下一代防火墙管理是一种成熟且协调的方法

　　企业管理联盟研究主管Scott Crawford指出，在广义上，防火墙管理就是变更控制。拥有成熟防火墙变更管理方法的企业更能避免安全漏洞和性能破坏问题。在下一代防火墙中，随着防火墙环境变得越来越复杂，自动化也变得越来越重要。Skybox的调查发现，有58%的企业在他们的下一代防火墙上部署了100条以上的规则，而有35%的公司每个月执行100次以上变更。

　　Crawford说，在这些复杂环境中，用户必须利用自动化方法，因为他们通常过于复杂，而无法通过手工流程进行可靠管理。在部署之前，一定要在您的建模范围内验证您规划的所有变更，然后跟踪这些变更，保证它们按预期方式部署。此外，您需要设定一个回滚变更的流程，这样才不会产生其他问题。

　　Skybox、Tufin Technologies、AlgoSec和Athena Security等供应商在专门研究这些问题。他们提供了防火墙变更控制产品，其中大多数都可以对这些变更影响网络的方式进行建模。此外，这些供应商正在将他们的产品更新到下一代防火墙管理技术。

　　如果一个IT组织的下一代防火墙管理团队与网络运营团队属于独立实体，那么网络安全团队还应该保证要这两个团队协调一致。Crawford说：“即使在下一代防火墙出现之前，我们也发现一些组织遇到一些预料到的性能水平和可用性中断的问题，因为安全策略在不知道会产生什么影响的情况下就应用了。”

　　“当您增加了感知应用的防火墙，这个挑战越来越大。即使在分布式网络的客户端，如果您部署WAN优化设备，那么您会希望将它是专门为应用程序的设备。您需要在网络性能、可用性与安全性需求之间做出协调，以避免出现冲突和增加暴露风险。”

　　另一个问题：防火墙的入侵防御

　　Skybox的调查证明，许多企业在管理下一代防火墙上的入侵防御签名时举步维艰。有86%的公司计划在他们的防火墙上使用IPS模块；他们中有65%处于在线防御模式。管理这些模块的IPS签名并不容易。只有54%的公司由供应商自动更新。三分之二的公司正尝试手动管理这些签名。

　　Gartner的Young说：“默认签名集只是一个入口。接着是优先值。例如，如果您没有Oracle数据库，则不要启用Oracle签名。相反，如果您有大量的Oracle流量，则确实需要进行优化和调优这些Oracle签名。”

　　根据Skybox全球销售副总裁Michelle Johnson Cobb的观点，有一些企业希望了解这些签名如何有效地阻挡威胁。她说：“他们是否真的阻挡住了原本我想要阻挡的威胁？有一些方法可以检验它是否真的有用。”

　　如果用户实施了大量潜在威胁的默认签名，那么它将会减慢流量传输速度。Cobb说：“所以，如果您的目标之一是保证最高性能，同时有效阻挡威胁，那么这里需要一种平衡。此外，事情总会发生变化。在网络中，每天都会出现新的漏洞或威胁。您可能要确定是否需要激活新的签名。”

　　SkyBox刚刚增加了对Palo Alto Networks的IPS功能支持，它可以分析签名，然后将它们映射到漏洞上。“您可以在一个控制面板显示哪些签名已激活，哪些漏洞被阻挡住，以及您可以打开哪些控制，从而得到更多的保护。”