企業防火牆管理 (Enterprise Firewall Management)

這篇繼「企業防毒管理 (Enterprise Anti-Virus Management)」一文。
防火牆(Firewall)，維基上的說明在這裡，這篇主要還是以「網路層防火牆」管理為主。防火牆在資安防護佈署策略上，大多都是第一道防線，理論上也應該是要成為第一道防線。有的會把入侵偵測防系統在前面，但，我不知這樣佈署有任何意義，完全是不負責任的佈署，這部分等寫「企業入侵偵測防護管理」一文時再做說明。倘若防火牆加以「嚴密」管控通常能省去許多資安問題，我還是一句話：「管的越嚴謹，近乎求疵地步，資安人員得日子就會越愜意」。

我還是要在強調，資安防護是一場組織戰，有了戰略與策略之後，如何把資安防護組織起來，對抗外在的風險與威脅，甚至發掘內在的弱點與威脅因子，這是很重要的一個過程。

經常忽視的重大議題：
1.Policy 程序
只有建立 Policy 的程序，卻沒有真正的所謂的「維護」，所有資安設備在維護階段是很重要的一環。網路開通了以後就不管了，變萬年規則，這是很常見的網管觀念，然後就是等出事才會去理它，哪...能不出事的唄。
2.整合資訊安全政策或網路政策
Policy 的建立，幾乎沒有整合或結合所謂的資訊安全政策或網路政策等。防火牆管理者知道哪些 Policy 是不能開設的嗎？如果沒有，防火牆就會大開後門了。最常見的，明明就是獨立、隔離網段，但防火牆卻有開後門做管理。
3.管理權責劃分
防火牆、網路、系統管理的權責劃分。如果有一個人身兼多份工作，這個人就極可能成為企業虛擬世界中的神。所以要注意權責劃分問題。
4.Outbount控管
很多防火牆管理者只重 Inbount 的管理，卻疏於對 Outbount 的管理，但這不是防火牆管理者的錯，因為，從來就沒有人說要管的。
5.Policy複雜且異動頻繁
Policy 設定過多、且異動頻繁，這都是一個嚴重警訊。防火牆的政策英文是用 Policy ，就是不能朝令夕改的。

企業防火牆管理觀念：
1.防火牆與網路架構為一體，但先要有網路架構在佈署防火牆，因為，在網路規劃時就要有資訊安全的觀念，防火牆是實現資安的策略之一，也是極重要的關卡，不能輕忽之。如果防火牆 Policy 失守，等同網路架構失守。
2.資訊安全政策或網路政策...等，與防火牆也會密切相關，也會有關於防火牆管理的規則、條文，如隔離網段就是隔離網段，有些 Policy 就是不能開放設定的，所以，一切「依法行政」就對了。防火牆管理者是否清楚知道哪些是不能開的。如有窒礙難行，務必尋求資安推動小組或管理階層反應，進行相關規則、條文的修改，甚至需要調整網路架構的。
3.防火牆 Policy 設定、作業流程，相關申請、修改、刪除的程序需要明訂，並建立覆核機制，這整個流程機制需要經得起考驗的；這部分在需多稽核單位或人員上都已經有特別要求，就是做的任何申請、修改、刪除的程序要有跡可循，所以這比較會有共識，但很重要的一點：法條是需要人去遵守的，法條有值得人遵從嗎？
4.防火牆已開放的通訊埠(Port)就需要有配套加強防護或管制，無論 Inbount(防護)或 Outbount(管制)皆是。這是非常重要的觀念，防火牆是用來開放通道的，用這點去想就對了。
5.防火牆的好朋友-虛擬私有網路(Virtual Private Network, VPN)，VPN 管理與防火牆管理觀念相當類似，後續會再針對 VPN 管理加以說明，如要避免防火牆 Policy 異動過於頻繁，請務必善用 VPN 來輔助防火牆管理，也只有透過 VPN 管理才能達到更好的安全性。另外，我深深覺得 VPN 應該用來內部使用的，而非 Internet 使用。
6.防火牆連線記錄的報表管理。啥...防火牆要出報表，不要懷疑，能出的好連線記錄報表，可以發現很多資安事件的。雖然防火牆有報表功能，但多半沒有太大用處的，且目前並沒有太多的工具，甚至是分析軟體，所以需要花費點功夫的。最基本的連線記錄報告，是可以回頭稽核防火牆管理，明明是獨立網段卻有連線記錄，這樣不就抓包了；如果功力好還可以查覺惡意程式的連線行為，是屬於未知惡意程式哩，千萬別小看防火牆記錄的威力。重要的是你想要哪些分析報表呢？
7.防火牆系統運作、稽核記錄與稽核報表。主要是相關人員登入登出記錄與統計、防火牆異動記錄統計、系統負載流量記錄統計，甚至運作異常的統計分析...等。這些都是健康與內稽的重要數據指標。
8.有部電影：防火牆(Firewall)，官方網址在這裡，這裡跟這裡有中文介紹。避免「人」成為弱點，就需要權責劃分。如果一個人管防火牆、網路兼系統...這個人等同企業網路的神了。
9.其實，防火牆管得好不好，防火牆管理者最清楚；最怕是防火牆管理已經經手多次，而經手人都是一團亂帳，哪就無力扶正，也無從匡正了。

防火牆明明已經是很成熟的產品了，但...它的管理似乎不是哪麼成熟，為啥會這樣咧？你得好好想想。其他還有很多資安產品的，你又管好了嗎？話說回來還是人才的問題。