在传统防火墙上,任何变更都需要发起一个变更请求。如果开发团队希望启动一个新应用程序,那么它会发送一个变更请求到防火墙上要求打开端口。这种细致方法不适用于下一代防火墙的应用监控。Young说:“要采用不同的方法。您可以批准特定类型的应用程序。您可以说:‘除了特定的情况,我们不允许使用任何点对点应用程序。’所以如果发现一个点对点应用程序,而防火墙管理员又希望批准这条规则,那么它应该以预先批准的方式进行处理。”
企业管理联盟研究主管Scott Crawford指出,在广义上,防火墙管理就是变更控制。拥有成熟防火墙变更管理方法的企业更能避免安全漏洞和性能破坏问题。在下一代防火墙中,随着防火墙环境变得越来越复杂,自动化也变得越来越重要。Skybox的调查发现,有58%的企业在他们的下一代防火墙上部署了100条以上的规则,而有35% 的公司每个月执行100次以上变更。
Crawford说,在这些复杂环境中,用户必须利用自动化方法,因为他们通常过于复杂,而无法通过手工流程进行可靠管理。在部署之前,一定要在您的建模范围内验证您规划的所有变更,然后跟踪这些变更,保证它们按预期方式部署。此外,您需要设定一个回滚变更的流程,这样才不会产生其他问题。
Skybox、Tufin Technologies、AlgoSec和Athena Security等供应商在专门研究这些问题。他们提供了防火墙变更控制产品,其中大多数都可以对这些变更影响网络的方式进行建模。此外,这些供应商正在将他们的产品更新到下一代防火墙管理技术。
如果一个IT组织的下一代防火墙管理团队与网络运营团队属于独立实体,那么网络安全团队还应该保证要这两个团队协调一致。Crawford说:“即使在下一代防火墙出现之前,我们也发现一些组织遇到一些预料到的性能水平和可用性中断的问题,因为安全策略在不知道会产生什么影响的情况下就应用了。”
“当您增加了感知应用的防火墙,这个挑战越来越大。即使在分布式网络的客户端,如果您部署WAN优化设备,那么您会希望将它是专门为应用程序的设备。您需要在网络性能、可用性与安全性需求之间做出协调,以避免出现冲突和增加暴露风险。”