考虑到这一点，我特意与防火墙管理公司Tufin的首席技术官鲁文·哈里森进行了一次详谈。我询问了他关于一些导致错误配置或造成防火墙无法完成关键任务等最常见的防火墙挑战问题的最佳实践解决方案。他提出以下建议：

　　•让企业的安全策略管理经理或合规经理轮岗执行防火墙管理。

　　•清理未使用的规则。

　　•消除冲突的规则。

　　•遵循一致的工作流程的要求实施对防火墙的改变。

　　•让应用程序开发者或开发团队与防火墙管理员多磨合。

　　让我们来逐条分析一下他给出的建议。

　　让企业的安全策略管理经理或合规经理轮岗执行防火墙管理。

　　在大多数中型或大型企业都设置有安全管理经理，风险管理经理或合规管理经理的角色。此人通常不是一名操作工人。相反，他或她是负责制定该企业的总体安全管理政策，并确保这些管理政策在整个企业内获得遵守执行。很多时候，这些安全经理并没有见到过防火墙管理员实际上是如何部署相关的规则的，其中有些规则可能会与企业政策冲突。

　　例如，防火墙管理员可以打开防火墙上的端口，让各种流量进入网络。这一操作可能是危险的，可能违背了企业的整体安全策略。所以，当任何人对防火墙有任何改动时，都需要第一时间通知安全管理经理，以便安全管理经理能够审查这些改动，以确保这些改动符合企业的安全管理政策。这可以通过电子邮件警报或访问控制台来完成，以查看防火墙的更改配置，以及谁做的修改。如果这些改变看起来不正确，或违反了安全策略，安全管理和防火墙管理员可以根据商业目的讨论进行适当的修改。

　　清理未使用的规则。

　　防火墙有数百甚至数千的规则并不少见，其中许多已经过时，不再为业务目标所需要。未使用的规则有时会存在潜在恶意攻击的可能。例如，假设一个端口打开允许HTTP或HTTPS流量在企业和云应用程序之间传输。那么企业内部使用相关云应用程序的部门废弃了该端口，却又未通知防火墙管理员关闭。恶意攻击者可能发现该开放端口，并用它来传输企业的数据。

　　防火墙管理工具，可以持续轻松监控网络流量，并确定是否存在在指定的时间内未打开的连接。防火墙管理员可以提醒这些显然未使用的连接，以研究他们的目的，并关闭那些不再服务于商业目的链接。

　　Tufin的哈里森举了一家能源公司最近进行了一次规则的清理的例子，该公司发现，50%以上的防火墙规则不再服务于业务需要。消除那些未使用的规则不仅提高了企业的安全，同时也提高了防火墙的性能。

　　消除冲突的规则。

　　很多防火墙已经有着如此复杂的规则库，通常一个管理员不知道自己实施一个新规则是否与已有的规则冲突。这种情况可能会导致新的规则是完全不正常的，按照“第一匹配原则”，执行原先已有的第一个规则也符合流量标准装置原理。清理冲突的规则并不是解决手动，而是有一些工具可以推动这项任务。

　　遵循一致的工作流程的要求实施对防火墙的改变。

　　防火墙规则，往往没有适当的记录。没有很好的记录文档，很难从商业的角度理清相关的规则都是由谁制定的。这使得对相关监管如PCI DSS的遵守变得更难，因为其自身很难证明规则是必需的。对于在这一连接中的流量，想要搞清楚谁拥有这些流量及其目的，无疑是相当大的挑战。

　　修复所需要的不仅仅是一个简单的工具。其要求企业定义业务过程，以便让防火墙的每一次操作都有着一套规范的工作流程以遵循。这工作将包括业主提交访问请求，相关责任人审查和批准请求，并最终防火墙管理员实际进行操作，而所有这一切都需要有系统的文件记录在案并符合相关的业务需要。为了方便未来的清理优化，相关的业务背景记录与防火墙管理员操作记录在案，可以让今天也知道谁在几年前提出了何种操作请求要求。

　　让应用程序开发者或开发团队与防火墙管理员多磨合。

　　通常往往是正在开发新的应用程序或配置新服务的人员要求改变现有防火墙的设置。像任何技术人员一样，这些人只是对自己领域的技术相当擅长，但对于防火墙管理员的技术术语却没有很好的理解，反之亦然。换句话说，可能需要多次的磨合才能找到一套恰到好处的新的防火墙规则，因为双方都没有精确的互相了解。

　　目前市场上已经有相当的工具，可以方便和简化这一技术沟通过程。应用程序开发人员可以使用一种语言，以更高层次，更抽象的语音，系统可以整合各种分析功能，将其转换成技术实现细节，方便防火墙管理员的手动操作或甚至指定为开发人员的应用程序的业务规则由系统自动实现。这无疑可以帮助消除或减少错误配置和节省时间，有利于应用程序的启动和运行。