NSS实验室最近的一份报告表明,下一代防火墙(NGFW)的管理功能一般都比较差。那么当企业在评估供应商时,对于NGFW管理功能,他们应该怎样评估?
Brad Casey:管理任何设备,我们关注的重点都应该是把握管理员的容易访问程度与其他用户的难以访问程度之间的平衡。当企业在研究NGFW的管理功能时,最重要的是,企业首先需要确定管理员是否被允许从网络边界外部访问管理界面。对于这个问题,没有正确或错误的答案:这取决于每个企业是否愿意接受远程防火墙管理带来的相关风险。
如果你的企业决定允许管理员从外部访问管理界面,你必须做出以下三个额外的管理决定:
下一代防火墙是否有内置的Web服务器用于管理目的?如果有的话,对web服务器的访问是否加密?很多管理员喜欢图形用户界面的便捷性,企业可以选择这种方式,但前提是对GUI的连接必须是通过SSL进行。
管理员必须要访问web服务器吗?企业最好让管理员通过命令行来访问界面。这样的话,你就不需要担心web服务器配置中的安全漏洞问题;只需要建立一个shell即可。
管理界面的现成的配置足够好吗?还是需要额外的配置?很多时候,系统管理员忽视了这个问题,而这往往会导致安全泄漏事故。例如,安全人员必须确定在默认情况下开启加密,还是需要勾选一些框格来激活加密。你会惊讶地发现,默认配置经常被忽视,而这种问题往往会导致灾难性的后果,这原本是很容易可以避免的,前提是你需要在默认配置上多花点时间。
然而,对于NGFW应用管理,笔者建议企业中有人能够研究每个供应商编写的不同应用的签名的可靠性。这可能需要高水平的技术,因此没有那么容易。在企业有应用签名分析师的情况下,笔者建议将不同类型的流量扔到防火墙,并使用数据包捕捉工具(例如Wireshark)来确定防火墙能够阻止应该阻止的东西。