隨著企業(yè)越來越多地將下一代防火墻整合到其安全部署中，他們將能夠更精準地控制應(yīng)用程序和用戶行為，但同時，這也提高了錯誤配置和變更管理事故的可能性。并且，如果防火墻管理本身已經(jīng)是傳統(tǒng)防火墻組合中的一個問題的話，這將進一步增加復(fù)雜性。

RedSeal Networks公司首席技術(shù)官Mike Lloyd表示，“在最早防火墻推出以來，就存在這些問題：運維很復(fù)雜，因為其規(guī)則是技術(shù)性的，很容易帶來混亂，‘下一代防火墻’同樣也存在這些問題。”

Lloyd指出，每種額外的安全控制都會增加復(fù)雜性，在高級防火墻領(lǐng)域也是這樣。防火墻使用的基礎(chǔ)設(shè)施本身就很復(fù)雜，并且同時在很多層面運作。額外的一層(例如應(yīng)用層)對于某些目的而言是好的，但并不會消除其他層的工作。

根據(jù)今年早些時候，防火墻管理公司AlgoSec對175名防火墻管理員進行的調(diào)查顯示，56%的受訪者稱管理下一代防火墻比管理傳統(tǒng)防火墻需要更多精力。AlgoSec公司市場營銷主管Sam Erdheim表示，這主要歸結(jié)為兩方面的問題，首先是弄清楚與傳統(tǒng)防火墻規(guī)則政策相比，下一代防火墻規(guī)則政策有什么不同。

第二個問題是如何將這些新政策的管理整合到網(wǎng)絡(luò)環(huán)境中(傳統(tǒng)防火墻仍然會留在環(huán)境中)，以及如何在不需要重寫防火墻管理方式的情況下，來實現(xiàn)這一目的。

Skybox Security公司首席執(zhí)行官Gidi Cohen表示，“下一代防火墻的配置包括定義流量如何流動的新思路，但仍然要以傳統(tǒng)的方式來表達，因此，企業(yè)需要經(jīng)歷一個漫長的過渡過程，他們需要定義新的企業(yè)政策，而這通常是一個漫長而具有挑戰(zhàn)性的過程。在未來幾年，傳統(tǒng)防火墻和下一代防火墻仍然要并肩作戰(zhàn)，因此，企業(yè)還需要思考如何對它們雙管齊下。”

RedSeal、AlgoSec、Skybox Security和FireMon等防火墻管理公司已經(jīng)將針對下一代產(chǎn)品的管理功能加入了其功能集，但根據(jù)Erdheim和FireMon公司總裁首席技術(shù)官Jody Brazil表示，企業(yè)首先必須教育他們的員工，并對用于下一代環(huán)境中的過程和政策進行調(diào)整，而這將不可避免地需要范式轉(zhuǎn)變。

Brazil解釋說，下一代防火墻將會帶來一些防火墻管理員最初沒有預(yù)想到的獨特的問題。例如，下一代防火墻創(chuàng)建了一個簡單的規(guī)則，來允許用戶訪問Facebook，這個規(guī)則其實并不那么簡單。防火墻本身并不會識別Facebook等web應(yīng)用，直到用戶已經(jīng)訪問到、連接到以及驗證到該應(yīng)用。在此之前，它看起來就像是標準的HTTP。

他表示，“在你的政策的某處，你必須允許通過標準web流量或80端口訪問到互聯(lián)網(wǎng);否則允許訪問到Facebook的規(guī)則將失效，現(xiàn)在，這些關(guān)系必須共存，如果不行的話，訪問將不被允許。這是一個非常簡單的例子，如果管理員不能解決這個問題，將會帶來很多麻煩。”

這可能不只是簡單地管理端口80，企業(yè)可能實際需要管理1500以上個應(yīng)用程序。另外，當(dāng)企業(yè)開始實現(xiàn)下一代防火墻和Active Directory之間的緊密集成時，也會增加復(fù)雜性。Brazil表示，““防火墻團隊和AD團隊很少交流，因為他們從來沒有這樣的需要，也沒用理由，現(xiàn)在，突然之間，Active Directory管理員的日常生活開始影響防火墻管理員的行為，而后者可能還不知道。”

這是因為很多這些防火墻的策略都捆綁到AD團隊，這些策略的變化都會影響到AD團隊。這個過程很容易導(dǎo)致AD團隊抱怨防火墻阻止訪問，盡管防火墻管理員這邊從來沒有進行更改。

Palo Alto Networks公司高級研究分析師Matt Keil表示，這就是為什么企業(yè)在部署下一代防火墻時需要多方協(xié)調(diào)和調(diào)整的原因。“我們給企業(yè)的建議是，先進行規(guī)劃，然后有條理地進行部署。”

Keil表示，這種過渡是一個很好的機會，來加強安全團隊和商業(yè)團隊之間的合作。他認為，這主要涉及三個步驟。首先，企業(yè)需要盤點和研究網(wǎng)絡(luò)上已有的應(yīng)用程序，它們的用戶是誰，以及這些應(yīng)用程序的潛在風(fēng)險。第二個步驟是，與業(yè)務(wù)團隊會面，商討這些應(yīng)用程序的業(yè)務(wù)需求，以及IT確定的風(fēng)險，從而通過明確的蒸菜，來平衡業(yè)務(wù)需求和安全風(fēng)險。第三步就是歸檔。

Keil表示，“歸檔協(xié)商后的政策，對所有用戶進行培訓(xùn)，執(zhí)行政策，并定期審查有關(guān)政策，當(dāng)有新應(yīng)用時，更新政策。”當(dāng)企業(yè)為未來管理制定政策時，他們必須牢記，盡管傳統(tǒng)防火墻和下一代防火墻有所不同，無論使用的是哪種防火墻，糟糕的管理和審計習(xí)慣都會讓企業(yè)陷入風(fēng)險之中。

Lloyd表示，“主要需要避免的錯誤是復(fù)制不好的習(xí)慣規(guī)則。如果你一直是逐條審計規(guī)則，這是一個糟糕的辦法，事實上，這可能會阻止你部署新的技術(shù)，如果審計過于嚴格，你就喪失了應(yīng)對新威脅的能力。”