任何企業(yè)都需要強(qiáng)健的網(wǎng)絡(luò)安全��,但I(xiàn)T安全團(tuán)隊(duì)和資源���、安全預(yù)算在許多企業(yè)總顯得捉襟見(jiàn)肘�����。但這并不意味著安全團(tuán)隊(duì)要在關(guān)鍵的IT安全方面縮減投資,而是應(yīng)與網(wǎng)絡(luò)防火墻團(tuán)隊(duì)協(xié)作���。資源優(yōu)化涉及操作過(guò)程��、管理工作流的自動(dòng)化和簡(jiǎn)化�,只有這樣才能解放IT團(tuán)隊(duì)的成員��,使其將時(shí)間���、技能�����、專業(yè)技術(shù)集中在優(yōu)先處理的項(xiàng)目上���。而且,優(yōu)化資源還可以維持預(yù)算,同時(shí)又能夠減少預(yù)算沖突和削減管理成本����。
下一代防火墻可以在網(wǎng)絡(luò)安全資源的優(yōu)化方面起著關(guān)鍵作用。哪種防火墻較值得青睞?企業(yè)應(yīng)當(dāng)選擇具有哪些特性的下一代防火墻來(lái)武裝IT安全團(tuán)隊(duì)����,由此開始資源優(yōu)化過(guò)程?
即插即用式安裝
即插即用式配置可以使企業(yè)將設(shè)備的初始配置自動(dòng)上傳到一臺(tái)管理服務(wù)器。遠(yuǎn)程位置可以通過(guò)傳輸層安全(TLS)協(xié)議連接到這臺(tái)管理服務(wù)器�����。即插即用可以快捷地為不同地理位置的大型網(wǎng)絡(luò)實(shí)現(xiàn)快速部署和安裝��,同時(shí)又可以減少到設(shè)備進(jìn)行現(xiàn)場(chǎng)訪問(wèn)和人工配置的麻煩���。自動(dòng)化還可以減少出錯(cuò)風(fēng)險(xiǎn)��。
高效且集中化的故障診斷工具
如果企業(yè)的防火墻具有高效且集中化的故障診斷工具�����,故障診斷就未必占用安全團(tuán)隊(duì)的大量時(shí)間�。這種工具應(yīng)當(dāng)集成到防火墻中�����,而不應(yīng)當(dāng)在以后進(jìn)行修補(bǔ)。這種工具還應(yīng)當(dāng)擁有企業(yè)從一個(gè)獨(dú)立的中央位置就可以控制的多種功能�����。理想的工具包括大量的遠(yuǎn)程診斷功能和其它的診斷功能��,以及集成化的通信捕捉工具、網(wǎng)絡(luò)取證分析、會(huì)話監(jiān)視和配置快照等��。
借助適當(dāng)?shù)墓ぞ?�,工程師和管理員就能夠快速發(fā)現(xiàn)問(wèn)題的根源����,極大地減少修補(bǔ)時(shí)間,快速而準(zhǔn)確地應(yīng)對(duì)配置和錯(cuò)誤配置問(wèn)題����,并且保證網(wǎng)絡(luò)的高可用性。將高級(jí)的多功能工具集成到防火墻中還可以減少投資購(gòu)買獨(dú)立工具或軟件的需要����。
快捷可靠的遠(yuǎn)程更新
更新是高效的防火墻可以提供的更為輕松且高效的另一種功能��??旖菘煽康倪h(yuǎn)程更新特性可以使技術(shù)人員在整個(gè)網(wǎng)絡(luò)上實(shí)施安全可控的軟件更新����,并且占用較少的通信量。在一個(gè)中央位置管理這種任務(wù)可以降低操作成本����,使設(shè)置時(shí)間僅占用幾十分鐘而不是幾個(gè)小時(shí)或幾天?�?旖菘煽扛逻€可以降低操作風(fēng)險(xiǎn)����,在更新新版本失效后,企業(yè)可利用其中的 “反轉(zhuǎn)”功能恢復(fù)到以前的版本���。此外�,企業(yè)能夠通過(guò)快捷可靠更新確定在非正常業(yè)務(wù)期間(或?qū)W(wǎng)絡(luò)影響較小的其它任何時(shí)間)進(jìn)行操作的時(shí)間�,從而實(shí)現(xiàn)接近100%的正常運(yùn)行時(shí)間和可用性。
任務(wù)自動(dòng)化
任務(wù)自動(dòng)化并不僅僅為網(wǎng)絡(luò)防火墻的升級(jí)帶來(lái)很大好處���。網(wǎng)絡(luò)防火墻還應(yīng)當(dāng)允許管理員自動(dòng)化任何重復(fù)性的占用大量資源和時(shí)間的任務(wù)��,并可確定其時(shí)間�。這種特性不但對(duì)于那些有可能影響到服務(wù)的任務(wù)來(lái)說(shuō)很有益,而且對(duì)于日常報(bào)告等活動(dòng)來(lái)說(shuō)����,也很有好處。在任務(wù)實(shí)現(xiàn)自動(dòng)化并確定好其時(shí)間后���,就不再需要什么人工勞動(dòng)了��,而管理員就可以在網(wǎng)絡(luò)負(fù)載與非關(guān)鍵操作之間實(shí)現(xiàn)平衡����,從而確保高可用性�����。
要素共享和再利用
要素共享和再利用可以減少工作量和出錯(cuò)的風(fēng)險(xiǎn)��。通過(guò)高質(zhì)量的下一代防火墻����,管理員不必每次在需要變更時(shí)為個(gè)別組件或客戶設(shè)置配置信息��,而是可以重用相同的要素來(lái)管理多個(gè)客戶分組的服務(wù)變化。
這個(gè)特性可以使管理員不必在多個(gè)獨(dú)立的系統(tǒng)之間導(dǎo)出或?qū)肱渲?�,而是可以使用已?jīng)保存的模板�����。分級(jí)模板可以使操作更快捷和高效��,并會(huì)立即影響所有相關(guān)服務(wù)��。大型的可管理安全服務(wù)供應(yīng)商獲益較多���,雖然任何規(guī)模的企業(yè)都可以從中節(jié)省時(shí)間和減少工作負(fù)擔(dān)�。有些網(wǎng)絡(luò)防火墻可以使每個(gè)管理服務(wù)器支持多達(dá)200個(gè)虛擬域����,這就可以從邏輯上安全地分離客戶。
策略驗(yàn)證和分析工具
很多下一代防火墻配備了龐大的防火墻規(guī)則集���,這會(huì)使故障診斷任務(wù)復(fù)雜化���,并會(huì)帶來(lái)犧牲性能的不必要負(fù)擔(dān)。這些規(guī)則往往是重復(fù)的��,有時(shí)甚至在轉(zhuǎn)換中丟失目標(biāo)地址。用策略驗(yàn)證和分析工具可以輕松地檢查和清除不用的或重復(fù)的規(guī)則���,而不必犧牲安全性�。清除冗余的規(guī)則可以提高系統(tǒng)性能���,增加安全性��,簡(jiǎn)化網(wǎng)絡(luò)故障診斷的過(guò)程��,并可以從數(shù)據(jù)庫(kù)中清除不必要的數(shù)據(jù)��。
基于角色的管理訪問(wèn)控制
并非所有管理員都應(yīng)當(dāng)享有訪問(wèn)安全組件的同樣訪問(wèn)權(quán)��?��;诮巧脑L問(wèn)控制可以允許用戶根據(jù)每個(gè)管理員的職責(zé)定義多種管理訪問(wèn)的權(quán)利�。企業(yè)應(yīng)當(dāng)能夠?yàn)槊總€(gè)管理員定義一個(gè)或多個(gè)角色,并限制每個(gè)角色適用的組件�。防火墻的細(xì)節(jié)控制選項(xiàng)應(yīng)當(dāng)包括對(duì)每個(gè)要素和要素類型所涉及的管理員特權(quán)進(jìn)行嚴(yán)格的、高度精細(xì)的控制�����,并可以控制讀寫操作的等級(jí)。
較好的安全方案可以使企業(yè)輕松地控制和變更特權(quán)��,并且可以使企業(yè)為不同的管理員創(chuàng)建定制的規(guī)則�。這種特性對(duì)于擁有很多管理員的大型網(wǎng)絡(luò)來(lái)說(shuō)非常有益。如果安全方案能夠?qū)⒛承┮睾徒M件的訪問(wèn)權(quán)只給那些真正需要的管理人員��,就不但可以提升防火墻的安全性�����,還可以提高網(wǎng)絡(luò)的安全水平�����。
