下一代防火墻：五、部署下一代防火墻

　　很多情況下，解決方案的實(shí)施沒有考慮企業(yè)整體的安全戰(zhàn)略。為了避免這種錯誤，很重要的是確保你的策略是最新的，你考慮的解決方案支持全面的安全策略。

　　在考慮各種解決方案時，另一個要點(diǎn)是對企業(yè)的要求有清楚的認(rèn)識。根據(jù)加特納公司(Gartner)的報告，在企業(yè)防火墻市場，產(chǎn)品之間只有較少的不同點(diǎn)，因此企業(yè)必須根據(jù)他們的特定需求選擇最終的產(chǎn)品。

　　本部分介紹的幾種不同類型的控制，必須考慮到企業(yè)的安全策略，提供你需要確定技術(shù)要求的特定案例，然后用你定義的要求與供應(yīng)商制定一個提案請求(RFP)。最后重要的是，要很好地劃分網(wǎng)絡(luò)和敏感數(shù)據(jù)，以及滿足移動用戶的要求。

　　啟用安全的智能策略

　　啟用的首要任務(wù)是對用戶灌輸有關(guān)應(yīng)用、行為和風(fēng)險的知識。在企業(yè)2.0應(yīng)用的情況下，雖然仍有選擇最佳應(yīng)用的機(jī)會，用戶很早就因收益而做了決定。 IT的角色是顧問和導(dǎo)師，告訴用戶有關(guān)的風(fēng)險和行為-- 并告訴他們哪些應(yīng)用是滿足需要的最好解決方案。啟用也要提高應(yīng)用相關(guān)的風(fēng)險意識。為此，IT員工需要使他們自己成為真正的超級用戶。企業(yè)2.0的超級用戶應(yīng)是這樣的人，“生活”在應(yīng)用中，并依賴應(yīng)用解決大多數(shù)的任務(wù)。對于IT相關(guān)者，需要全心全意、沒有偏見地采用企業(yè)2.0。一旦做到了這一點(diǎn)，IT就成功地教育了用戶使用企業(yè)2.0應(yīng)用的所有風(fēng)險。

　　管理是有效的，IT應(yīng)成為智能策略定義的主要角色。還有一點(diǎn)非常關(guān)鍵：IT不是這些策略的唯一所有者，因?yàn)椴呗缘挠行院歪槍π耘c傳統(tǒng)IT的思考量成反比。這可能聽起來極有爭議，但企業(yè)2.0應(yīng)用有一種成為“禁果”傾向。雖然多數(shù)企業(yè)2.0的采用從下而上開始，沒有執(zhí)行層的贊同和支持就不會走得太遠(yuǎn)。這意味著，雖然IT可能會嘗試停止企業(yè)2.0應(yīng)用，一旦他們成功，IT就不再依靠管理層的支持。

　　很多時候，管理討論會出示錯誤案例，用戶在使用企業(yè)2.0應(yīng)用同時使用其他應(yīng)用，如社交媒體。這對IT是個簡單的論據(jù)，但它是最終敗訴一方。對IT這不是個明智想法，因?yàn)闆]有這種法律法規(guī)的存在，需要管理企業(yè)2.0的應(yīng)用，所以不會造成合規(guī)的問題。實(shí)際上，在工作中使用正確的工具是明智的。例如，在一個嚴(yán)格監(jiān)管的環(huán)境中，如股票交易，使用即時通訊可能更符合保留和審計的規(guī)則。 IT的角色是告訴商人每種工具的影響，參與使用策略的制定，然后監(jiān)視它的使用。在這個例子中，這一策略可以阻止商人利用臉譜(Facebook)聊天用作即時通訊，而啟用MSN代替。

　　如果基于一組智能策略管理企業(yè)，這些策略應(yīng)該由四個主要利益相關(guān)方在企業(yè)2.0的環(huán)境下制定： IT、人力資源、行政管理和用戶。顯然，IT部門可以發(fā)揮作用，但不能成為嚴(yán)格定義的角色，應(yīng)作為應(yīng)用和技術(shù)的使能者和管理者。

　　如果實(shí)施和執(zhí)行應(yīng)用控制，他們應(yīng)該是整個企業(yè)安全策略的一部分。作為實(shí)施應(yīng)用控制策略過程的一部分，IT應(yīng)做出一貫努力了解企業(yè)2.0應(yīng)用。這包括為所有預(yù)期的目的接受他們，如果需要，應(yīng)積極地安裝他們，讓他們在實(shí)驗(yàn)室環(huán)境中運(yùn)行，看看他們?nèi)绾伪憩F(xiàn)。同行們的一起討論、關(guān)注企業(yè)2.0網(wǎng)站、留言板、博客和開發(fā)者社區(qū)都是有價值的信息來源。

　　員工控制

　　多數(shù)公司有一些應(yīng)用的使用策略，說明哪些應(yīng)用是許可的，哪些應(yīng)用是禁止的。每位員工應(yīng)了解這一策略的內(nèi)容，承擔(dān)不遵守策略的責(zé)任，但還有一些懸而未決的問題，包括：

　　?鑒于有越來越多的“壞”的應(yīng)用，如何讓員工知道允許哪些應(yīng)用，禁止哪些應(yīng)用?

　　?如何更新未經(jīng)批準(zhǔn)的應(yīng)用列表，誰來保證員工知道列表的變化?

　　?什么行為違反了策略?

　　?違反策略的后果是什么–開除還是譴責(zé)?

　　策略指南的制定往往具有挑戰(zhàn)性，因?yàn)轱L(fēng)險和回報之間的緊張程度已到了必須決定允許什么應(yīng)用和禁止什么應(yīng)用。這個問題的核心是，參與策略制定的通常有兩個部門-- IT安全部門和人力資源部門--在采用新技術(shù)的過程中很多人都被邊緣化。當(dāng)實(shí)施新技術(shù)和應(yīng)用后，為安全使用建立一個策略并不容易。

　　記錄員工策略是應(yīng)用控制的關(guān)鍵，而員工控制作為一種獨(dú)立機(jī)制，在安全啟用的企業(yè)2.0應(yīng)用中基本無效。

　　桌面控制

　　桌面控制表現(xiàn)對IT部門的明顯挑戰(zhàn)。應(yīng)仔細(xì)考慮桌面控制的粒度和對員工工作效率的影響。為了在企業(yè)中安全啟用企業(yè)2.0應(yīng)用，由于有了員工策略，桌面控制就是一個關(guān)鍵部分。如果單獨(dú)使用無效，可能有以下幾個原因。

　　對桌面鎖定的激烈行為，使用戶不能安裝自己的應(yīng)用，這是一個容易說做到難的任務(wù)。

　　?筆記本電腦遠(yuǎn)程連接、因特網(wǎng)下載、插拔USB驅(qū)動器和其他，所有手段安裝的應(yīng)用有可能被批準(zhǔn)也有可能沒被批準(zhǔn)。

　　?完全除去用戶的管理權(quán)限已被證明難以實(shí)施，在某些情況下，限制了最終用戶的功能。

　　?USB驅(qū)動器能夠運(yùn)行應(yīng)用，因此，在網(wǎng)絡(luò)允許的情況下，可以訪問企業(yè)2.0的應(yīng)用。

　　桌面控制可以補(bǔ)充記錄員工策略，作為手段安全啟用企業(yè)2.0應(yīng)用。

　　網(wǎng)絡(luò)控制

　　在網(wǎng)絡(luò)層，需要一種手段識別企業(yè)2.0應(yīng)用，來阻止或控制它們。通過實(shí)施網(wǎng)絡(luò)層控制，IT能最小化使用企業(yè)2.0應(yīng)用所帶來的威脅和中斷。在網(wǎng)絡(luò)層，可以使用幾種控制機(jī)制，每種都有一定的局限，因而降低了他們的有效性。

　　?狀態(tài)防火墻可以作為防御的第一道防線，提供流量的粗過濾，并把網(wǎng)絡(luò)分割成不同的密碼保護(hù)區(qū)。狀態(tài)防火墻的一個缺點(diǎn)是：他們使用協(xié)議和端口來識別并控制網(wǎng)絡(luò)的進(jìn)出流量。這種以端口為中心的設(shè)計是相對無效的，因?yàn)槠髽I(yè)2.0應(yīng)用能夠從一個端口跳到另一個端口，直到找到一個與網(wǎng)絡(luò)的連接。

　　?侵入防御系統(tǒng)(IPS)通過查看流量子集并阻止已知威脅或壞應(yīng)用，所以把IPS加入防火墻能提高網(wǎng)絡(luò)的威脅預(yù)防能力。但I(xiàn)PS產(chǎn)品缺乏應(yīng)用廣度的了解，也沒有監(jiān)視所有端口所有流量的性能，所以不能算一個完整的解決方案。

　　?為了避免降低性能，IPS技術(shù)通常僅監(jiān)視流量的一部分。因此，無法覆蓋當(dāng)今企業(yè)所需應(yīng)用的廣泛性。最后，管理防火墻和IPS組合通常是一個繁重的任務(wù)，需要在不同策略表中指向不同的管理接口。簡單地說，目前捆綁的解決方案不具備準(zhǔn)確、策略或性能，解決今天應(yīng)用的可視和控制要求。

　　?代理方案是流量控制的另一種手段，但也一樣，他們只能監(jiān)視有限的應(yīng)用或協(xié)議，這只能監(jiān)視一部分流量。因此，企業(yè)2.0應(yīng)用只能看到代理封鎖的端口，并跳到下一個開放的端口。通過設(shè)計，代理需要模仿他們試圖控制的應(yīng)用，使他們更新到現(xiàn)有的應(yīng)用，以及為新應(yīng)用開發(fā)代理。困擾代理方案的最后一個問題是代理如何終止應(yīng)用提高吞吐性能，然后在把它轉(zhuǎn)發(fā)到目的地。

　　這些網(wǎng)絡(luò)控制的挑戰(zhàn)是，他們沒有識別企業(yè)2.0應(yīng)用的能力;他們僅監(jiān)視流量的一部分，并受性能問題的影響。

　　定義需求和制定RFP

　　創(chuàng)建或更新企業(yè)的安全策略后，這時可以定義企業(yè)對下一代防火墻方案的要求了。在高層，這包括對供應(yīng)商的調(diào)查，考慮選擇哪家。應(yīng)該對潛在的供應(yīng)商提以下問題，如：

　　?公司的愿景是什么，以及如何實(shí)現(xiàn)這一愿景?

　　?公司如何創(chuàng)新?

　　?什么是企業(yè)的文化?

　　?它的發(fā)展過程是什么?它的質(zhì)量保證過程是什么?

　　?公司規(guī)模和財務(wù)狀況怎么樣?

　　?公司潛在的收購目標(biāo)是什么?如果有的話，是為了快速獲得它的創(chuàng)新和專有技術(shù)，還是為了消滅競爭對手?

　　?有多大的客戶群?

　　?是否有其他客戶(甚至是競爭對手)，與你的企業(yè)在類似的行業(yè)?

　　?是否有引用的記事或客戶成功案例可供分享?

　　接下來，定義企業(yè)的技術(shù)要求。幸運(yùn)的是，你不需要在這里重新發(fā)明內(nèi)容?？纯雌髽I(yè)的安全策略(見前面的部分)，看看實(shí)施和支持這些策略需要什么能力。

　　此外，還有大量的防火墻例子與無處不在的網(wǎng)絡(luò)安全要求。事實(shí)上，多數(shù)與數(shù)據(jù)保護(hù)有關(guān)的合規(guī)要求是基于信息安全的最佳實(shí)踐。即使企業(yè)不受這些法規(guī)影響，把他們用作指南并不是壞事。例如，支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)(PCI DSS)，適用于處理信用卡或借記卡的每個組織，定義幾條防火墻的要求，所有一切都很容易修改，并正式納入企業(yè)的RFP。

　　找到特定的特性要求，企業(yè)的RFP還應(yīng)滿足以下要求，包括應(yīng)用識別、應(yīng)用策略控制、威脅防范、管理、網(wǎng)絡(luò)和硬件。

　　?應(yīng)用識別。描述網(wǎng)關(guān)如何能準(zhǔn)確識別應(yīng)用和使用的分類應(yīng)用機(jī)制。

　　?識別是否基于IPS或DPI技術(shù)?如果是這樣，在掃描網(wǎng)絡(luò)流量時，如何解決準(zhǔn)確性、完整性和性能問題?

　　?流量分類的機(jī)制是什么，與其他廠商的產(chǎn)品有什么不同?

　　?如何處理未知的應(yīng)用?

　　?是否支持定制的應(yīng)用特征?

　　?如何對安全套接字層(SSL)加密的流量進(jìn)行識別、檢查和控制?

　　?在SSL如何劃分正式員工(如銀行、購物、醫(yī)療)與非正式員工的流量?

　　?能識別多少種應(yīng)用(提供列表)?更新應(yīng)用數(shù)據(jù)庫(例如，軟件升級或動態(tài)更新)的過程有哪些?

　　?如果需要新應(yīng)用，把它加到設(shè)備的過程是什么?

　　?為識別和分析和/或定義定制應(yīng)用，最終用戶是否要提交應(yīng)用?

　　?產(chǎn)品是否支持URL過濾?描述該URL過濾數(shù)據(jù)庫。該數(shù)據(jù)庫位于該設(shè)備還是其它設(shè)備?

　　?描述/列出其他能用于應(yīng)用信息收集的安全功能，包括獲取細(xì)節(jié)和用戶可視特性。

　　?應(yīng)用策略控制。描述實(shí)現(xiàn)基于策略應(yīng)用控制的過程，所有應(yīng)用策略控制的參數(shù)(如用戶、IP地址、日期/時間)，以及如何使用他們。

　　?對所有應(yīng)用識別都能實(shí)現(xiàn)策略控制?

　　?對特定用戶或組都能實(shí)現(xiàn)策略控制?

　　?如何支持遠(yuǎn)程訪問環(huán)境(例如，Citrix和終端服務(wù))?

　　?能對應(yīng)用數(shù)據(jù)庫中的所有應(yīng)用實(shí)現(xiàn)基于端口的控制嗎?

　　?該解決方案能執(zhí)行傳統(tǒng)防火墻的訪問控制嗎?

　　?能從單一管理接口實(shí)現(xiàn)策略控制嗎?

　　?當(dāng)用戶嘗試訪問違反策略的URL或應(yīng)用時，是否警告了他們?

　　?威脅預(yù)防。描述入侵防御特性和殺毒引擎。

　　?列出可以阻止的威脅類型。列出可以阻止的文件類型。

　　?是否支持?jǐn)?shù)據(jù)過濾?

　　?威脅防護(hù)引擎能掃描SSL內(nèi)加密的流量嗎?能掃描壓縮的流量嗎?

　　?管理。描述管理能力和可視工具，使網(wǎng)絡(luò)上的流量清晰可見。

　　?設(shè)備管理是否需要單獨(dú)的服務(wù)器或設(shè)備?

　　?應(yīng)用策略控制、防火墻策略控制和威脅防御特性都用同一個策略編輯器啟用嗎?

　　?什么工具能提供網(wǎng)絡(luò)上的應(yīng)用、威脅和URL摘要顯示?

　　?描述日志可視工具。

　　?報告工具是否能理解網(wǎng)絡(luò)如何使用并標(biāo)出網(wǎng)絡(luò)使用的變化?

　　?描述解決方案的記錄和報告功能。

　　?當(dāng)設(shè)備處在大流量負(fù)載時，描述如何確保管理訪問。

　　?是否有集中的管理工具?

　　?網(wǎng)絡(luò)。描述網(wǎng)絡(luò)集成和實(shí)施能力。

　　?描述第2層或第3層的功能。

　　?是否支持VLAN 的802.1q?VLAN的容量有多大?

　　?是否支持動態(tài)路由(例如OSPF、BGP和RIP)?

　　?描述QoS或流量整形特性。

　　?是否支持IPv6?

　　?是否支持IPSec的VPN?是否支持SSL的VPN?

　　?有什么部署選項(例如，線內(nèi)、接頭、無源)?

　　?描述高可用性(HA)功能。

　　?硬件。解決方案基于軟件、OEM服務(wù)器或?qū)Ｓ迷O(shè)備?描述架構(gòu)。

　　部署事項

　　重要的是要按最大的性能和效率設(shè)計企業(yè)網(wǎng)絡(luò)。在網(wǎng)絡(luò)的最優(yōu)位置正確部署NGFW也同樣重要。網(wǎng)絡(luò)分段是合理設(shè)計網(wǎng)絡(luò)和部署防火墻的一個重要概念。雖然有很多不同的方法來分段網(wǎng)絡(luò)，下一代防火墻具有獨(dú)特的硬件和軟件分段能力結(jié)合，使企業(yè)能夠隔離網(wǎng)絡(luò)的關(guān)鍵部分，如數(shù)據(jù)中心。

　　安全區(qū)的概念，目的是為了隔離敏感數(shù)據(jù)或關(guān)鍵網(wǎng)絡(luò)基礎(chǔ)設(shè)施(再如，數(shù)據(jù)中心)，大致相當(dāng)于網(wǎng)絡(luò)分段(見圖5-1)。安全區(qū)是物理接口、虛擬局域網(wǎng)(VLAN)、IP地址范圍或它們組合的邏輯容器。加到每個安全區(qū)的接口可以在第2層、第3層或混合模式中配置，因而能在廣泛的網(wǎng)絡(luò)環(huán)境中部署，而不需要更改網(wǎng)絡(luò)拓?fù)洹?/FONT>