现在,我们都清楚地意识到,这场持续的危机已经改变了人们的工作方式。全球各地的企业都采用了远程办公模式。如今,业务关键型应用程序可以通过Internet轻松访问,使得许多工作都可以远程进行。但是,并非所有企业部署的应用程序都可以通过Internet访问,毕竟,出于安全考虑,其中一些只能在企业的局域网中使用。
我们可以使用虚拟专用网络(VPN)建立对此类应用程序的访问。尽管VPN可以使用户安全地访问他们在办公室工作时通常使用的资源,但其功能在很大程度上取决于网络管理员是否能够灵活地对其进行配置。
用户连接到公司网络以访问应用程序的这种变化将影响带宽消耗。为了适应这些新的带宽要求,企业可能不得不禁用某些通过VPN访问的服务。对网络实施这样的更改将需要网络管理员手动重新配置网络设备,但是手动更改网络配置可能很棘手,因为单个错误的配置可能会导致网络中断并导致所有业务关键型服务宕机。
此外,由于不在办公场所内的设备已连接到网络,因此需要修改防火墙规则以控制入站和出站流量。但是,如果未正确分析这些规则,它们可能会变成潜在的安全威胁。
因此,我们需要讨论网络配置和防火墙规则更改将如何影响您的网络,以及如何减少发生网络事故的机率。
1.网络配置管理
问题一:上传错误的配置会怎样?
将错误的配置上传到网络设备可能会带来各种灾难,从性能下降到网络完全中断或数据泄露。业务连续性将受到打击,关键服务将变得无法访问。如果没有可用的更改记录,手动确定根本原因并进行故障排除可能很耗时。但是,使用更改跟踪技术,则可以大大减少识别故障和恢复网络所需的时间。
问题二:为什么配置更改跟踪很重要?
在居家办公这种大趋势到来之前,网络管理员就要频繁进行网络设备配置更改以满足不同的业务需求。而如今,越来越多的人采用远程办公,网络管理员需要比以往做出更多的配置更改。在这种情况下,网络管理员需要保留所做的所有配置更改、更改时间及更改者的记录,这将有助于确定问题的根源。
问题三:管理配置更改的最佳方法是什么?
在具有多个网络管理员的大型网络中,建立变更管理机制至关重要。每当用户进行配置更改时,管理员都会收到通知。此外,这将使管理员能够完全控制对网络进行的配置更改。变更管理的另一个重要方面是回滚机制。在许多企业中,网络管理员可能会拥有一组他们希望保持不变的网络设备。这些设备可能是关键任务防火墙或路由器,对这些设备进行的任何更改都可能给企业带来数据泄露或网络中断的风险。对于此类设备,管理员需要严格的回滚机制以立即还原所有不需要的更改。除了这两个关键功能,网络管理员还需要对用户访问进行完全控制。管理员需要能够限制用户对网络设备的访问,使他们只能在某些设备上进行配置更改。这可以帮助管理员更好地组织其网络,并减少由于单个手动错误而导致整个网络瘫痪的机率。
如今,许多企业使用Telnet或PuTTY等控制台对网络设备配置进行更改。尽管这些控制台使用起来非常简单,但是它们缺少关键的配置更改管理功能。鉴于我们已经讨论了错误的更改会如何致使整个网络瘫痪,因此具有端到端配置管理功能的工具对于稳定的网络至关重要。
2.防火墙规则管理
问题:您是如何管理防火墙规则的?
通常会修改防火墙规则以优化性能或遵守某些行业标准。就像由于当前居家办公的增多配置更改数量也急剧增加一样,防火墙规则更改也有所增加。由于防火墙实际上位于网络的外围,因此所有防火墙规则更改都必须经过严格的筛选和分析。这包括记录所有现有规则及其所做的更改,然后分析它们是否存在异常。除了可能对网络构成潜在威胁的规则异常外,网络管理员还必须识别未使用的规则和接口,停用它们,以确保攻击者无法利用它们并渗透到网络中。
在小型网络上,手动执行对所有防火墙规则的审计并实施更改在某种程度上是可以管理的。但是在需要管理多个防火墙的大型网络中,手动分析和操作将非常耗时。借助提供规则管理和影响分析功能的工具,管理员可以了解规则更改的可能结果并快速做出适当的决策。
网络管理员需要确保为其网络配置和防火墙管理需求选择的工具具有基于审批的更改功能。这将确保当网络用户尝试进行网络配置或防火墙规则更改时,将以请求的形式发送给网络管理员,而不是立即实施。这使管理员有机会查看提议的更改并相应地选择批准或拒绝,从而减少了将错误的配置或规则上传到网络设备的可能性。另外,网络管理员应检查应用于网络配置和防火墙规则的更改是否符合行业标准和内部策略。为了确保这一点,他们采用的工具还应提供合规性管理功能。