從理論上講，防火墻是一個(gè)神奇的安全集中器，是外部世界和受保護(hù)的網(wǎng)絡(luò)之間高性能的網(wǎng)關(guān)。理想情況下，它是一個(gè)易于控制的單點(diǎn)配置，允許你部署多個(gè)最佳安全技術(shù)。并且，它永遠(yuǎn)不會(huì)讓你在晚上睡覺時(shí)翻來覆去地想它的配置是否存在漏洞，而導(dǎo)致企業(yè)數(shù)據(jù)泄露。但網(wǎng)絡(luò)安全管理的現(xiàn)實(shí)并非如此：其實(shí)我們的防火墻不可能永遠(yuǎn)保持“刀槍不入”的狀態(tài)。

很少有安全管理員能夠“貫穿”防火墻的整個(gè)生命周期，他們可能沒有參與配置或者設(shè)置初始規(guī)則，或者沒有參與政策管理、審批和記錄，也可能是沒有參與政策遷移到后續(xù)硬件之前的徹底重新審查。99%的防火墻管理員從別人那里“繼承”這些防火墻，他們徹夜無眠是因?yàn)椋麄円庾R(shí)到他們繼承的是一堆“殘?jiān)?rdquo;：幾乎沒有可讀的策略庫，其中可能包含幾十個(gè)甚至上百個(gè)潛在漏洞。

解決方法包括企業(yè)范圍內(nèi)的偵查工作、業(yè)務(wù)流程逆向工程、查看詳細(xì)的文檔和定期繁瑣的維護(hù)——這是IT人員痛恨的工作。除非是必須，管理員才不會(huì)處理這些繁瑣程序，大多數(shù)人寧愿專注于子網(wǎng)和生成樹。防火墻很讓人頭疼。

攻擊者和破壞政策的高層

如果你從沒管理過防火墻，你可能會(huì)認(rèn)為這個(gè)工作與管理任何其他網(wǎng)絡(luò)設(shè)備上的ACL類似。有規(guī)則來識(shí)別流量，并設(shè)有政策來對(duì)違反那些規(guī)則的流量采取行動(dòng)。防火墻應(yīng)該只是標(biāo)準(zhǔn)的網(wǎng)絡(luò)配置管理，而不是什么藝術(shù)或魔術(shù)。如果企業(yè)IT政策阻止流量，而用戶不喜歡的話，就讓他們閱讀企業(yè)IT政策，用戶逐漸會(huì)遵守政策。

但實(shí)際上，除了來自刺探你網(wǎng)絡(luò)中未知漏洞的攻擊者(可能甚至是政府授權(quán)的攻擊者)的外部威脅，你的外部防火墻還受到異常安全請(qǐng)求的內(nèi)部威脅。很多這些請(qǐng)求來自高管，他們一心想要拓展業(yè)務(wù)。還有些來自高層管理人員，他們可以改變政策，但對(duì)安全的認(rèn)識(shí)有限。他們會(huì)找到你的經(jīng)理，要求處理他們的請(qǐng)求，最后你怒了，你不得不申請(qǐng)一次特殊處理。

救援軟件

幸運(yùn)的是這個(gè)問題很普遍，大家已經(jīng)都意識(shí)到這些問題的嚴(yán)重性。這些問題讓廠商看到安全管理的商機(jī)。防火墻安全管理產(chǎn)品就像企業(yè)中的安全“忍者”，提供正常分析、配置清理、政策合規(guī)報(bào)告，甚至是最佳做法建議。一些防火墻甚至支持流量模擬，在部署防火墻之前允許你測試可能的情況。而幾乎所有防火墻都有必備的政策評(píng)論功能。

防火墻能夠存儲(chǔ)原有業(yè)務(wù)的簡單總結(jié)，策略有效期可定，并提供政策聯(lián)系信息，這可以防止今天臨時(shí)的例外成為明天永久的漏洞。它還允許團(tuán)隊(duì)進(jìn)行協(xié)作。網(wǎng)絡(luò)安全管理不僅能夠?qū)⒎阑饓σ平唤o下一任，最好你還能確保你的防火墻能夠“履行其職責(zé)”。