《防火墙现状报告》：自动化是防止错误配置巨

防火墙维护需靠自动化来防止错误配置。

现在比以往任何时候都需要自动化防火墙过程来防止错误配置和数据泄露。Gartner 警告称：50% 的公司企业将毫不知情或错误地在公共互联网上直接暴露出某些 IaaS 存储服务、网段、应用或 API，2018 年这一比例是 25%。

这是人的问题，不是防火墙的问题。Gartner 还论断：99% 的防火墙渗透，都将是错误配置而不是防火墙漏洞引起的。

为更好地理解这一情况，FireMon 调查访问了 573 名网络/安全工程师、IT 运营经理和首席级高管，推出了其第六年度的《防火墙现状》报告。受访人员来自不同规模的公司，从雇员数少于 1,000 的 中小企业 (47.8%) 到雇员超出 1.5 万人 (18.9%) 的大企业都有。

65% 的受访者当前并没有采用自动化来管理其环境，36% 称不准确性、错误配置或网络问题占了返工修改请求原因的 24%。

45% 的受访者每周处理 10 到 99 个修改请求；38% 的受访者通过紧急电话/短信/电子邮件才发现错误配置的防火墙。

现代防火墙资产的巨大规模和复杂性是导致这些问题的原因。近 1/3 的受访者在其网络上部署了超过 100 个防火墙（去年这一比例是 26%）；超过 12% 的受访者拥有的防火墙甚至高达 500 个以上。最主要的五个挑战是复杂性、规则优化、多供应商/防火墙类型管理、防火墙实施空白和自动化缺乏。

FireMon 的观点是，提供自动化将极大程度上解决所有其他难题。这并不意味着防火墙对现代基础设施而言不甚重要。95% 的受访者称防火墙至少比以往任何时候都更重要，65%（去年这一数字是 56%）的受访者将安全预算的 10% 到 49% 花费在防火墙技术上。

FireMon 的价值主张是通过延伸可见性和检测变更，来帮助客户控制其基础设施的复杂性。FireMon 技术联盟副总裁 Tim Woods 向媒体表示：本质而言，我们试图通过扩充、增强和健全管理工作改进本地管理工具，最大化投资回报。

FireMon 可从外部扫描该界面，从内部 ping 外部服务器，以此检测不良防火墙配置。此类自动化检测在变更频繁的云环境中尤为重要。

Woods 解释道：如果不应用良好的防火墙管理原则，它们就会膨胀到不必要的复杂程度。限制源地址、目的地址和服务的新规则不断应用，但随着时间流逝，这些规则停滞不前、过期失效、不再使用，资源被移除，规则切实转变成了防火墙中的漏洞。需识别并堵上这些漏洞，但若缺乏良好管理，漏洞会一直存在。不必要规则的数量不断增长，这就很成问题了。

其中一个大问题是允许超出业务实际所需权限的被动规则。该问题通常就是由工程师的巨大工作量造成的。在时间线重压和缺乏足够信息的情况下，为保证公司新推出服务的访问，防火墙工程师会设置一条扩大现有访问权的临时规则。但他们根本没时间返回收紧那条规则。

FireMon 分析某新客户防火墙的安全策略时发现，现有规则中 30% 到 50% 都是冗余或者无用的。Woods 称：

我 15 年前入行的时候，如果发现一个有 2,000 条规则的防火墙，那就是个很大的防火墙了。如今，有 2 万到 3 万条规则，乃至 10 万条规则的防火墙都屡见不鲜。

靠人力根本无法分析这种规模的防火墙上的策略。

甚至在添加新规则，试图确定规则放置位置的时候，如果没有自动化的帮助，都会超级困难——因为有些规则可能是情景依赖的。

FireMon 表示，自动化能够清除错误配置，增强安全敏捷性，同时最大化效率并减少运营开支，且能防止违规。Woods 称：新版《防火墙现状》报告表明，首席级高管及其安全团队需要更多的网络安全过程控制与可见性，用以驱动数字化转型和维持合规。自适应自动化工具可能是这些问题的解决方案，可以提供更高水平的控制与可见性。

FireMon 是 2004 年由 Gary Fish 成立的网络安全与策略管理私营公司。其在堪萨斯城和德州达拉斯市设有两个总部。FireMon 于 2018 年 5 月收购了 Lumeta，该公司可帮助安全团队查找和防护未知、流氓及影子云、网络基础设施和终端。

《防火墙现状报告》下载地址：https://3hggz2ftdz41fqjfc37yqew1-wpengine.netdna-ssl.com/wp-content/uploads/2019-FireMon-State-of-the-Firewall-Report.pdf

相关阅读

下一代防火墙到底是什么？云和复杂性又如何影响到它？