Em geral eu recomendo que uma empresa identifique um produto complementar de administração de firewall quando ao menos uma das condições abaixo existe:
- Há muitos firewalls não isolados em funcionamento. Por não isolados quero dizer dispositivos que protegem diferentes segmentos da mesma rede, e portanto um usuário ou grupo pode ter acesso via mais do que um deles. É como se a empresa tivesse uma única e grande política distribuída entre diversos equipamentos;
- Há firewalls de diferentes fabricantes em operação, situação comum em fusões ou aquisições (sem contar é claro empresas de datacenter e gerenciamento de segurança, para os quais tais sistemas é quase um requerimento);
- Quando a política de segurança implementada é muito extensa e granular, fazendo com que mudanças de regras seja sempre uma tarefa complexa. Nesses ambientes encontramos facilmente regras conflitantes e muitas já inúteis, cujo único efeito prático é aumentar a carga de processamento do equipamento.
- Existe a necessidade se aderir a normas regulatórias que implicam em adequações nas regras de acesso a sistemas ou segmentos de rede.