下一代防火墙将通过集成入侵防御和应用与用户监控功能来提升网络安全性，但是它们也会带来新的管理挑战。由于传统防火墙充斥了大量废弃的规则，所以防火墙管理总是一个有挑战的工作。但是，在使用下一代防火墙管理技术之后，网络安全专业人员将需要维护更多的规则和策略。

　　斯坦福德Gartner公司研究副总裁Greg Young说：“防火墙规则总是到处泛滥，但是入侵防御和应用控制使问题更加复杂。现在正是使用下一代防火墙降低复杂性的时机，但是如果实施不当，则可能会适得其反。”

　　最近，Osterman Research代表安全与风险管理公司Skybox Security对209家企业进行了一次关于下一代防火墙管理的调查。在调查中，他们邀请网络安全人员列举下一代防火墙管理的三大挑战，其中包括：确认访问策略与网络分片策略是否正确实施（39%）；维护入侵防御系统(IPS)签名（37%）；以及优化防火墙规则集（36%）。

　　在有状态防火墙中，规则与策略的复杂性迫使网络安全管理员在防火墙管理方法中整合更多的业务逻辑。Skybox的CEO及创始人Gidi Cohen说：“下一代防火墙规则将控制哪些用户群组在哪个时间段可以访问Web应用或社交网络。不仅规则变得更加复杂，而且组织的安全策略逻辑也变得更加复杂。这是一个计划挑战、协调挑战，也是一个技术挑战。”

　　Young指出，网络安全人员需要抛弃“老派的”防火墙管理方法，转而采用下一代产品。例如，他说，改变对应用控制规则和策略的控制不可能像基于端口的传统规则一样。

　　在传统防火墙上，任何变更都需要发起一个变更请求。如果开发团队希望启动一个新应用程序，那么它会发送一个变更请求到防火墙上要求打开端口。这种细致方法不适用于下一代防火墙的应用监控。Young说：“要采用不同的方法。您可以批准特定类型的应用程序。您可以说：‘除了特定的情况，我们不允许使用任何点对点应用程序。’所以如果发现一个点对点应用程序，而防火墙管理员又希望批准这条规则，那么它应该以预先批准的方式进行处理。”

　　Young指出，网络安全人员需要抛弃“老派的”防火墙管理方法，转而采用下一代产品。例如，他说，改变对应用控制规则和策略的控制不可能像基于端口的传统规则一样。

　　在传统防火墙上，任何变更都需要发起一个变更请求。如果开发团队希望启动一个新应用程序，那么它会发送一个变更请求到防火墙上要求打开端口。这种细致方法不适用于下一代防火墙的应用监控。Young说：“要采用不同的方法。您可以批准特定类型的应用程序。您可以说：‘除了特定的情况，我们不允许使用任何点对点应用程序。’所以如果发现一个点对点应用程序，而防火墙管理员又希望批准这条规则，那么它应该以预先批准的方式进行处理。”