防火墻規(guī)則永遠(yuǎn)不會消亡，它們只是存在一些漏洞，但其復(fù)雜度將繼續(xù)提升?，F(xiàn)在，下一代應(yīng)用程序意識的防火墻可能讓事情變得更加復(fù)雜，因?yàn)檫@些防火墻需要維護(hù)數(shù)百甚至成千上萬的應(yīng)用程序簽名。

防火墻規(guī)則膨脹：從何而來？

在大型企業(yè)中，有專門負(fù)責(zé)防火墻的安全工作人員，他們將全部時間都花在編寫和測試防火墻規(guī)則上。他們的職位之所以存在，是因?yàn)樗麄兊钠髽I(yè)擁有龐大而復(fù)雜的防火墻裝置，這些防火墻要與多個隔離區(qū)（DMZ）、數(shù)量不固定的應(yīng)用程序以及幾十個合作伙伴企業(yè)相協(xié)調(diào)。

這些防火墻專家這樣做，可以使企業(yè)阻斷某種流量類型，或者選擇性地允許這種流量在特定外部或內(nèi)部實(shí)體內(nèi)傳輸。他們努力的最終結(jié)果是將形成一個龐大而復(fù)雜的規(guī)則集，這使管理變得更加困難。

糟糕的是隨著規(guī)則集的增加，性能將會受到影響。規(guī)則列表是從上到下進(jìn)行解析的，規(guī)則集越長，處理延遲就更長。并且，它們還將消耗更多的設(shè)備內(nèi)存，損壞性能，提高對設(shè)備的處理和功能要求。同時，這種增加的復(fù)雜性還是經(jīng)濟(jì)和安全兩方面的敵人，因?yàn)檫@意味著需要更多的變通方案，存在更多的錯誤。

讓事情更糟糕的是，應(yīng)用程序簽名膨脹

一些安全主管沒有選擇將這種應(yīng)用程序和用戶意識的下一代防火墻添加到現(xiàn)有防火墻中，這樣他們從可以一切從零開始。他們沒有將防火墻規(guī)則從4層設(shè)備移植到另一個設(shè)備，而是安裝一個4到7層設(shè)備，然后從頭開始。

然而，即使是從零開始，下一代防火墻也不可能避免膨脹問題。因?yàn)檫@一次，應(yīng)用程序簽名造成新的膨脹。每個供應(yīng)商的防火墻都能夠正確識別幾百個應(yīng)用程序。更重要的是，IT企業(yè)會為內(nèi)部、定制化或新應(yīng)用程序添加更多資料信息。在未來幾年，隨著平臺即服務(wù)（PaaS）的普及，軟件即服務(wù)（SaaS）的持續(xù)爆炸，以及企業(yè)移動設(shè)備和移動應(yīng)用程序的快速發(fā)展，所有這三種類型的應(yīng)用程序都會變得越來越重要。

處理防火墻應(yīng)用程序簽名膨脹的步驟

IT不應(yīng)該不刪除過時的舊簽名繼續(xù)不斷增加新簽名，他們需要建立強(qiáng)大的流程來管理這些簽名集。如果供應(yīng)商自身的簽名文件易于模塊化處理，將會對IT很有幫助。這樣的話，IT只需要將實(shí)際需要的規(guī)則加入循環(huán)中即可，還能夠減小供應(yīng)商自身簽名文件膨脹的影響。

第一步是設(shè)置簽名老化時間，這樣每個規(guī)則都將標(biāo)注其創(chuàng)建時間以及所有者。第二步是制定一個定期重新評估周期。如果開發(fā)人員開發(fā)了一個新應(yīng)用程序，隨后這個應(yīng)用程序被商業(yè)產(chǎn)品所取代，IT在接下來的一年必須規(guī)定一個時間對規(guī)則進(jìn)行審查以刪除舊簽名。另一方面，規(guī)則的所有者應(yīng)被給予發(fā)言權(quán)，為其自身辯護(hù)或者取消對簽名的刪除。

底線是，如果在這個全新的下一代防火墻世界，IT未能保持簽名集的干凈和整潔，它至少應(yīng)該要能夠阻止膨脹。每個規(guī)則在被需要時，都有其獨(dú)特的用處和必要的功能，但是當(dāng)不需要時，它只是一個負(fù)擔(dān)。引用英國作家Arthur Quiller-Couch的話說，必須忍痛殺掉一些心肝寶貝（“Kill your darlings ”）。