下一代防火墙将通过集成入侵防御和应用与用户监控功能来提升网络安全性，但是它们也会带来新的管理挑战。由于传统防火墙充斥了大量废弃的规则，所以防火墙管理总是一个有挑战的工作。但是，在使用下一代防火墙管理技术之后，网络安全专业人员将需要维护更多的规则和策略。

　　斯坦福德Gartner公司研究副总裁Greg Young说：“防火墙规则总是到处泛滥，但是入侵防御和应用控制使问题更加复杂。现在正是使用下一代防火墙降低复杂性的时机，但是如果实施不当，则可能会适得其反。”

　　最近，Osterman Research代表安全与风险管理公司Skybox Security对209家企业进行了一次关于下一代防火墙管理的调查。在调查中，他们邀请网络安全人员列举下一代防火墙管理的三大挑战，其中包括：确认访问策略与网络分片策略是否正确实施(39%);维护入侵防御系统(IPS)签名(37%);以及优化防火墙规则集(36%)。

　　在有状态防火墙中，规则与策略的复杂性迫使网络安全管理员在防火墙管理方法中整合更多的业务逻辑。Skybox的CEO及创始人Gidi Cohen说：“下一代防火墙规则将控制哪些用户群组在哪个时间段可以访问Web应用或社交网络。不仅规则变得更加复杂，而且组织的安全策略逻辑也变得更加复杂。这是一个计划挑战、协调挑战，也是一个技术挑战。”

　　Young指出，网络安全人员需要抛弃“老派的”防火墙管理方法，转而采用下一代产品。例如，他说，改变对应用控制规则和策略的控制不可能像基于端口的传统规则一样。

　　在传统防火墙上，任何变更都需要发起一个变更请求。如果开发团队希望启动一个新应用程序，那么它会发送一个变更请求到防火墙上要求打开端口。这种细致方法不适用于下一代防火墙的应用监控。Young说：“要采用不同的方法。您可以批准特定类型的应用程序。您可以说：‘除了特定的情况，我们不允许使用任何点对点应用程序。’所以如果发现一个点对点应用程序，而防火墙管理员又希望批准这条规则，那么它应该以预先批准的方式进行处理。”

　　Skybox的调查证明，许多企业在管理下一代防火墙上的入侵防御签名时举步维艰。有86%的公司计划在他们的防火墙上使用IPS模块;他们中有65%处于在线防御模式。管理这些模块的IPS签名并不容易。只有54%的公司由供应商自动更新。三分之二的公司正尝试手动管理这些签名。

　　Gartner的Young说：“默认签名集只是一个入口。接着是优先值。例如，如果您没有Oracle数据库，则不要启用Oracle签名。相反，如果您有大量的Oracle流量，则确实需要进行优化和调优这些Oracle签名。”

　　根据Skybox全球销售副总裁Michelle Johnson Cobb的观点，有一些企业希望了解这些签名如何有效地阻挡威胁。她说：“他们是否真的阻挡住了原本我想要阻挡的威胁？有一些方法可以检验它是否真的有用。”

　　如果用户实施了大量潜在威胁的默认签名，那么它将会减慢流量传输速度。Cobb说：“所以，如果您的目标之一是保证最高性能，同时有效阻挡威胁，那么这里需要一种平衡。此外，事情总会发生变化。在网络中，每天都会出现新的漏洞或威胁。您可能要确定是否需要激活新的签名。”

　　SkyBox刚刚增加了对Palo Alto Networks的IPS功能支持，它可以分析签名，然后将它们映射到漏洞上。“您可以在一个控制面板显示哪些签名已激活，哪些漏洞被阻挡住，以及您可以打开哪些控制，从而得到更多的保护。”