防火墙规则永远不会消亡,它们只是存在一些漏洞,但其复杂度将继续提升。现在,下一代应用程序意识的防火墙可能让事情变得更加复杂,因为这些防火墙需要维护数百甚至成千上万的应用程序签名。
防火墙规则膨胀:从何而来?
在大型企业中,有专门负责防火墙的安全工作人员,他们将全部时间都花在编写和测试防火墙规则上。他们的职位之所以存在,是因为他们的企业拥有庞大而复杂的防火墙装置,这些防火墙要与多个隔离区(DMZ)、数量不固定的应用程序以及几十个合作伙伴企业相协调。
这些防火墙专家这样做,可以使企业阻断某种流量类型,或者选择性地允许这种流量在特定外部或内部实体内传输。他们努力的最终结果是将形成一个庞大而复杂的规则集,这使管理变得更加困难。
糟糕的是随着规则集的增加,性能将会受到影响。规则列表是从上到下进行解析的,规则集越长,处理延迟就更长。并且,它们还将消耗更多的设备内存,损坏性能,提高对设备的处理和功能要求。同时,这种增加的复杂性还是经济和安全两方面的敌人,因为这意味着需要更多的变通方案,存在更多的错误。
让事情更糟糕的是,应用程序签名膨胀
一些安全主管没有选择将这种应用程序和用户意识的下一代防火墙添加到现有防火墙中,这样他们从可以一切从零开始。他们没有将防火墙规则从4层设备移植到另一个设备,而是安装一个4到7层设备,然后从头开始。
然而,即使是从零开始,下一代防火墙也不可能避免膨胀问题。因为这一次,应用程序签名造成新的膨胀。每个供应商的防火墙都能够正确识别几百个应用程序。更重要的是,IT企业会为内部、定制化或新应用程序添加更多资料信息。在未来几年,随着平台即服务(PaaS)的普及,软件即服务(SaaS)的持续爆炸,以及企业移动设备和移动应用程序的快速发展,所有这三种类型的应用程序都会变得越来越重要。
处理防火墙应用程序签名膨胀的步骤
IT不应该不删除过时的旧签名继续不断增加新签名,他们需要建立强大的流程来管理这些签名集。如果供应商自身的签名文件易于模块化处理,将会对IT很有帮助。这样的话,IT只需要将实际需要的规则加入循环中即可,还能够减小供应商自身签名文件膨胀的影响。
第一步是设置签名老化时间,这样每个规则都将标注其创建时间以及所有者。第二步是制定一个定期重新评估周期。如果开发人员开发了一个新应用程序,随后这个应用程序被商业产品所取代,IT在接下来的一年必须规定一个时间对规则进行审查以删除旧签名。另一方面,规则的所有者应被给予发言权,为其自身辩护或者取消对签名的删除。
底线是,如果在这个全新的下一代防火墙世界,IT未能保持签名集的干净和整洁,它至少应该要能够阻止膨胀。每个规则在被需要时,都有其独特的用处和必要的功能,但是当不需要时,它只是一个负担。引用英国作家Arthur Quiller-Couch的话说,必须忍痛杀掉一些心肝宝贝(“Kill your darlings ”)。
