虽然防火墙审查已经趋于成熟,但是其产品类型仍然属于新兴市场,受限于供应商的选择,如 Tufin,AlgoSec,Secure Passage 和Athena Security等防火墙专业审查公示,RedSeal系统和Skybox Security等风险降低产品的基础供应商。因此,防火墙审查其实事关风险评估和风险管理。要将时间用在定义防火墙需求,缩小目标范围和测试产品上面。
要重视平台和设备覆盖
这些产品通常支持所有的主流防火墙供应商的产品及其他主流网络设备,因此应对其予以重视,并权衡现在以及未来可能的需求。例如,现在可以在企业运行一个单独的平台,但是未来的平台可放到其他供应商的架构上运行。无论你是打算转向单独平台还是继续对多个平台实施管理,这些工具都要能助你一臂之力。所以要弄清楚供应商是否能提供软件开发工具包是这些工具融入不受支持的平台上。
还必须检查网络设备的覆盖情况。此处有几点需要纳入考虑范畴。第一,要清理优化路由器上的访问控件列表;第二,路由器现在越来越趋向于附带内置安全功能。
要对选择的产品进行测试
一旦按照自己的需要缩小选择范围,就要对入围的产品进行测试。选择其中你最喜欢的两到三个,将其放置到真实环境中测试。建议大家测试一下这些产品寻找未使用规则的情况怎样,优化配置的性能又如何,然后再进行对比。也可以检测一下产品的真实性能是否与供应商宣传的一致。
要确定报告要求
必须确定报告的要求,再评估产品的相关性能。审查报告应该在大多数企业中占有优先地位。评估报告质量,证明它是否能验证控制策略已经被执行。同样,还要确保你能根据指定的审查查询要求出具令人满意的报告。
由于这些产品属于管理工具,所以你会想知道产品的操作性报告,因为这类报告可告诉你哪些工作已经完成,还有哪些问题等待处理。确保这类报告给出的信息属于你所需要的级别。例如,规则使用可以随时间进行更改。某项被优先的规则可能成为某项操作的瓶颈,这个时候,就要解除其优先权。
高级别报告可以安全而有效地阐述整体的改进,也能透露哪个部门的网络管理还存在漏洞。
要对工作流量进行整体考量
大多数供应商都提供了免费的工作流产品以便将产品的核心功能与更改管理工作流工具结合起来,如售票系统。如果企业具备一套良好的流程和支持工具,那么这些产品并不重要。但是有些公司发现这一功能有助于实现更改管理程序的自动化。要检查并完善策略和步骤
在购买和部署一个防火墙审查产品前要检查并完善自己的策略和步骤。企业的IT管理和信息安全基于良好的策略及步骤安排。技术型工具固然是减少了错误的发生,改善了效率且可用自动化分析代替费时耗力的人工分析,但是却不能百分之百地信赖于它。虽然每个企业间都存在差异,但有有些基本的准则不会变:
1. 检查企业所有部门的操作。确保产品可应用于整个企业,容许小的偏差以满足特定需求。
2. 创建一个会在每个步骤中记录下的进程,然后确保每个相关人员的操作都可以被解释说明。
3. 可能的话,依据商业需求提出请求,还不是局限于IT技术范畴的考量。
4. 组建一个团队,用来评价涉及坚守企业策略的请求。
5. 执行商业型和技术型两套风险评估方案,两个方案应独立部署并进行风险考核。
6. 对部署进行测试,并经由IT部门和企业主验收。
7. 记录存档。
复原,然后重复。
不要忽视可扩展性
那些将重心放在企业部署的供应商宣称自己可以扩展数以千计的设备。要从管理个部署的角度来理解供应商的言辞。
此外,环境的规模对技术和方法都提出了巨大要求。因为在小公司中运行稳定的技术不一定适用于大环境,所以要警惕技术的局限性。
选择要具有前瞻性。即便产品能满足你当前的需求,但是随着公司业务的增长,服务的增加,企业并购的发生以及流量的增加,它是否还能满足增长的需求呢?
不要贪多
一些产品定位的具备数以百计防火墙和网络设备的复杂的,混合式环境。应该根据环境权衡产品的功能和成本。如果你的防火墙环境相对简单,静态且流量相对可预测,那么可选择比较便宜的产品,因为它们有利于优化项目并且能周期性地将防火墙置于控制之下。
不要忽略硬件
不要忽略硬件,尤其是当你在虚拟环境中运行这些产品时。确保你拥有足够的CPU和内存在实时环境中支持产品,而随着流量的增加,还要未雨绸缪。可以考虑Tufin提供的三种基于设备的方案及其软件。