一位工程師的後知後覺實錄
防火牆換機完成的那一刻,我的心情大概是這樣的:
✅ 線都插好了
✅ Policy 都過了
✅ HA 測過、斷線也 OK
✅ 老闆一句:「很好,辛苦了」
我以為,事情結束了。
結果沒有,事情只是正式開始而已。
一、換機那天,是工程師的高光時刻
管理那天,是工程師的修羅場
換 Palo Alto 的那幾天,我的人生巔峰值爆表。
晚上切流量、凌晨測災難、早上寫驗收報告,
每一次 Ping 通、每一個 Log 出來,我都覺得自己像資安界的外科醫生。
但換機完成後的第三天,我第一次接到電話:
「欸,我們有個新系統,要幫忙開個 Port。」
那一刻我才發現:
防火牆不是設備,是一扇「永遠有人要敲的門」。
二、防火牆管理的第一課:
「沒出事」不是 KPI
剛換好設備時,我心裡其實有一點驕傲。
因為——
✔ 沒有人抱怨網路慢
✔ 沒有人反應連不上
✔ 沒有任何資安事故
於是我默默覺得:
「我管理得不錯吧?」
直到有一天老闆問我一句:
「這台防火牆一年花這麼多錢,它現在在幫公司做什麼?」
我愣住了。
因為我腦中唯一的答案是:
「它現在…沒有出事。」
這一刻我才懂,
管理不是讓事情沒發生,而是要「說得出它每天在做什麼」。
三、管理的第一個地獄:
開 Port 永遠不是技術問題
身為工程師,我一直以為開 Port 是技術問題。
直到我真的開始「管理」這台防火牆。
-
業務:「客戶說一定要開,不然合約簽不下來」
-
系統商:「我們文件寫得很清楚,Port 不開不能用」
-
主管:「先開再說,之後再補文件」
我坐在防火牆前面,看著那個「Add Rule」的按鈕,
內心的小劇場是:
「我現在開的不是 Port,是未來某天的責任。」
於是我第一次開始學會問問題:
-
這個 Port 是誰要的?
-
開多久?
-
有沒有替代方案?
-
出事算誰的?
管理的本質,不是設定,而是留下證據。
四、權限管理:
為什麼不能「大家都 Admin」?
換機初期,我也曾天真地想:
「反正大家都是工程師,Admin 給一給比較快。」
直到某一天,我看到一條 Rule 被改了,
但沒有人承認是誰改的。
那一刻我才明白:
不是工程師不可靠,是人性太可靠地會出錯。
後來我開始切角色:
-
Viewer:只能看
-
Operator:能操作不能改 Policy
-
Admin:少數中的少數
這不是不信任同事,
而是替未來的自己保命。
五、驗收完成 ≠ 管理完成
當初寫驗收報告時,我寫得非常漂亮:
-
HA 切換秒數
-
Threat Blocking 成功率
-
Log 正常產出
但真正進入管理期後,我才發現:
-
Policy 會一直長
-
Log 會多到沒人看
-
例外規則會慢慢變成「永久特例」
防火牆如果沒有定期 Review,
最後一定會變成一台:
「沒人敢動,但也沒人真正懂的設備。」
六、工程師轉管理,最痛的不是技術
是「要說人話」
管理防火牆後,我最大的改變不是設定能力,
而是解釋能力。
我要能跟老闆說:
-
為什麼這條 Rule 不能隨便開
-
為什麼授權一定要續
-
為什麼「先開再說」其實風險很高
當工程師開始能用「風險」、「影響」、「責任」來講防火牆,
你才真的進入管理層次。
七、我學到最重要的一件事
現在回頭看,
Palo Alto 換機那天,只是一個「技術完成日」。
真正的起點是:
-
第一次拒絕不合理需求
-
第一次要求留下變更紀錄
-
第一次用報表回答老闆
防火牆不會自己變亂,是管理讓它變亂的。
結語:
換機結束時,工程師下班了
管理開始時,責任才上線
如果你也剛完成 Palo Alto 換機,
恭喜你,第一關已經過了。
但請記住:
設備是一次性專案,管理是無限期合約。
而我們工程師,
就是那個不小心簽了「終身維運條款」的人。
(還不能拒簽。)
沒有留言:
張貼留言