个不同类型防火墙部署安全策略,是一件极端复杂的事——意味着甚至做最简单的改变(比如为公司某部门启用Facebook或YouTube访问),都充满了风险。

打破语言障碍

那么,怎样才能除去安全策略修改中的风险,减少IT团队必须在多种防火墙语言中转换的麻烦呢?无论企业内部还是云端,各种安全控制用以构建各自规则和策略的不同语法及词汇间,能有办法相互翻译即可。这样IT团队就可以让安全资产理解各自业务的语言了。

为跨越语言障碍,以统一的控制台和单一的命令集,有效优化及管理安全,你需要具备以下4个关键功能的自动化管理解决方案:

1. 可见性与控制

你要能虚拟化整个网络上的全部防火墙、网关和安全控制,以单一面板尽在掌握。

2. 管理正常修改

你要能将这些安全产品的全面配置与管理作为日常运营的一部分。所以你选择的解决方案必须要能翻译所用各个安全控制的不同语法和逻辑,要能协调一致地自动实现安全策略修改。该解决方案还应记录下所有修改动作。

3. 管理较大改动

重大网络架构改动也对安全策略管理提出了较高要求。将数据中心或应用迁移到云端,或者团队选择了另一家供应商时,你得能在异构环境中自动调整你的安全策略。

4. 表现出合规

网络安全是你必须向审计和监管机构展现出合规的重要领域。一套能自动跟踪所有过程和改动,主动评估风险,提供即时可用审计报告的解决方案,有助于提升审计准备度,维持持续的合规状态。

通用语

一套正确的解决方案,可使企业确保自身全部防火墙资产理解并响应常见的安全要求,无论这些防火墙被部署在哪里。安全策略也能连续一致地应用,无需耗时费力还易出错的人工过程,并能保证网络流量能在企业内部网络和私营或公共云环境中安全流通。

毕竟,企业的安全和合规,是你绝对不能在翻译中迷失掉的两件事。

申明:本文系厂商投稿收录,所涉观点不代表安全牛立场!


相关文章