是否买了防火墙就等于有了安全?
安全者,求之于策略管理,不责于防火墙。
防火墙的前世今生
大家耳熟能详的防火墙已经有26年历史了。1993年,Check Point推出首台防火墙;1996年,天融信率先推出填补国内空白的自主知识产权防火墙。2009年,Gartner Research发布了“下一代防火墙”定义;2011年,深信服推出国内第一台“下一代防火墙”。
防火墙本身就是一台为网络而设计的计算机,与通用计算机一样,防火墙由硬件和软件两部分组成。现今防火墙有着多种硬件技术架构,不同的硬件架构有着各自不同的特点。其目的是为了实现网络访问控制,从而保证网络安全。
网络访问控制是保证网络安全的最重要技术之一,实现网络访问控制有两种方式:一是采用专用防火墙设备,二是采用路由交换设备自带的访问控制列表(ACL:Access Control List)。防火墙规则和路由交换设备的ACL称为网络安全策略。
如何让防火墙更有价值?
对于每一个关心网络安全的机构和企业而言,网络安全都是一场战争,尤其是自主可控的网络安全。
《孙子兵法》里有这样一句话:“故善战者,求之于势,不责于人,故能择人而任势。” 大战的胜负,往往不取决于单个或多个士兵的战术能力,而取决于战略,取决于将帅者对战略的把握与落实。
同样的道理,安全者,求之于策略管理,不责于防火墙。既然防火墙是为网络安全访问而生,那么如何让防火墙更有价值?答案离不开策略管理。
网络和安全管理员经常有这样的疑问:“谁写了这条规则,为什么要写这条规则?”随之而来的问题:“我可以删掉它吗?”答案通常是不确定的。防火墙策略管理在许多IT部门中都非常混乱,如今很多单位仍然使用电子表格保存成千上万的防火墙规则。
在这种情况下,运维人员往往会发现:网络安全出问题,往往不是防火墙本身有问题,而是防火墙访问策略出现了问题。
遇到问题,就要解决问题。但在解决的过程中,往往又面临新的问题:策略数量过大、合规审计中出现大问题、手工梳理策略导致人手不足……很多企业这时候才意识到策略管理软件的价值,开始用工具来提升效率,用策略管理软件来体现防火墙的价值。
在全球第一台防火墙诞生8年后,全球第一款防火墙安全策略分析管理系统于2001年推出。虽然策略可视化,是一个细分的领域,在这里也不乏精耕细作的厂商。
安博通在下一代防火墙标准诞生8年后,基于“看透安全、体验价值”的理念针对下一代防火墙,结合业界最新的可视化技术,推出了适合中国市场的自主可控的策略可视化产品,兼容国产操作系统及各主流品牌的防火墙、路由器、交换机。
策略可视化之最佳实践
通过采购、部署策略管理软件,很多用户才意识到策略管理软件带来的价值:
· 可以将不同品牌的防火墙产品的大量策略,纳入统一管理,从而让已采购的防火墙产品都能得到高效的使用;
· 解决因为环境动态变化出现的错误策略配置或攻击面漏洞,从而提高网络安全性;
· 满足合规审计的要求,软件自动处理,节省大量人工,降低防火墙产品的TCO (总体拥有成本)。
相比其他行业,运营商网络具有规模大、复杂度高、策略多、品牌多样化等特点。中国移动在三大运营商中率先意识到,让防火墙产生更大的价值离不开策略梳理,发布了《安全设备五清专项工作思路与推进方案》,将“五清”工作列入网络安全工作要求。
2018年,安博通策略可视化产品,服务了上海移动、青海移动、陕西移动等省级运营商,出色地为运营商客户进行策略梳理工作,提升了运营效率,也让全网的防火墙设备产生了更大的价值。
安博通「晶石」安全策略可视化平台,不仅让网络安全管理更简单,更让防火墙产生了更大价值,以防火墙伴侣的姿态,与之相辅相成。