防火墙管理软件揭露潜在防火墙规则
三年前,当Jim Lepine成为交易审计公司PRGX Global Inc.的信息安全副总裁时,他发现原来部署在企业中的老Cisco PIX防火墙被塞满了成千上万不必要的规则并且缺乏统一的防火墙变更管理流程。并且,他对PRGX防火墙没有直接的所有权,而由网络服务团队负责。
防火墙管理的复杂性是很平常的。许多网络工程师喜欢手工或亲自进行防火墙管理,但随着时间的推移,这种方法有很多不便。没有自动化和分析功能的防火墙管理软件无法找出数以千计的规则和错误配置,可能会变成一种黑色幽默,网络安全高级管理人员产生挫败感。
“所以当涉及到这些错误时,我首先问的是‘我们如何管理这些设备的变更?’管理人员空洞的目光基本就告诉了我想知道的一切,”Lepine说。
为了让防火墙基础架构整合到所有的安全操作上,以及帮助组织完成从Cisco防火墙到Juniper Network SRX网关的困难迁移,Lepine需要保证防火墙管理软件可以让安全团队和网络团队都能使用。他还从AlgoSec那购买了防火墙管理软件,一种专门的防火墙变更与配置管理技术,AlgoSec也有很强的防火墙分析能力,能分析出影响网络安全和网络性能的是哪些防火墙规则和配置。
防火墙管理软件揭露出潜在的防火墙规则
AlgoSec产品能让Lepine与网络工程师们快速了解PIX防火墙,他们还发现手动的防火墙管理太过于复杂。在一台PIX 535中,Lepine说他们就发现了3000条防火墙规则。
Lepine说:“这是非常可怕的,而且其中的2000条都还是掩盖着的。这种PIX防火墙可能有10年之久了,并且这些设置的规则已经彻底失去控制了。没有人能处理,Cisco的人习惯用命令行模式做事。”
通过使用命令行,工程师们掩盖了数以千计的规则, Lepine说。每一次公司业务需要网络团队打开防火墙的一个端口时,工程师们就得在命令行接口筛选成百上千的规则。随着时间的推移,当工程师们在处理一个更改请求时,就没有时间去检查庞大的规则了。
“几年后,网络团队就会不考虑已存在的规则集说:‘好的,我会定义这个对象,打开这个端口以及通信路径,’。先前那些规则到结束都未被使用过,因为另外一个规则在事情发生前已被触发了,”他说。
AlgoSec软件能分析这个设备上的3000条规则,然后确定其中的2000条是多余的。Lepine在企业其他PIX设备上也运行了相同的防火墙审计规则。
他说:“因此,我们可以用AlgoSec软件做个快速评估分析,然后它会报告哪些规则从未使用过,只是防火墙上无用的毁坏的资源。”
防火墙管理软件减轻了经销商的转型
去年当PRGX开始用Juniper SRX网关替代原来老的思科PIX防火墙时,AlgoSec软件确实减轻了中间不少的困难。
“在这个迁移开始时,网络工程师讨论过让VAR(经销商)来帮助实现,” Lepine说,“我跟他们说有这么好的工具,你们为什么就不能用它呢?当时他们都非常惊讶。
这个防火墙管理软件可以很轻松地将PIX盒子里设置好的配置和规则迁移到SPX盒子。本来是3000条规则在PIX535,现在在SRX里才是一个600条的规则集。
从Cisco到Juniper的迁移绝非简单的事情,所以我们要给网络团队提供所有他们需要的信息来顺利完成迁移。
防火墙管理软件加强防火墙变更管理和配置管理
虽然PRGX的网络工程师对公司防火墙仍有所有权,但使用AlgoSec技术可加强防火墙变更管理策略,每次有人对它做更改时,Lepine团队都会得到一个通知,然后工程师们会通过公司变更票务系统来核实每次更改。
Lepine还在防火墙上实行了更严密的配置管理策略来应对更为苛刻的安全策略。
Lepine说:“网络服务团队在家就能分配到静态IP地址,可以登入并管理防火墙。从总政策的角度来看,我们决定用授权的远程连接方式从内部网络登录防火墙,而且这是管理防火墙的唯一途径。而他们绕过了这个流程。这是我们用Algosec做第一次分析时发现的一个明显的错误。”(责任编辑:admin)
- “扫一扫”关注融合网微信号
免责声明:我方仅为合法的第三方企业注册用户所发布的内容提供存储空间,融合网不对其发布的内容提供任何形式的保证:不保证内容满足您的要求,不保证融合网的服务不会中断。因网络状况、通讯线路、第三方网站或管理部门的要求等任何原因而导致您不能正常使用融合网,融合网不承担任何法律责任。
第三方企业注册用户在融合网发布的内容(包含但不限于融合网目前各产品功能里的内容)仅表明其第三方企业注册用户的立场和观点,并不代表融合网的立场或观点。相关各方及作者发布此信息的目的在于传播、分享更多信息,并不代表本网站的观点和立场,更与本站立场无关。相关各方及作者在我方平台上发表、发布的所有资料、言论等仅代表其作者个人观点,与本网站立场无关,不对您构成任何投资、交易等方面的建议。用户应基于自己的独立判断,自行决定并承担相应风险。
根据相关协议内容,第三方企业注册用户已知悉自身作为内容的发布者,需自行对所发表内容(如,字体、图片、文章内容等)负责,因所发表内容(如,字体、图片、文章内容等)等所引发的一切纠纷均由该内容的发布者(即,第三方企业注册用户)承担全部法律及连带责任。融合网不承担任何法律及连带责任。
第三方企业注册用户在融合网相关栏目上所发布的涉嫌侵犯他人知识产权或其他合法权益的内容(如,字体、图片、文章内容等),经相关版权方、权利方等提供初步证据,融合网有权先行予以删除,并保留移交司法机关查处的权利。参照相应司法机关的查处结果,融合网对于第三方企业用户所发布内容的处置具有最终决定权。
个人或单位如认为第三方企业注册用户在融合网上发布的内容(如,字体、图片、文章内容等)存在侵犯自身合法权益的,应准备好具有法律效应的证明材料,及时与融合网取得联系,以便融合网及时协调第三方企业注册用户并迅速做出相应处理工作。
融合网联系方式:(一)、电话:(010)57722280;(二)、电子邮箱:2029555353@qq.com dwrh@dwrh.net
对免责声明的解释、修改及更新权均属于融合网所有。