三年前，當Jim Lepine成為交易審計公司PRGX Global Inc.的信息安全副總裁時，他發現原來部署在企業中的老Cisco PIX防火墻被塞滿了成千上萬不必要的規則并且缺乏統一的防火墻變更管理流程。并且,他對PRGX防火墻沒有直接的所有權，而由網絡服務團隊負責。

防火墻管理的復雜性是很平常的。許多網絡工程師喜歡手工或親自進行防火墻管理,但隨著時間的推移,這種方法有很多不便。沒有自動化和分析功能的防火墻管理軟件無法找出數以千計的規則和錯誤配置，可能會變成一種黑色幽默，網絡安全高級管理人員產生挫敗感。

“所以當涉及到這些錯誤時，我首先問的是‘我們如何管理這些設備的變更?’管理人員空洞的目光基本就告訴了我想知道的一切,”Lepine說。

為了讓防火墻基礎架構整合到所有的安全操作上，以及幫助組織完成從Cisco防火墻到Juniper Network SRX網關的困難遷移，Lepine需要保證防火墻管理軟件可以讓安全團隊和網絡團隊都能使用。他還從AlgoSec那購買了防火墻管理軟件，一種專門的防火墻變更與配置管理技術，AlgoSec也有很強的防火墻分析能力，能分析出影響網絡安全和網絡性能的是哪些防火墻規則和配置。

防火墻管理軟件揭露出潛在的防火墻規則

AlgoSec產品能讓Lepine與網絡工程師們快速了解PIX防火墻，他們還發現手動的防火墻管理太過于復雜。在一臺PIX 535中，Lepine說他們就發現了3000條防火墻規則。

Lepine說：“這是非常可怕的，而且其中的2000條都還是掩蓋著的。這種PIX防火墻可能有10年之久了，并且這些設置的規則已經徹底失去控制了。沒有人能處理，Cisco的人習慣用命令行模式做事。”

通過使用命令行，工程師們掩蓋了數以千計的規則, Lepine說。每一次公司業務需要網絡團隊打開防火墻的一個端口時,工程師們就得在命令行接口篩選成百上千的規則。隨著時間的推移,當工程師們在處理一個更改請求時，就沒有時間去檢查龐大的規則了。

“幾年后，網絡團隊就會不考慮已存在的規則集說:‘好的,我會定義這個對象,打開這個端口以及通信路徑,’。先前那些規則到結束都未被使用過，因為另外一個規則在事情發生前已被觸發了，”他說。

AlgoSec軟件能分析這個設備上的3000條規則，然后確定其中的2000條是多余的。Lepine在企業其他PIX設備上也運行了相同的防火墻審計規則。

他說：“因此，我們可以用AlgoSec軟件做個快速評估分析，然后它會報告哪些規則從未使用過，只是防火墻上無用的毀壞的資源。”