防火墻策略管理有必要么？(

在PCI Data安全標準審計和HTTP應用程序普及的時代，基于電子表格的防火墻策略管理似乎早就已經過時。但是，許多公司仍然使用15年前就在使用的電子表格保存成千上萬的防火墻規則。

網絡和安全管理員會經常有這樣的疑問：“誰寫了這條規則，為什么要寫這條規則？”答案通常是：“前任CEO Larry需要通過NetZero撥號上網訪問財務數據。”然后就是隨之而來的問題：“你認為我們可以刪掉它嗎？”但是，答案通常是不確定的。

防火墻策略管理在許多IT部門中都非常混亂。根據防火墻管理軟件供應商Athena Security最新的一項調查顯示，95%的工程師都會遇到防火墻審計問題，因為這需要的手工過程非常耗時。此外，審計通常是一個快照，在另一位管理員使用工程師的密碼添加一條新規則之后，就會馬上失效。

在Athena調查的841名工程師中，有90%表示他們的防火墻會由于一些不必要的、冗余防火墻規則而未能達到最優狀態。他們希望拋棄這些規則，但是他們應該從何處入手？

Jeff Kramer是一家全球消費產品制造端的風險管理專家，他說：“我半夜都會擔心我們的防火墻是否出現了一些不應該出現的規則，或者有人在未授權的情況下添加了規則。是否有人進入了我的防火墻，然后添加了一條違反規范性或安全規定的規則？或者，是否有人公然添加一條規則，盜取公司的信息？老實說，我現在還不確定是否會出現這些問題。”

Kramer正在安裝Athena的FirePAC，用于改進他15,000人規模公司的防火墻規則管理。這個軟件將監控大約50臺思科和Check Point防火墻。購買FirePAC的原因，很大程度上是為了改進公司對PCI的審計。

他說：“我們檢查了一些PCI審計過程，發現防火墻規則集檢查過程中存在一些問題。而且，最后一個審計過程確實存在重大問題，它明顯制造了一些合規性問題。我們設法通過審計糾正我們的方法，但是進行防火墻規則檢查所需要的人力顯然是不可接受的。”

防火墻策略管理：新出現的第三方軟件

Gartner公司研究副總裁Greg Young指出，防火墻策略管理供應商（如Athena、Tufin Technologies和Algosec）為這個目前雖小但在不停增長的市場提供服務，他們需要獲得防火墻規則管理服務。當然，并非每一個公司都需要這種第三方軟件。這些公司通常都是在發生災難之后才認識到需要這些軟件。

Young說：“事情就像是：只有遇到問題—— 規則庫過大或者審計出現大問題或者人手不足，這才會讓他們想起使用這些工具。”根據Young的介紹，有四種情況會促使企業購買防火墻策略管理軟件：

◆復雜的環境：擁有大量防火墻的公司通常很難理解所有設備的作用，或者由于數量過大而無法有效管理。

◆高度動態的防火墻環境：Young說：“即使數量不多，由于環境不斷發生變化，也可能產生錯誤配置或者出現漏洞。”

◆ 多供應商防火墻環境：防火墻供應商本身提供了一些管理軟件，但是這種軟件不兼容其他供應商的產品。許多大型企業都部署了多個供應商的防火墻產品。例如，Kramer的公司在邊緣網絡使用Check Point，同時使用思科設備分割內部網絡。

◆嚴格的審計要求：如果公司提升了審計的嚴格性，特別是像PCI或HIPAA審計，那么幫助審計人員記錄防火墻規則的人力可能非常大，并且可能會放大前面提到的其他三個因素。

如果防火墻數量極少，都是靜態的或都來自同一家供應商，那么這些工具可能用處不大。Young說：“除非這些防火墻加載了某個具有大量規則的奇怪策略。”

雖然現在規模較小，但是確實需要防火墻策略管理工具的公司數量在不斷增長。Young說：“由于我們的應用程序在創建時涉及的方面越來越多，因此配置能夠處理這些應用程序的防火墻也越來越困難。現在已經不是用一個端口處理一個連接的問題了。當部署到云環境時，防火墻所監控的連接狀態是Web，它非常復雜，所以規則庫會越來越大和越來越復雜。隨著更多的業務和應用程序上線，這些工具的應用也會慢慢增加。”

服務器租用/服務器托管中國五強！虛擬主機域名注冊頂級提供商！15年品質保障！--億恩科技[ENKJ.COM]