【IT168技术】三年前,当Jim Lepine成为交易审计公司PRGX Global Inc.的信息安全副总裁时,他发现原来部署在企业中的老Cisco PIX防火墙被塞满了成千上万不必要的规则并且缺乏统一的防火墙变更管理流程。并且,他对PRGX防火墙没有直接的所有权,而由网络服务团队负责。
防火墙管理的复杂性是很平常的。许多网络工程师喜欢手工或亲自进行防火墙管理,但随着时间的推移,这种方法有很多不便。没有自动化和分析功能的防火墙管理软件无法找出数以千计的规则和错误配置,可能会变成一种黑色幽默,网络安全高级管理人员产生挫败感。
“所以当涉及到这些错误时,我首先问的是‘我们如何管理这些设备的变更?’管理人员空洞的目光基本就告诉了我想知道的一切,”Lepine说。
为了让防火墙基础架构整合到所有的安全操作上,以及帮助组织完成从Cisco防火墙到Juniper Network SRX网关的困难迁移,Lepine需要保证防火墙管理软件可以让安全团队和网络团队都能使用。他还从AlgoSec那购买了防火墙管理软件,一种专门的防火墙变更与配置管理技术,AlgoSec也有很强的防火墙分析能力,能分析出影响网络安全和网络性能的是哪些防火墙规则和配置。
防火墙管理软件揭露出潜在的防火墙规则
AlgoSec产品能让Lepine与网络工程师们快速了解PIX防火墙,他们还发现手动的防火墙管理太过于复杂。在一台PIX 535中,Lepine说他们就发现了3000条防火墙规则。
Lepine说:“这是非常可怕的,而且其中的2000条都还是掩盖着的。这种PIX防火墙可能有10年之久了,并且这些设置的规则已经彻底失去控制了。没有人能处理,Cisco的人习惯用命令行模式做事。”
通过使用命令行,工程师们掩盖了数以千计的规则, Lepine说。每一次公司业务需要网络团队打开防火墙的一个端口时,工程师们就得在命令行接口筛选成百上千的规则。随着时间的推移,当工程师们在处理一个更改请求时,就没有时间去检查庞大的规则了。
“几年后,网络团队就会不考虑已存在的规则集说:‘好的,我会定义这个对象,打开这个端口以及通信路径,’。先前那些规则到结束都未被使用过,因为另外一个规则在事情发生前已被触发了,”他说。
AlgoSec软件能分析这个设备上的3000条规则,然后确定其中的2000条是多余的。Lepine在企业其他PIX设备上也运行了相同的防火墙审计规则。
他说:“因此,我们可以用AlgoSec软件做个快速评估分析,然后它会报告哪些规则从未使用过,只是防火墙上无用的毁坏的资源。”