企业防火墙通常包含一个安全规则的潘多拉魔盒，这些规则可以区分允许或者拒绝决定的优先次序，而且这些规则只有最勇敢的安全操作人员才敢修改。防火墙规则的移除和重新排序会导致拦截已同意的业务通信的风险，或者导致向非授权流量暴露叶文的漏洞的打开。
　　
　　在企业众人为手动审计防火墙规则减少风险几乎不可能，优化防火墙设备性能，简化通过路由器、交换机或者防火墙的数据路径。安全团队正在调整防火墙管理工具，执行基础架构的安全审计，并使防火墙的操作控制自动化。
 
　　私下持有防火墙管理厂商每年的总体市场规模在10亿美元以下，虽然厂商宣称安全状况每年都在改善。提供防火墙规则管理的厂商包括AlgoSec Inc.、Athena Security Inc.、Firemon、 RedSeal Systems Inc.、Secure Passage LLC、Skybox Security Inc.以及Tufin Software Technologies Ltd。防火墙管理软件可以帮助减轻负担，因为企业网络太复杂不方便手动控制。网络管理员使用工具提供网络流量的指向图，执行对基础架构的定期安全审计，并控制改变防火墙规则的工作流，以确保网络的连贯。

　　在评估防火墙管理厂商时，可以检查他们对以下几本要求满足的情况：

• 把敏感应用从一般业务流量中分离出来。例如，PCI授权防火墙的配置是为了把信用卡处理系统和网络的其他部分分开，防止客户数据的泄漏。企业策略也要规则数据中心或者网络操作中心的分割。IT需要密切地设置防火墙之间的关系，只允许应用数据并阻止其他所有的访问，然后定期核实规则中不存在产生安全风险的倾向。
• 采用工作流控制和操作程序确保网络的连贯。采用操作程序控制的安全团队发现的操作上的好处有服务呼叫的减少，防火墙服务呼叫的时间缩短、对同事德检查和批准的质量的改进，以及对法规遵从状态的维护更简单。
• 在多厂商的防火墙环境中获得统一的业务检查。有些防火墙含有大量的细微等级的规则，而其他厂商支持很少的更全面的规则。使不同厂商，例如Check Point Systems Inc.、 Cisco Systems Inc.和Juniper Networks Inc等的防火墙设备规则中表达的安全策略合理化具有挑战性。
• 通过调整防火墙、路由器和交换机改善网络性能和效率。防火墙、路由器和交换中需要检查的每一条规则都会增加反应时间。例如，使防火墙中包含必须检查的规则非常常见，即使上游的路由器判断提供了防火墙规则过剩，因为受影响的流量不能到达防火墙。企业优化网络设备性能需要一些工具对比防火墙、路由器和交换机的设置，来识别可以安全移除的规则。

　　防火墙管理厂商可能宣传说从防火墙上移除规则提供了性能的提升，这也会延长防火墙设备的生命。但是，大部分的企业都选择购买更快的防火墙设备，而不会产生必须移除的规则的风险。防火墙管理市场可能转向利用网络安全审计服务和操作工作流控制和诊断销路的产品功能的技术。网络复杂的企业应该使用工具来检查防火墙配置规则不会产生安全漏洞。