随着互联网技术的不断发展，企业网络的规模越来越大，防火墙作为网络的安全屏障，被大量的使用。防火墙数量的增加以及防火墙中安全策略条目的增加，安全工程师的运维工作量成倍的增长，应用交付往往要求防火墙策略能快速设置。用传统的人工方式运维大量的防火墙策略已经变得非常困难。安全运维如何通过自动化方式，在防火墙数量达到几十台，策略条目庞大、多品牌的情况下，对防火墙策略进行集中式统一化的管理，提升用户查询、申请策略体验，优化申批流程，系统自动化配置防火墙策略，提升安全工程师效率的同时降低人工出错概率。

防火墙运维之痛，我们在建设基础的安全架构的时候，通常有两种选择，一种是单一品牌的防火墙，或者选择多品牌的防火墙的架构。企业网使用多品牌防火墙是一种普遍情况。比如银行业有防火墙异构的合规要求，一些金融企业也会参照这个标准。不同品牌的防火墙提供不同的功能特性。比如在OA出口，你想看到并拦截应用层的安全威胁，也可能需要实现基于用户身份的访问控制。就会选择NGFW，数据中心可能会选大吞吐量的墙来满足数据转发的需求。不同时期、商务因素等这样一些原因，导致我们使用了不同品牌的防火墙来满足安全隔离的要求。

防火墙运维的第二个痛点来自于数量的增加，随着互联网技术的不断发展，企业网络的规模越来越大，防火墙作为网络的安全屏障在广泛使用，其数量也在相应的增加。一些较大规模互联网公司或企业典型的防火墙部署体现了边界防护、重要业务系统隔离保护、办公与生产隔离的一些基本的保护需求，使用几台到几十台防火墙的企业有很多，面对这么多防火墙，要把它管理好，难度是很大的。有些厂商就说了，你可以使用我们的防火墙集中管理系统帮助降低运维复杂度，当告诉他我们有好几个品牌的墙，对不起，他的系统管不了。只能管自家的墙。在这种多品牌，多数量的情况下，防火墙系统的运维难度和挑战将变得非常的大。

前面说了多品牌、多数量带来的运维挑战，现在看看运维层面实际遇到的问题：用户经常会提出这样的问题，我访问某个资源不通，是不是被墙拦截了？访问lab 环境有没有墙呀？上午提的申请为什么中午还是不通呀，测试访问生产是违规的，需要特别审批，找谁去审批呢？而防火墙安全工程师要一遍遍解答用户的疑问，不断与用户沟通。同时要人工审核策略需求，编写防火墙配置工艺，在变更窗口登录到防火墙设备下发配置，不断重复这个过程。

我们都知道，人工处理的速度慢是一个显著的缺点，互联网企业业务需求变化快就要求防火墙策略能够随需而变快速部署。在这种情况下，低效的工作已经不能满足实际的业务要求。

为了实现透明、规范、自动化、高效的防火墙运维目标，因此企业有必要构建防火墙自动化运维管理系统，透明指对用户更透明，体现在用户可以自助查询是否受防火墙阻挡。容易发起策略申请并知晓什么时间可以开通。规范指对策略制定统一标准，虽然不同品牌的墙，但是配置是一致的。自动化是指，如果系统能够帮我们做的事情就交给系统，不要浪费人力，全交给系统去做。自动化必然会带来一个效率的提升。

FireMon是全球领先的防火墙安全策略管理及网络风险分析解决方案提供商，其Security Manager产品能够协助客户管理防火墙上配置、发现防火墙配置中的问题、分析当前策略使用状况、安全域互访合规性审计、自定义安全规范审计等。而在防火墙策略变更时，Firemon的策略流程规划模块Policy Planner可大大帮助客户简化该过程，提高变更的准确性。FireMon Security Manager可以协助管理员优化防火墙的安全策略，了解当前防火墙策略的使用状况，良好的全图形化界面将提升管理员对安全策略的可视性，这将大大提高管理员针对防火墙的安全管理效率。防火墙的管理将变得简单、容易。拓扑计算，策略查询和策略工艺生成，一套流程，解决了用户一条龙的服务，它们共同构成了防火墙自动化运维系统的核心，通过这套系统的自动化方式，能帮助用户轻松运维几十台防火墙，在不断提高工作效益的同时，也降低了人工出现差错的概率。