从理论上讲，防火墙是一个奇异的安然集中器，是外部世界和受呵护的收集之间高机能的网关。抱负环境下，它是一个易于节制的单点建设，承诺你摆设多个最好安然手艺。并且，它永久不会让你在晚上睡觉时翻来覆往地想它的建设是不是存在缝隙，而导致企业数据泄漏。但收集安然治理的实际并不是如斯：其实我们的防火墙不成能永久保持“刀枪不进”的状况。

　　很少有安然治理员可以或许“贯穿”防火墙的全部生命周期，他们可能没有介入建设或设置初始法则，或没有介入政策治理、审批和记实，也多是没有介入政策迁徙到后续硬件之前的完全从头审查。99%的防火墙治理员从他人那边“继续”这些防火墙，他们今夜无眠是因为，他们意想到他们继续的是一堆“残渣”：几近没有可读的策略库，此中可能包含几十个乃至上百个暗藏缝隙。

　　解决编制包含企业范围内的窥伺工作、营业流程逆向工程、查看具体的文档和按期繁琐的保护——这是IT人员悔恨的工作。除非是必需，治理员才不会措置这些繁琐法度，大年夜大都人甘愿专注于子网和生成树。防火墙很让人头疼。

　　报复打击者和粉碎政策的高层

　　假定你从没治理过防火墙，你可能会觉得这个工作与治理任何其他收集设备上的ACL近似。有法则来辨认流量，并设有政策来对背反那些法则的流量采纳步履。防火墙应当只是尺度的收集建设治理，而不是甚么艺术或魔术。假定企业IT政策禁止流量，而用户不喜好的话，就让他们浏览企业IT政策，用户逐步会遵循政策。

　　但实际上，除来自刺探你收集中未知缝隙的报复打击者(可能乃至是当局授权的报复打击者)的外部威胁，你的外部防火墙还遭到异常安然要求的内部威胁。良多这些要求来自高管，他们同心专心想要拓展营业。还有些来自高层治理人员，他们可以改变政策，但对安然的熟谙有限。他们会找到你的经理，要求措置他们的要求，最后你怒了，你不克不及不申请一次特别措置。

　　救济软件

　　荣幸的是这个标题问题很遍及，大年夜家已都意想到这些标题问题标严重性。这些标题问题让厂商看到安然治理的商机。防火墙安然治理产品就像企业中的安然“忍者”，供给正常阐发、建设清理、政策合规陈述，乃至是最好做法建议。一些防火墙乃至撑持流量摹拟，在摆设防火墙之前承诺你测试可能的环境。而几近所有防火墙都有必备的政策评***能。

　　防火墙可以或许存储原有营业的简单总结，策略有效期可定，并供给政策联系信息，这可以避免今天姑且的例外成为明天永久的缝隙。它还承诺团队进行协作。收集安然治理不但可以或许将防火墙移交给下一任，最好你还能确保你的防火墙可以或许“实施其职责”。