在PCI Data安全标准审计和HTTP应用程序普及的时代，基于电子表格的防火墙策略管理似乎早就已经过时。但是，许多公司仍然使用15年前就在使用的电子表格保存成千上万的防火墙规则。

　　网络和安全管理员会经常有这样的疑问：“谁写了这条规则，为什么要写这条规则？”答案通常是：“前任CEO Larry需要通过NetZero拨号上网访问财务数据。”然后就是随之而来的问题：“你认为我们可以删掉它吗？”但是，答案通常是不确定的。

　　防火墙策略管理在许多IT部门中都非常混乱。根据防火墙管理软件供应商Athena Security最新的一项调查显示，95%的工程师都会遇到防火墙审计问题，因为这需要的手工过程非常耗时。此外，审计通常是一个快照，在另一位管理员使用工程师的密码添加一条新规则之后，就会马上失效。

　　在Athena调查的841名工程师中，有90%表示他们的防火墙会由于一些不必要的、冗余防火墙规则而未能达到最优状态。他们希望抛弃这些规则，但是他们应该从何处入手？

　　Jeff Kramer是一家全球消费产品制造端的风险管理专家，他说：“我半夜都会担心我们的防火墙是否出现了一些不应该出现的规则，或者有人在未授权的情况下添加了规则。是否有人进入了我的防火墙，然后添加了一条违反规范性或安全规定的规则？或者，是否有人公然添加一条规则，盗取公司的信息？老实说，我现在还不确定是否会出现这些问题。”

　　Kramer正在安装Athena的FirePAC，用于改进他15,000人规模公司的防火墙规则管理。这个软件将监控大约50台思科和Check Point防火墙。购买FirePAC的原因，很大程度上是为了改进公司对PCI的审计。

　　他说：“我们检查了一些PCI审计过程，发现防火墙规则集检查过程中存在一些问题。而且，最后一个审计过程确实存在重大问题，它明显制造了一些合规性问题。我们设法通过审计纠正我们的方法，但是进行防火墙规则检查所需要的人力显然是不可接受的。”

　　防火墙策略管理：新出现的第三方软件

　　Gartner公司研究副总裁Greg Young指出，防火墙策略管理供应商（如Athena、Tufin Technologies和Algosec）为这个目前虽小但在不停增长的市场提供服务，他们需要获得防火墙规则管理服务。当然，并非每一个公司都需要这种第三方软件。这些公司通常都是在发生灾难之后才认识到需要这些软件。

　　Young说：“事情就像是：只有遇到问题—— 规则库过大或者审计出现大问题或者人手不足，这才会让他们想起使用这些工具。”根据Young的介绍，有四种情况会促使企业购买防火墙策略管理软件：

　　• 复杂的环境：拥有大量防火墙的公司通常很难理解所有设备的作用，或者由于数量过大而无法有效管理。
　　• 高度动态的防火墙环境：Young说：“即使数量不多，由于环境不断发生变化，也可能产生错误配置或者出现漏洞。”
　　• 多供应商防火墙环境：防火墙供应商本身提供了一些管理软件，但是这种软件不兼容其他供应商的产品。许多大型企业都部署了多个供应商的防火墙产品。例如，Kramer的公司在边缘网络使用Check Point，同时使用思科设备分割内部网络。
　　• 严格的审计要求：如果公司提升了审计的严格性，特别是像PCI或HIPAA审计，那么帮助审计人员记录防火墙规则的人力可能非常大，并且可能会放大前面提到的其他三个因素。