首页 > 信息安全 > 正文

企业如何评估下一代防火墙的管理功能?

2013-10-29 13:32:11  来源:TechTarget中国

摘要:NSS实验室最近的一份报告表明,下一代防火墙(NGFW)的管理功能一般都比较差。那么当企业在评估供应商时,对于NGFW管理功能,他们应该怎样评估?
关键词: 下一代防火墙 NGF

    NSS实验室最近的一份报告表明,下一代防火墙NGFW)的管理功能一般都比较差。那么当企业在评估供应商时,对于NGFW管理功能,他们应该怎样评估?


    Brad Casey:管理任何设备,我们关注的重点都应该是把握管理员的容易访问程度与其他用户的难以访问程度之间的平衡。当企业在研究NGFW的管理功能时,最重要的是,企业首先需要确定管理员是否被允许从网络边界外部访问管理界面。对于这个问题,没有正确或错误的答案:这取决于每个企业是否愿意接受远程防火墙管理带来的相关风险。


    如果你的企业决定允许管理员从外部访问管理界面,你必须做出以下三个额外的管理决定:


    1.下一代防火墙是否有内置的Web服务器用于管理目的?如果有的话,对web服务器的访问是否加密?很多管理员喜欢图形用户界面的便捷性,企业可以选择这种方式,但前提是对GUI的连接必须是通过SSL进行。


    2.管理员必须要访问web服务器吗?企业最好让管理员通过命令行来访问界面。这样的话,你就不需要担心web服务器配置中的安全漏洞问题;只需要建立一个shell即可。


    3.管理界面的现成的配置足够好吗?还是需要额外的配置?很多时候,系统管理员忽视了这个问题,而这往往会导致安全泄漏事故。例如,安全人员必须确定在默认情况下开启加密,还是需要勾选一些框格来激活加密。你会惊讶地发现,默认配置经常被忽视,而这种问题往往会导致灾难性的后果,这原本是很容易可以避免的,前提是你需要在默认配置上多花点时间。


    然而,对于NGFW应用管理,笔者建议企业中有人能够研究每个供应商编写的不同应用的签名的可靠性。这可能需要高水平的技术,因此没有那么容易。在企业有应用签名分析师的情况下,笔者建议将不同类型的流量扔到防火墙,并使用数据包捕捉工具(例如Wireshark)来确定防火墙能够阻止应该阻止的东西。


第三十八届CIO班招生
国际CIO认证培训
首席数据官(CDO)认证培训
责编:fanwei

免责声明:本网站(http://www.ciotimes.com/)内容主要来自原创、合作媒体供稿和第三方投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。
本网站刊载的所有内容(包括但不仅限文字、图片、LOGO、音频、视频、软件、程序等)版权归原作者所有。任何单位或个人认为本网站中的内容可能涉嫌侵犯其知识产权或存在不实内容时,请及时通知本站,予以删除。