怎样打理新一代防火墙规则使它风险小？

1. 清除技术性错误

下一代防火墙策略中的技术性错误指无效或不正确的规则，或者说不服务于业务需求的那些(比如：隐藏规则、影子规则、冗余规则和重合规则)。

2. 去掉未使用的访问规则

规则库中或许会存在一些兼容并提供(或阻止)正确访问权限的规则，但这些规则就是没有被用到。确定规则使用情况的好方法，是将活跃策略行为与长期网络流量模式相关联。

3. 精炼过于宽松的规则

定义不良的业务需求，结合上严格紧迫的截止期限，往往催生出超过业务所需的宽泛权限规则——比如包含“任意”字眼的那些规则。

4. 持续监视策略

持续监视你的策略，以避免再次搞乱你好不容易理清的新一代防火墙规则，维持一个更好的安全及合规态势。

公司企业为防火墙设立的任何规则及策略，通常会被镜像到其环境中的其他安全产品里。普通网络里会有80-90个终端解决方案在桌面层级、服务器层级和网络层级保护企业的安全。

下一代防火墙迭代可以整合某些终端解决方案，某种程度上帮助对抗愈趋复杂的威胁态势，但新的威胁层出不穷，企业环境也在不断发展变化，进化不会终止。同时，一些新的风险领域，比如某些云环境或软件即服务(SaaS)应用，甚至都不在安全团队控制之下，而是其他部门在管理。

事实上，复杂性的问题正变得越来越严峻。随着环境中复杂度的不断增加，出错的概率也在增加——人为错误、配置错误。因为复杂度趋于增长，基础设施中的各种问题也在发酵、成熟。

通过意图管理安全，也就是基于总体原则来创建具体防火墙规则和安全配置，应该能解决这一问题，但技术尚未走到这一步。几乎没有公司敢拍胸脯说“我的安全策略是安全实现的真实反映”。