第一款商業(yè)防火墻 DEC SEAL，于1992年發(fā)售。25年之后，防火墻依然是企業(yè)安全基礎(chǔ)設(shè)施中的核心構(gòu)件塊。誠然，防火墻自面世起經(jīng)過了很多發(fā)展變化，每個進(jìn)化階段都加入了更復(fù)雜的安全功能。

我們從僅需要用戶編寫出站策略的流量狀態(tài)防火墻，發(fā)展到支持更細(xì)粒度過濾和深度包檢測的下一代防火墻(NGFW)，不僅網(wǎng)絡(luò)協(xié)議和端口，特定應(yīng)用流量也能識別。虛擬數(shù)據(jù)中心的采用，引領(lǐng)了虛擬防火墻的發(fā)展，增添了更多需要管理的設(shè)備。

而如今，隨著向私有和公共云的遷移，出現(xiàn)了更多可供選擇的安全控制：商業(yè)云防火墻、云提供商自有的控制，以及基于主機(jī)的防火墻。

翻譯問題

目前的現(xiàn)實(shí)是，公司企業(yè)的環(huán)境通常都是混合的：數(shù)代防火墻、技術(shù)和廠商大雜燴。管理如此混雜的環(huán)境是一大挑戰(zhàn)，因?yàn)槊恳淮阑饓Α⒚總€廠商的產(chǎn)品，用的是不同的語法和語義來創(chuàng)建安全策略。

就拿同時采用傳統(tǒng)防火墻和NGFW的企業(yè)網(wǎng)絡(luò)來說。該企業(yè)可能有一套全公司范圍內(nèi)應(yīng)用的社交媒體站點(diǎn)封鎖規(guī)則，但其市場部又需要能夠訪問Facebook。Facebook流量流經(jīng)兩種類型的防火墻——意味著新安全策略需要針對兩種防火墻都來一份。

對NGFW而言，添加這條新規(guī)則直觀又簡單。Facebook可在防火墻規(guī)則集中被設(shè)置為預(yù)定義的‘允許’應(yīng)用，而對其他社交媒體站點(diǎn)的訪問和來自其他部門的訪問請求，則被禁止。然而，傳統(tǒng)防火墻理解不了“Facebook”這個詞：它只能理解Facebook使用的默認(rèn)“源地址”、“目的地址”、“服務(wù)”和“動作”協(xié)議——http和https。

于是，實(shí)際上，在NGFW和傳統(tǒng)防火墻上做安全策略修改，涉及的是完全不同的過程和語言。配置設(shè)備的工程師必須既要清楚了解應(yīng)用間的映射(因?yàn)橐贜GFW中定義)，還要熟知它們各自的服務(wù)、協(xié)議和端口(因?yàn)橐趥鹘y(tǒng)防火墻中定義)，這樣規(guī)則和策略才能在兩種環(huán)境中都得到正確的設(shè)置。

編寫這些策略或作出網(wǎng)絡(luò)變動時，各產(chǎn)品間出現(xiàn)的任何錯誤或“翻譯差錯”，都有可能導(dǎo)致非預(yù)期的應(yīng)用掉線或引入安全漏洞——要么源于重要流量被無心封堵，要么是其他流量被無意間允許了。典型企業(yè)網(wǎng)絡(luò)環(huán)境中都有數(shù)十乃至上百個防火墻，如此倍增下來，無異于通往超級大混亂的絕佳秘方。

云端并發(fā)癥

當(dāng)這些過程擴(kuò)展到云部署，取決于所用的云安全控制，IT團(tuán)隊(duì)還會遭遇到額外的難題。某家云提供商可能會對特定服務(wù)器提供多個安全分組，而其他提供商可能只允許單一安全組——但又可能允許與VLAN中所有服務(wù)器相關(guān)聯(lián)的安全組。從較高層次看，你可以為基礎(chǔ)流量過濾指定一個最小公約數(shù)，但一旦想要開始做點(diǎn)更復(fù)雜的事——企業(yè)網(wǎng)絡(luò)所需的細(xì)粒度過濾，有些提供商可能就沒有能力提供這些功能了。

而且，每家提供商的語義模型都不同，你能用其產(chǎn)品過濾的東西，你的控制規(guī)則能應(yīng)用的地方，也各不相同;與公司已經(jīng)部署的內(nèi)部防火墻也有差異。

這各不相同的語言意味著，在異構(gòu)網(wǎng)絡(luò)環(huán)境中跨多個不同類型防火墻部署安全策略，是一件極端復(fù)雜的事——意味著甚至做最簡單的改變(比如為公司某部門啟用Facebook或YouTube訪問)，都充滿了風(fēng)險。

打破語言障礙

那么，怎樣才能除去安全策略修改中的風(fēng)險，減少IT團(tuán)隊(duì)必須在多種防火墻語言中轉(zhuǎn)換的麻煩呢?無論企業(yè)內(nèi)部還是云端，各種安全控制用以構(gòu)建各自規(guī)則和策略的不同語法及詞匯間，能有辦法相互翻譯即可。這樣IT團(tuán)隊(duì)就可以讓安全資產(chǎn)理解各自業(yè)務(wù)的語言了。

為跨越語言障礙，以統(tǒng)一的控制臺和單一的命令集，有效優(yōu)化及管理安全，你需要具備以下4個關(guān)鍵功能的自動化管理解決方案：

1. 可見性與控制

你要能虛擬化整個網(wǎng)絡(luò)上的全部防火墻、網(wǎng)關(guān)和安全控制，以單一面板盡在掌握。

2. 管理正常修改

你要能將這些安全產(chǎn)品的全面配置與管理作為日常運(yùn)營的一部分。所以你選擇的解決方案必須要能翻譯所用各個安全控制的不同語法和邏輯，要能協(xié)調(diào)一致地自動實(shí)現(xiàn)安全策略修改。該解決方案還應(yīng)記錄下所有修改動作。

3. 管理較大改動

重大網(wǎng)絡(luò)架構(gòu)改動也對安全策略管理提出了較高要求。將數(shù)據(jù)中心或應(yīng)用遷移到云端，或者團(tuán)隊(duì)選擇了另一家供應(yīng)商時，你得能在異構(gòu)環(huán)境中自動調(diào)整你的安全策略。

4. 表現(xiàn)出合規(guī)

網(wǎng)絡(luò)安全是你必須向?qū)徲?jì)和監(jiān)管機(jī)構(gòu)展現(xiàn)出合規(guī)的重要領(lǐng)域。一套能自動跟蹤所有過程和改動，主動評估風(fēng)險，提供即時可用審計(jì)報(bào)告的解決方案，有助于提升審計(jì)準(zhǔn)備度，維持持續(xù)的合規(guī)狀態(tài)。

通用語

一套正確的解決方案，可使企業(yè)確保自身全部防火墻資產(chǎn)理解并響應(yīng)常見的安全要求，無論這些防火墻被部署在哪里。安全策略也能連續(xù)一致地應(yīng)用，無需耗時費(fèi)力還易出錯的人工過程，并能保證網(wǎng)絡(luò)流量能在企業(yè)內(nèi)部網(wǎng)絡(luò)和私營或公共云環(huán)境中安全流通。

畢竟，企業(yè)的安全和合規(guī)，是你絕對不能在翻譯中迷失掉的兩件事。

【本文是51CTO專欄作者“”李少鵬“”的原創(chuàng)文章，轉(zhuǎn)載請通過安全牛（微信公眾號id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文