选择下一代防火墙 助力网络安全资源优化

日期: 2014-10-27 作者:赵长林 来源:TechTarget中国

任何企业都需要强健的网络安全,但IT安全团队和资源、安全预算在许多企业总显得捉襟见肘。但这并不意味着安全团队要在关键的IT安全方面缩减投资,而是应与网络防火墙团队协作。资源优化涉及操作过程、管理工作流的自动化和简化,只有这样才能解放IT团队的成员,使其将时间、技能、专业技术集中在优先处理的项目上。而且,优化资源还可以维持预算,同时又能够减少预算冲突和削减管理成本。

下一代防火墙可以在网络安全资源的优化方面起着关键作用。哪种防火墙最值得青睐?企业应当选择具有哪些特性的下一代防火墙来武装IT安全团队,由此开始资源优化过程? 即插即用式安装 即插即用式配置可以使企业将设备的初始配置自动上传到一台管理……

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

任何企业都需要强健的网络安全,但IT安全团队和资源、安全预算在许多企业总显得捉襟见肘。但这并不意味着安全团队要在关键的IT安全方面缩减投资,而是应与网络防火墙团队协作。资源优化涉及操作过程、管理工作流的自动化和简化,只有这样才能解放IT团队的成员,使其将时间、技能、专业技术集中在优先处理的项目上。而且,优化资源还可以维持预算,同时又能够减少预算冲突和削减管理成本。

下一代防火墙可以在网络安全资源的优化方面起着关键作用。哪种防火墙最值得青睐?企业应当选择具有哪些特性的下一代防火墙来武装IT安全团队,由此开始资源优化过程?

即插即用式安装

即插即用式配置可以使企业将设备的初始配置自动上传到一台管理服务器。远程位置可以通过传输层安全(TLS)协议连接到这台管理服务器。即插即用可以快捷地为不同地理位置的大型网络实现快速部署和安装,同时又可以减少到设备进行现场访问和人工配置的麻烦。自动化还可以减少出错风险。

高效且集中化的故障诊断工具

如果企业的防火墙具有高效且集中化的故障诊断工具,故障诊断就未必占用安全团队的大量时间。这种工具应当集成到防火墙中,而不应当在以后进行修补。这种工具还应当拥有企业从一个独立的中央位置就可以控制的多种功能。理想的工具包括大量的远程诊断功能和其它的诊断功能,以及集成化的通信捕捉工具、网络取证分析、会话监视和配置快照等。

借助适当的工具,工程师和管理员就能够快速发现问题的根源,极大地减少修补时间,快速而准确地应对配置和错误配置问题,并且保证网络的高可用性。将高级的多功能工具集成到防火墙中还可以减少投资购买独立工具或软件的需要。

快捷可靠的远程更新

更新是高效的防火墙可以提供的更为轻松且高效的另一种功能。快捷可靠的远程更新特性可以使技术人员在整个网络上实施安全可控的软件更新,并且占用最少的通信量。在一个中央位置管理这种任务可以降低操作成本,使设置时间仅占用几十分钟而不是几个小时或几天。快捷可靠更新还可以降低操作风险,在更新新版本失效后,企业可利用其中的 “反转”功能恢复到以前的版本。此外,企业能够通过快捷可靠更新确定在非正常业务期间(或对网络影响最小的其它任何时间)进行操作的时间,从而实现接近100%的正常运行时间和可用性。

任务自动化

任务自动化并不仅仅为网络防火墙的升级带来很大好处。网络防火墙还应当允许管理员自动化任何重复性的占用大量资源和时间的任务,并可确定其时间。这种特性不但对于那些有可能影响到服务的任务来说很有益,而且对于日常报告等活动来说,也很有好处。在任务实现自动化并确定好其时间后,就不再需要什么人工劳动了,而管理员就可以在网络负载与非关键操作之间实现平衡,从而确保高可用性。

要素共享和再利用

要素共享和再利用可以减少工作量和出错的风险。通过高质量的下一代防火墙,管理员不必每次在需要变更时为个别组件或客户设置配置信息,而是可以重用相同的要素来管理多个客户分组的服务变化。

这个特性可以使管理员不必在多个独立的系统之间导出或导入配置,而是可以使用已经保存的模板。分级模板可以使操作更快捷和高效,并会立即影响所有相关服务。大型的可管理安全服务供应商获益最多,虽然任何规模的企业都可以从中节省时间和减少工作负担。有些网络防火墙可以使每个管理服务器支持多达200个虚拟域,这就可以从逻辑上安全地分离客户。

策略验证和分析工具

很多下一代防火墙配备了庞大的防火墙规则集,这会使故障诊断任务复杂化,并会带来牺牲性能的不必要负担。这些规则往往是重复的,有时甚至在转换中丢失目标地址。用策略验证和分析工具可以轻松地检查和清除不用的或重复的规则,而不必牺牲安全性。清除冗余的规则可以提高系统性能,增加安全性,简化网络故障诊断的过程,并可以从数据库中清除不必要的数据。

基于角色的管理访问控制

并非所有管理员都应当享有访问安全组件的同样访问权。基于角色的访问控制可以允许用户根据每个管理员的职责定义多种管理访问的权利。企业应当能够为每个管理员定义一个或多个角色,并限制每个角色适用的组件。防火墙的细节控制选项应当包括对每个要素和要素类型所涉及的管理员特权进行严格的、高度精细的控制,并可以控制读写操作的等级。

最好的安全方案可以使企业轻松地控制和变更特权,并且可以使企业为不同的管理员创建定制的规则。这种特性对于拥有很多管理员的大型网络来说非常有益。如果安全方案能够将某些要素和组件的访问权只给那些真正需要的管理人员,就不但可以提升防火墙的安全性,还可以提高网络的安全水平。

作者

赵长林
赵长林

TechTarget中国特邀作者

相关推荐