从理论上讲，防火墙是一个神奇的安全集中器，是外部世界和受保护的网络之间高性能的网关。理想情况下，它是一个易于控制的单点配置，允许你部署多个最佳安全技术。并且，它永远不会让你在晚上睡觉时翻来覆去地想它的配置是否存在漏洞，而导致企业数据泄露。但网络安全管理的现实并非如此：其实我们的防火墙不可能永远保持“刀枪不入”的状态。

　　很少有安全管理员能够“贯穿”防火墙的整个生命周期，他们可能没有参与配置或者设置初始规则，或者没有参与政策管理、审批和记录，也可能是没有参与政策迁移到后续硬件之前的彻底重新审查。99%的防火墙管理员从别人那里“继承”这些防火墙，他们彻夜无眠是因为，他们意识到他们继承的是一堆“残渣”：几乎没有可读的策略库，其中可能包含几十个甚至上百个潜在漏洞。

　　解决方法包括企业范围内的侦查工作、业务流程逆向工程、查看详细的文档和定期繁琐的维护——这是IT人员痛恨的工作。除非是必须，管理员才不会处理这些繁琐程序，大多数人宁愿专注于子网和生成树。防火墙很让人头疼。

　　攻击者和破坏政策的高层

　　如果你从没管理过防火墙，你可能会认为这个工作与管理任何其他网络设备上的ACL类似。有规则来识别流量，并设有政策来对违反那些规则的流量采取行动。防火墙应该只是标准的网络配置管理，而不是什么艺术或魔术。如果企业IT政策阻止流量，而用户不喜欢的话，就让他们阅读企业IT政策，用户逐渐会遵守政策。

　　但实际上，除了来自刺探你网络中未知漏洞的攻击者(可能甚至是政府授权的攻击者)的外部威胁，你的外部防火墙还受到异常安全请求的内部威胁。很多这些请求来自高管，他们一心想要拓展业务。还有些来自高层管理人员，他们可以改变政策，但对安全的认识有限。他们会找到你的经理，要求处理他们的请求，最后你怒了，你不得不申请一次特殊处理。

　　救援软件

　　幸运的是这个问题很普遍，大家已经都意识到这些问题的严重性。这些问题让厂商看到安全管理的商机。防火墙安全管理产品就像企业中的安全“忍者”，提供正常分析、配置清理、政策合规报告，甚至是最佳做法建议。一些防火墙甚至支持流量模拟，在部署防火墙之前允许你测试可能的情况。而几乎所有防火墙都有必备的政策评论功能。

　　防火墙能够存储原有业务的简单总结，策略有效期可定，并提供政策联系信息，这可以防止今天临时的例外成为明天永久的漏洞。它还允许团队进行协作。网络安全管理不仅能够将防火墙移交给下一任，最好你还能确保你的防火墙能够“履行其职责”。

(责任编辑：安博涛)