全球化是今天大多數公司的新常態，但也帶來了一些嚴重問題，尤其是涉及到管理大范圍分布式網絡中的防火墻資產的時候。

總部設在美國的典型跨國公司，可能在全球數十個國家設有辦事處和數據中心。即便公司采取積極主動的結構化邏輯化方法實現網絡安全，每個數據中心都有防火墻保護，所有這些防火墻也必須能協同工作，讓網絡流量能在國際網絡和數據中心間安全傳輸。那該怎樣管理呢?有3個關鍵問題需要考慮。

問題1：時間問題

任何環境下，防火墻管理核心元素之一，都是配置，尤其是變更控制過程，即應用程序網絡連接更新或修改時更新防火墻規則。

然而，在全球性網絡中，分布多國的應用程序需要通信和共享信息，這就讓問題變得更加復雜了?？梢韵胂褚粋€常見景象：一家公司在其全球網絡中部署了一個新應用，因而需要在多個國家實現防火墻策略修改。策略修改本身很容易實現，但問題來了——到底什么時間點上干這事兒呢?

很多大型企業，策略修改都被限制在特定變更控制窗口時間內，目的是為了緩解核心應用運營停機或配置錯誤的風險。因此，防火墻策略修改通常選擇在夜間或周末完成，避開高風險時段。在對于全球化公司，運營橫跨多個時區，高風險時段各國不同。而且，日歷上的高流量時段也各不相同，圣誕節前夕對西歐和美國零售商最為關鍵，春節則是亞洲零售商最為重視的階段。

所以，公司企業面臨取舍選擇。他們可以按網絡中最重要節點位置的方便，設置一個通用的變更控制窗口時間，然后希望其他地方設法配合。這是一種快速方便卻危險的方式?；蛘?，他們可以在不同的國家設置不同的變更控制窗口，盡力協調零散的防火墻修改過程。因為合法流量在變更全部完成之前基本是被阻在半途的，這種做法不太可能在變更過程中途引起安全問題——但封鎖不同地點之間的相互通信明顯會造成嚴重的運營問題。該變更管理過程，要求公司網絡運營和應用程序部署團隊之間，要有細致縝密的協同。

最后，時間問題沒有簡單的答案。公司需要衡量兩種方法的利弊，選擇最適合的途徑。

問題2：符合法律規定

在多個國家運營多個數據中心的另一個方面，就是多個司法管轄區問題。不同的國家在地區管理和信息流動上適用的法律不同;比如說，瑞士，就要求銀行信息不得流出瑞士國境，而澳大利亞政府，則不允許政府或聯邦信息離境。

這些法律，對跨國企業數據中心管理有著重大技術性影響，無論是在實地還是在云端。信息必須依據當地監管要求進行分離、儲存和保護，通常會需要IT團隊來處理這些事務。技術上講，所有這些必要的分割都可以遠程實現，甚至外包給服務提供商，但這依然是公司的一大負擔——尤其是在公司遷移到云基礎設施的時候，因為他們會特別擔心法律合規的影響。

如果，最近的8100萬美元SWIFT電匯欺詐案后，孟加拉央行決定正式起訴，那我們有可能真切看到法律合規問題的真實上演。他們該向哪個警方上訴?國際刑警組織能幫上忙嗎?即使他們查出了罪犯身份，誰來逮捕?誰來提請引渡?

這些問題也沒有唾手可得的答案。最終，公司企業需要自己擔負起理解每一個數據存儲傳輸國適用的數據保護法規的責任，而且還得將這些合規條文翻譯成合適的技術性、法律性合規相關動作供其IT安全策略和業務部門參照執行。

問題3：還有誰?

當公司企業授權外部公司訪問其網絡時，局面會變得更加復雜。這個時候，有必要強調，這些外部公司也是公司企業信息安全和合規態勢的一部分。最小化此類外部連接的風險，依賴于實現審慎的網絡分段和采用額外控制措施，比如Web應用防火墻、數據泄露預防、入侵檢測等。

進而，在某個時間點上，公司企業將不得不對外部連接做出調整，無論是因為自身或對方IT團隊的既定維護工作，還是因為計劃外停機的結果。由于可能需要與公司外人員的協調和調整現有工作流，同時還要遵守合同性或服務水平協議(SLA)責任，處理會影響到外部連接的變更，就比處理內部維護要復雜得多。作為該過程的一部分，公司企業需要確保他們的信息系統允許IT團隊識別外部連接，并提供合同相關技術信息的訪問，同時還要支持修改過的工作流。

最后，公司企業應該確保與第三方公司簽訂有覆蓋所有外部連接相關的技術、業務和法律事務的合約。

要管理全球性網絡基礎設施，擁有防火墻管控全球網絡流量方式的完整實時可見性和控制力，比以往任何時候都來得重要，無論你是想最大化安全與合規，還是想最小化宕機時間。