过去几年是防火墙技术几十年发展史里边变化最大的一段时间。自上世纪90年代Check Point引入静态检测后，防火墙管理员和信息安全官员一直都在对基于某链接的源IP地址，目标IP地址和服务的安全策略进行定义。

    现在有了Palo Alto Networks和Check Point R75倡导的所谓下一代防火墙，策略也可以在应用基础上进行定义。

     通过一些令人印象深刻的技术改进，这些设备可以对共享端口的不同应用进行区别对待。下一代防火墙可以实施精细化粒度策略，如“阻止文件交换型应用”或是“允许Facebook但阻止其游戏应用”抑或是“阻止Skype应用”——同时允许有益的HTTP数据流通过防火墙。其销售噱头确实很吸引有着安全忧患的组织，而且很多组织都开始接受这一新技术。

     构建一个更好的防火墙

    不过，一旦过了这阵新鲜劲儿，就必须意识到下一代防火墙其实是需要严加管理的。这意味着要合理规划，特别是要对“黑名单”和“白名单”加以斟酌。

    十五年前，防火墙管理员之间曾就如何为防火墙策略进行结构优化发生过激烈争论。黑名单的支持者建议“除了阻止那些不想要的数据流外，对一切数据流放行。”而白名单的支持者则认为“除了需要的数据外，阻止一切数据。”这场争议以大多数人赞成更为安全的白名单方法而告终：现在，特别是每个防火墙策略都有一个“Default Drop”规则以及大量“允许”的规则。而且，大多数规则都需要配备这样的结构。
 
    尽管如此，这种更为安全的方法需要付出一定代价：白名单给防火墙管理员带来了很多工作量。因为每个新的连接都需要新的防火墙规则——这种规则应该被计划，认证，部署以及验证。有些组织每周要处理几百个类似的规则变更请求，结果，他们要花上几周的时间变更请求与部署。

    许多企业防火墙策略已经膨胀成包含数千条规则的大怪物。

    重新审视

    这么庞大的策略很难保障其安全性——而且其中还包含着大量错误。事实上，已经有研究指出策略这种策略中的策略复杂性与大量错误存在着相关性；就防火墙策略而言，小才会精。现在，想象一下如果替换一个允许HTTP的单独规则，会发生什么呢？该策略将包含一万条新规则，每个应用一条？如果不仔细设计，新策略的安全性可能更低。

    随着下一代防火墙的出现，黑名单和白名单的争议值得大家重新审视，然后做出明智的选择。考虑一下：如果你打算在应用层级使用白名单，每周将要处理多少变更需求呢？现有团队可以在不增加时间的前提下处理额外的工作量嘛？这对你的风险姿态有何影响呢？

    况且，CISO或许会发现通过黑名单定义策略会更容易，比如“阻止社交网络，文件共享和视频流，以及允许其他Web流量。”

    对Web代理过滤以及Web应用防火墙的配置方式进行对比后发现，黑名单通常用于Web代理，当然也有一些组织使用白名单。

第四十一届CIO班招生
国际CIO认证培训
首席数据官（CDO）认证培训

免责声明：本网站（http://www.ciotimes.com/）内容主要来自原创、合作媒体供稿和第三方投稿，凡在本网站出现的信息，均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性，但不保证有关资料的准确性及可靠性，读者在使用前请进一步核实，并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏，概不负任何法律责任。
本网站刊载的所有内容（包括但不仅限文字、图片、LOGO、音频、视频、软件、程序等）版权归原作者所有。任何单位或个人认为本网站中的内容可能涉嫌侵犯其知识产权或存在不实内容时，请及时通知本站，予以删除。