您可以考虑使用第三方防火墙评估工具的结果来增强说服力。

Nipper 相对便宜且有效：http ://www.titania.co.uk/index.php?option=com_content&view=article&id=48&Itemid=59

Nipper [...] 对您自己的网络交换机、路由器和防火墙进行全面的安全审计，无需任何专业的安全专业知识。

还有其他几种防火墙评估工具，但它们很快就会变得昂贵。

在 Internet 安全中心查看可用的基准测试模板。例如： http
://www.cisecurity.org/tools2/cisco/CIS_Cisco_Firewall_Benchmark_v2.0.pdf 大量出色的信息和副本，为您撰写报告做好准备。

注意：Nessus 在 Nessus 审计文件中编码了许多 CIS 模板，因此您可以快速运行 Nessus 扫描以将设备配置与 CIS 基准进行比较。

我从来没有觉得我需要通过呼吁“更高的权力”来使我对防火墙的评论合法化。虽然我有一些客户回复说，“告诉我哪里说我不能在用于网络广播演示的共享笔记本电脑上安装电汇应用程序，”防火墙更容易证明是合理的。规则是：任何不是合法需要的都是风险，您为减轻这种风险而增加的费用可以忽略不计，因为您所做的只是向现有防火墙系统添加规则。你做这件事的成本低于你和我争论的成本；）

在任何情况下，意外流量要么是错误配置，要么是妥协。如果我需要在没有该主体的情况下自行证明每条规则的合理性，那么您（作为我的客户）为什么首先要有防火墙？

我开始认为我会在人们心中根深蒂固，他们应该从 Fort Knox 系统开始，剥去对利益而言过于昂贵的东西，而不是从一片草开始，然后按照他们认为合适的方式建造墙壁。当我开始时，我会引用这个问题（你会得到+1）。

我一直试图说服人们使用的一种方法，因为它有大量安全指南和出版物的支持，是从没有漏洞的防火墙开始，让企业证明每个端口的合理性。

他们的理由应该是“对于应用程序 x，我们需要从源端口 y 到目标端口 z 的连接”，并且可能包括审查日期、测试用例等。安全性应告知他们高风险端口的含义，并且不允许他们请求“任何任何允许”类型的规则。

然后，这会使您的工作变得更加容易，因为您随后会根据业务所需端口列表查看防火墙。在提供并签署业务理由之前，应阻止任何额外的漏洞。