《企業(yè)網(wǎng)D1Net》1月21日訊

在當(dāng)前的安全領(lǐng)域，下一代防火墻（NGFW）已經(jīng)成為業(yè)界關(guān)注的焦點(diǎn)，然而，從功能上來(lái)看，下一代防火墻（NGFW）的管理功能一般都比較差。那么當(dāng)企業(yè)在評(píng)估供應(yīng)商時(shí)，對(duì)于NGFW管理功能，他們應(yīng)該怎樣評(píng)估？

對(duì)于管理任何設(shè)備，企業(yè)關(guān)注的重點(diǎn)都應(yīng)該是把握管理員的容易訪問(wèn)程度與其他用戶的難以訪問(wèn)程度之間的平衡。當(dāng)企業(yè)在研究NGFW的管理功能時(shí)，最重要的是，企業(yè)首先需要確定管理員是否被允許從網(wǎng)絡(luò)邊界外部訪問(wèn)管理界面。對(duì)于這個(gè)問(wèn)題，沒(méi)有正確或錯(cuò)誤的答案：這取決于每個(gè)企業(yè)是否愿意接受遠(yuǎn)程防火墻管理帶來(lái)的相關(guān)風(fēng)險(xiǎn)。

如果你的企業(yè)決定允許管理員從外部訪問(wèn)管理界面，你必須做出以下三個(gè)額外的管理決定：

下一代防火墻是否有內(nèi)置的Web服務(wù)器用于管理目的？如果有的話，對(duì)web服務(wù)器的訪問(wèn)是否加密？很多管理員喜歡圖形用戶界面的便捷性，企業(yè)可以選擇這種方式，但前提是對(duì)GUI的連接必須是通過(guò)SSL進(jìn)行。管理員必須要訪問(wèn)web服務(wù)器嗎？企業(yè)最好讓管理員通過(guò)命令行來(lái)訪問(wèn)界面。這樣的話，你就不需要擔(dān)心web服務(wù)器配置中的安全漏洞問(wèn)題；只需要建立一個(gè)shell即可。管理界面的現(xiàn)成的配置足夠好嗎？還是需要額外的配置？很多時(shí)候，系統(tǒng)管理員忽視了這個(gè)問(wèn)題，而這往往會(huì)導(dǎo)致安全泄漏事故。例如，安全人員必須確定在默認(rèn)情況下開(kāi)啟加密，還是需要勾選一些框格來(lái)激活加密。你會(huì)驚訝地發(fā)現(xiàn)，默認(rèn)配置經(jīng)常被忽視，而這種問(wèn)題往往會(huì)導(dǎo)致災(zāi)難性的后果，這原本是很容易可以避免的，前提是你需要在默認(rèn)配置上多花點(diǎn)時(shí)間。

D1Net評(píng)論：

以上關(guān)于下一代防火墻（NGFW）的建議，可以幫助你正確評(píng)估NGFW的管理功能，然而，對(duì)于NGFW應(yīng)用管理，建議企業(yè)中有人能夠研究每個(gè)供應(yīng)商編寫(xiě)的不同應(yīng)用的簽名的可靠性。這可能需要高水平的技術(shù)，因此沒(méi)有那么容易。在企業(yè)有應(yīng)用簽名分析師的情況下，建議將不同類(lèi)型的流量扔到防火墻，并使用數(shù)據(jù)包捕捉工具（例如Wireshark）來(lái)確定防火墻能夠阻止應(yīng)該阻止的東西。