從理論上講，防火墻是一個神奇的安全集中器，是外部世界和受保護的網絡之間高性能的網關。理想情況下，它是一個易于控制的單點配置，允許你部署多個最佳安全。并且，它永遠不會讓你在晚上睡覺時翻來覆去地想它的配置是否存在漏洞，而導致企業數據泄露。但網絡安全管理的現實并非如此：其實我們的防火墻不可能永遠保持“刀槍不入”的狀態。

　　很少有安全管理員能夠“貫穿”防火墻的整個生命周期，他們可能沒有參與配置或者設置初始規則，或者沒有參與政策管理、審批和記錄，也可能是沒有參與政策遷移到后續硬件之前的徹底重新審查。99%的防火墻管理員從別人那里“繼承”這些防火墻，他們徹夜無眠是因為，他們意識到他們繼承的是一堆“殘渣”：幾乎沒有可讀的策略庫，其中可能包含幾十個甚至上百個潛在漏洞。

　　解決方法包括企業范圍內的偵查工作、業務流程逆向工程、查看詳細的文檔和定期繁瑣的維護——這是IT人員痛恨的工作。除非是必須，管理員才不會處理這些繁瑣程序，大多數人寧愿專注于子網和生成樹。防火墻很讓人頭疼。

　　攻擊者和破壞政策的高層

　　如果你從沒管理過防火墻，你可能會認為這個工作與管理任何其他網絡設備上的ACL類似。有規則來識別流量，并設有政策來對違反那些規則的流量采取行動。防火墻應該只是標準的網絡配置管理，而不是什么藝術或魔術。如果企業IT政策阻止流量，而用戶不喜歡的話，就讓他們閱讀企業IT政策，用戶逐漸會遵守政策。

　　但實際上，除了來自刺探你網絡中未知漏洞的攻擊者(可能甚至是政府授權的攻擊者)的外部威脅，你的外部防火墻還受到異常安全請求的內部威脅。很多這些請求來自高管，他們一心想要拓展業務。還有些來自高層管理人員，他們可以改變政策，但對安全的認識有限。他們會找到你的經理，要求處理他們的請求，最后你怒了，你不得不申請一次特殊處理。

　　救援軟件

　　幸運的是這個問題很普遍，大家已經都意識到這些問題的嚴重性。這些問題讓廠商看到安全管理的商機。防火墻安全管理產品就像企業中的安全“忍者”，提供正常分析、配置清理、政策合規報告，甚至是最佳做法建議。一些防火墻甚至支持流量模擬，在部署防火墻之前允許你測試可能的情況。而幾乎所有防火墻都有必備的政策評論功能。

　　防火墻能夠存儲原有業務的簡單總結，策略有效期可定，并提供政策聯系信息，這可以防止今天臨時的例外成為明天永久的漏洞。它還允許團隊進行協作。網絡安全管理不僅能夠將防火墻移交給下一任，最好你還能確保你的防火墻能夠“履行其職責”。