梭子鱼网络几个月之前针对全球防火墙市场进行了问卷调查,其中一些调查结果非常有趣,也让我们发现了一些问题:

• 80%的企业都不了解其防火墙规则真正是用来做什么的。
• 超过55%的企业都存在一定程度上的错误配置防火墙规则,从而存有安全漏洞。
• 一半以上受访企业都经历过由于错误配置防火墙而导致的停机。
• 四分之一的企业对于其防火墙的易用性并不满意,三分之一的企业认为防火墙的可用性还没能跟上其应用程序的步伐。

这些结果让我们看到一些有趣的答案,深入研究不难发现实际上一定程度上也体现了客户反馈的一些行业问题,值得我们深思:

首先是技术的复杂性。由于许多防火墙设置繁琐,接口也并不直观,导致其规则设置变得繁琐和难以制定;然而这些复杂性也增加了人为错误的概率。

同时,由于技术的复杂性,间接导致许多中小型企业机构难以找到一个大小合适的防火墙。其中一些中小型企业实际上需要一台企业级防火墙,但由于预算的限制或避免花企业级防火墙的大价钱,实际上最终购买了不合适的防火墙。这意味着数千家企业机构并不是完全按照企业实际需求购买设备,管理员只能尽其所能,让这些设备尽可能适合其网络的框架。

其次是可用性的问题。通常防火墙开始运行,部署防火墙的管理员往往就采用 “不干涉”方式。这种方法在许多“防火墙最老旧、最不可用的”网络中是行得通的。如果它在运行,管理员不对其进行修复,并且在它崩溃之前不进行升级,将存在隐患。

另外,尽管其它网络应用程序不断演进,并相互关联,但防火墙仍然延续其初始目的,即网络大门的守护锁。你可以购买一个花哨的锁、简单的锁、与其它类型的锁捆绑在一起的锁,但是一天下来,它仍然只是一个锁。在不断更新的网络环境中,我们不能因为增加更多的花哨,而忽视防火墙永恒的本质和最重要的东西:“大门之锁”。

对梭子鱼而言,如何做好这把锁,我们更锁定在:用户的易用性和真正满足用户需求的定制性。如今的企业需求与防火墙诞生之初已大不相同,如今企业不需要用锁来把人们关在外面,企业需要一个能够在其工作场所安全支持新应用程序和工具的看门人。

防火墙:满足定制化/支持新应用的看门人插图

原文:http://safe.it168.com/a2013/1104/1553/000001553749.shtml

作者 网路游侠

游侠安全网,前身为网路游侠的信息与网络安全博客,站长张百川。专注:网络安全、系统安全、应用安全、数据库安全、运维安全,及网络安全、信息安全前沿技术研究与发展趋势分析。对关键信息基础设施安全防护管理平台、网络安全态势感知平台、网络安全协调指挥平台有一定关注。