防火墻規則永遠不會消亡，它們只是存在一些漏洞，但其復雜度將繼續提升。現在，下一代應用程序意識的防火墻可能讓事情變得更加復雜，因為這些防火墻需要維護數百甚至成千上萬的應用程序簽名。

防火墻規則膨脹：從何而來？

在大型企業中，有專門負責防火墻的安全工作人員，他們將全部時間都花在編寫和測試防火墻規則上。他們的職位之所以存在，是因為他們的企業擁有龐大而復雜的防火墻裝置，這些防火墻要與多個隔離區（DMZ）、數量不固定的應用程序以及幾十個合作伙伴企業相協調。

這些防火墻專家這樣做，可以使企業阻斷某種流量類型，或者選擇性地允許這種流量在特定外部或內部實體內傳輸。他們努力的最終結果是將形成一個龐大而復雜的規則集，這使管理變得更加困難。

糟糕的是隨著規則集的增加，性能將會受到影響。規則列表是從上到下進行解析的，規則集越長，處理延遲就更長。并且，它們還將消耗更多的設備內存，損壞性能，提高對設備的處理和功能要求。同時，這種增加的復雜性還是經濟和安全兩方面的敵人，因為這意味著需要更多的變通方案，存在更多的錯誤。

讓事情更糟糕的是，應用程序簽名膨脹

一些安全主管沒有選擇將這種應用程序和用戶意識的下一代防火墻添加到現有防火墻中，這樣他們從可以一切從零開始。他們沒有將防火墻規則從4層設備移植到另一個設備，而是安裝一個4到7層設備，然后從頭開始。

然而，即使是從零開始，下一代防火墻也不可能避免膨脹問題。因為這一次，應用程序簽名造成新的膨脹。每個供應商的防火墻都能夠正確識別幾百個應用程序。更重要的是，IT企業會為內部、定制化或新應用程序添加更多資料信息。在未來幾年，隨著平臺即服務（PaaS）的普及，軟件即服務（SaaS）的持續爆炸，以及企業移動設備和移動應用程序的快速發展，所有這三種類型的應用程序都會變得越來越重要。

處理防火墻應用程序簽名膨脹的步驟

IT不應該不刪除過時的舊簽名繼續不斷增加新簽名，他們需要建立強大的流程來管理這些簽名集。如果供應商自身的簽名文件易于模塊化處理，將會對IT很有幫助。這樣的話，IT只需要將實際需要的規則加入循環中即可，還能夠減小供應商自身簽名文件膨脹的影響。

第一步是設置簽名老化時間，這樣每個規則都將標注其創建時間以及所有者。第二步是制定一個定期重新評估周期。如果開發人員開發了一個新應用程序，隨后這個應用程序被商業產品所取代，IT在接下來的一年必須規定一個時間對規則進行審查以刪除舊簽名。另一方面，規則的所有者應被給予發言權，為其自身辯護或者取消對簽名的刪除。

底線是，如果在這個全新的下一代防火墻世界，IT未能保持簽名集的干凈和整潔，它至少應該要能夠阻止膨脹。每個規則在被需要時，都有其獨特的用處和必要的功能，但是當不需要時，它只是一個負擔。引用英國作家Arthur Quiller-Couch的話說，必須忍痛殺掉一些心肝寶貝（“Kill your darlings ”）。