防火墙管理软件简化防火墙规则

来源:微学教育网发布时间:2011-06-14

    三年前,当Jim Lepine成为交易审计公司PRGX Global Inc.的信息安全副总裁时,他发现原来部署在企业中的老Cisco PIX防火墙被塞满了成千上万不必要的规则并且缺乏统一的防火墙变更管理流程。并且,他对PRGX防火墙没有直接的所有权,而由网络服务团队负责。
    防火墙管理的复杂性是很平常的。许多网络工程师喜欢手工或亲自进行防火墙管理,但随着时间的推移,这种方法有很多不便。没有自动化和分析功能的防火墙管理软件无法找出数以千计的规则和错误配置,可能会变成一种黑色幽默,网络安全高级管理人员产生挫败感。
    “所以当涉及到这些错误时,我首先问的是‘我们如何管理这些设备的变更?’管理人员空洞的目光基本就告诉了我想知道的一切,”Lepine说。
    为了让防火墙基础架构整合到所有的安全操作上,以及帮助组织完成从Cisco防火墙到Juniper Network SRX网关的困难迁移,Lepine需要保证防火墙管理软件可以让安全团队和网络团队都能使用。他还从AlgoSec那购买了防火墙管理软件,一种专门的防火墙变更与配置管理技术,AlgoSec也有很强的防火墙分析能力,能分析出影响网络安全和网络性能的是哪些防火墙规则和配置。
    防火墙管理软件揭露出潜在的防火墙规则
    AlgoSec产品能让Lepine与网络工程师们快速了解PIX防火墙,他们还发现手动的防火墙管理太过于复杂。在一台PIX 535中,Lepine说他们就发现了3000条防火墙规则。
    Lepine说:“这是非常可怕的,而且其中的2000条都还是掩盖着的。这种PIX防火墙可能有10年之久了,并且这些设置的规则已经彻底失去控制了。没有人能处理,Cisco的人习惯用命令行模式做事。”
    通过使用命令行,工程师们掩盖了数以千计的规则, Lepine说。每一次公司业务需要网络团队打开防火墙的一个端口时,工程师们就得在命令行接口筛选成百上千的规则。随着时间的推移,当工程师们在处理一个更改请求时,就没有时间去检查庞大的规则了。
    “几年后,网络团队就会不考虑已存在的规则集说:‘好的,我会定义这个对象,打开这个端口以及通信路径,’。先前那些规则到结束都未被使用过,因为另外一个规则在事情发生前已被触发了,”他说。
    AlgoSec软件能分析这个设备上的3000条规则,然后确定其中的2000条是多余的。Lepine在企业其他PIX设备上也运行了相同的防火墙审计规则。
    他说:“因此,我们可以用AlgoSec软件做个快速评估分析,然后它会报告哪些规则从未使用过,只是防火墙上无用的毁坏的资源。”
    防火墙管理软件减轻了经销商的转型
    去年当PRGX开始用Juniper SRX网关替代原来老的思科PIX防火墙时,AlgoSec软件确实减轻了中间不少的困难。
    “在这个迁移开始时,网络工程师讨论过让VAR(经销商)来帮助实现,” Lepine说,“我跟他们说有这么好的工具,你们为什么就不能用它呢?当时他们都非常惊讶。
    这个防火墙管理软件可以很轻松地将PIX盒子里设置好的配置和规则迁移到SPX盒子。本来是3000条规则在PIX535,现在在SRX里才是一个600条的规则集。
    从Cisco到Juniper的迁移绝非简单的事情,所以我们要给网络团队提供所有他们需要的信息来顺利完成迁移。
    防火墙管理软件加强防火墙变更管理和配置管理
    虽然PRGX的网络工程师对公司防火墙仍有所有权,但使用AlgoSec技术可加强防火墙变更管理策略,每次有人对它做更改时,Lepine团队都会得到一个通知,然后工程师们会通过公司变更票务系统来核实每次更改。
    Lepine还在防火墙上实行了更严密的配置管理策略来应对更为苛刻的安全策略。
    Lepine说:“网络服务团队在家就能分配到静态IP地址,可以登入并管理防火墙。从总政策的角度来看,我们决定用授权的远程连接方式从内部网络登录防火墙,而且这是管理防火墙的唯一途径。而他们绕过了这个流程。这是我们用Algosec做第一次分析时发现的一个明显的错误。”