隨著企業越來越多地將下一代防火墻整合到其安全部署中，他們將能夠更精準地控制應用程序和用戶行為，但同時，這也提高了錯誤配置和變更管理事故的可能性。并且，如果防火墻管理本身已經是傳統防火墻組合中的一個問題的話，這將進一步增加復雜性。

RedSeal Networks公司首席技術官Mike Lloyd表示，“在最早防火墻推出以來，就存在這些問題：運維很復雜，因為其規則是技術性的，很容易帶來混亂，‘下一代防火墻’同樣也存在這些問題。”

Lloyd指出，每種額外的安全控制都會增加復雜性，在高級防火墻領域也是這樣。防火墻使用的基礎設施本身就很復雜，并且同時在很多層面運作。額外的一層(例如應用層)對于某些目的而言是好的，但并不會消除其他層的工作。

根據今年早些時候，防火墻管理公司AlgoSec對175名防火墻管理員進行的調查顯示，56%的受訪者稱管理下一代防火墻比管理傳統防火墻需要更多精力。AlgoSec公司市場營銷主管Sam Erdheim表示，這主要歸結為兩方面的問題，首先是弄清楚與傳統防火墻規則政策相比，下一代防火墻規則政策有什么不同。

第二個問題是如何將這些新政策的管理整合到網絡環境中(傳統防火墻仍然會留在環境中)，以及如何在不需要重寫防火墻管理方式的情況下，來實現這一目的。

Skybox Security公司首席執行官Gidi Cohen表示，“下一代防火墻的配置包括定義流量如何流動的新思路，但仍然要以傳統的方式來表達，因此，企業需要經歷一個漫長的過渡過程，他們需要定義新的企業政策，而這通常是一個漫長而具有挑戰性的過程。在未來幾年，傳統防火墻和下一代防火墻仍然要并肩作戰，因此，企業還需要思考如何對它們雙管齊下。”

RedSeal、AlgoSec、Skybox Security和FireMon等防火墻管理公司已經將針對下一代產品的管理功能加入了其功能集，但根據Erdheim和FireMon公司總裁首席技術官Jody Brazil表示，企業首先必須教育他們的員工，并對用于下一代環境中的過程和政策進行調整，而這將不可避免地需要范式轉變。

Brazil解釋說，下一代防火墻將會帶來一些防火墻管理員最初沒有預想到的獨特的問題。例如，下一代防火墻創建了一個簡單的規則，來允許用戶訪問Facebook，這個規則其實并不那么簡單。防火墻本身并不會識別Facebook等web應用，直到用戶已經訪問到、連接到以及驗證到該應用。在此之前，它看起來就像是標準的HTTP。

他表示，“在你的政策的某處，你必須允許通過標準web流量或80端口訪問到互聯網;否則允許訪問到Facebook的規則將失效，現在，這些關系必須共存，如果不行的話，訪問將不被允許。這是一個非常簡單的例子，如果管理員不能解決這個問題，將會帶來很多麻煩。”

這可能不只是簡單地管理端口80，企業可能實際需要管理1500以上個應用程序。另外，當企業開始實現下一代防火墻和Active Directory之間的緊密集成時，也會增加復雜性。Brazil表示，““防火墻團隊和AD團隊很少交流，因為他們從來沒有這樣的需要，也沒用理由，現在，突然之間，Active Directory管理員的日常生活開始影響防火墻管理員的行為，而后者可能還不知道。”

這是因為很多這些防火墻的策略都捆綁到AD團隊，這些策略的變化都會影響到AD團隊。這個過程很容易導致AD團隊抱怨防火墻阻止訪問，盡管防火墻管理員這邊從來沒有進行更改。

Palo Alto Networks公司高級研究分析師Matt Keil表示，這就是為什么企業在部署下一代防火墻時需要多方協調和調整的原因。“我們給企業的建議是，先進行規劃，然后有條理地進行部署。”

Keil表示，這種過渡是一個很好的機會，來加強安全團隊和商業團隊之間的合作。他認為，這主要涉及三個步驟。首先，企業需要盤點和研究網絡上已有的應用程序，它們的用戶是誰，以及這些應用程序的潛在風險。第二個步驟是，與業務團隊會面，商討這些應用程序的業務需求，以及IT確定的風險，從而通過明確的蒸菜，來平衡業務需求和安全風險。第三步就是歸檔。

Keil表示，“歸檔協商后的政策，對所有用戶進行培訓，執行政策，并定期審查有關政策，當有新應用時，更新政策。”當企業為未來管理制定政策時，他們必須牢記，盡管傳統防火墻和下一代防火墻有所不同，無論使用的是哪種防火墻，糟糕的管理和審計習慣都會讓企業陷入風險之中。

Lloyd表示，“主要需要避免的錯誤是復制不好的習慣規則。如果你一直是逐條審計規則，這是一個糟糕的辦法，事實上，這可能會阻止你部署新的技術，如果審計過于嚴格，你就喪失了應對新威脅的能力。”