下一代防火墙的评估和选型

日期: 2015-04-23 来源:TechTarget中国

NSS实验室最近的一份报告表明,下一代防火墙(NGFW)的管理功能一般都比较差。那么当企业在评估供应商时,对于NGFW管理功能,应该仔细体会,更为慎重。

管理任何设备,我们关注的重点都应该是把握管理员的容易访问程度与其他用户的难以访问程度之间的平衡。当企业在研究NGFW的管理功能时,最重要的是,企业首先需要确定管理员是否被允许从网络边界外部访问管理界面。对于这个问题,没有正确或错误的答案:这取决于每个企业是否愿意接受远程防火墙管理带来的相关风险。

如果你的企业决定允许管理员从外部访问管理界面,必须做出以下三个额外的管理决定:

1.下一代防火墙是否有内置的Web服务器用于管理目的?如果有的话,对web服务器的访问是否加密?很多管理员喜欢图形用户界面的便捷性,企业可以选择这种方式,但前提是对GUI的连接必须是通过SSL进行。 

2.管理员必须要访问web服务器吗?企业最好让管理员通过命令行来访问界面。这样的话,你就不需要担心web服务器配置中的安全漏洞问题;只需要建立一个shell即可。 

3.管理界面的现成的配置足够好吗?还是需要额外的配置?很多时候,系统管理员忽视了这个问题,而这往往会导致安全泄漏事故。例如,安全人员必须确定在默认情况下开启加密,还是需要勾选一些框格来激活加密。你会惊讶地发现,默认配置经常被忽视,而这种问题往往会导致灾难性的后果,这原本是很容易可以避免的,前提是你需要在默认配置上多花点时间。 

然而,对于NGFW应用管理,笔者建议企业中有人能够研究每个供应商编写的不同应用的签名的可靠性。这可能需要高水平的技术,因此没有那么容易。在企业有应用签名分析师的情况下,笔者建议将不同类型的流量扔到防火墙,并使用数据包捕捉工具(例如Wireshark)来确定防火墙能够阻止应该阻止的东西。另外在防火墙的配置方面,也可以借用一些管理工具,如IBM Security QRadar Risk Manager,可以分析防火墙配置,帮助识别错误并删除无效的规则。

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

相关推荐