Почему компании, купив L7 firewall, настраивают правила L4

В то время как я писал статью про разницу L4 и L7 правил, я еще не думал, что реально, покупая NGFW компания по сути покупает еще 

- обучение сотрудников

- внедрение новых процессов

Оказалось, что те два сотрудника (которых как правило отправляют на обучение по NGFW после покупки) никак не влияют на всех сотрудников компании. Они начинают жить в своем L7 мире, а все другие сотрудники остаются жить с обычными L4 вендорами. Происходит разрыв шаблона. 

Для 99% ИТ сотрудников является нормальным открыть наружу в Интернет порт 80. А для обученных в инновационных компаниях двух сотрудников это дико - ведь по 80 порту ходит 1332 разных приложения и какое реально L7 приложение они должны пропустить по этому порту? L4 люди забывают сказать, потому что они просто не в курсе, что приложений много, а не только браузер. Вы как думаете? Вот что можно разрешить на порту 80, если поискать по протоколу tcp и порту 80 в базе приложений NGFW:

Соответственно, идеология L4 отражается в HelpDesk системах: они содержат просьбы открыть им только порты, без объяснения, что за приложения реально нужны. 

А если нужно открыть более сложные приложения, например в DMZ, то я просто в ужасе что же пишут в запрос (тикет) cлужбы поддержки. В ужасе, потому что догадываюсь!

И этот тренд 2019 года продолжают сам вендора которыми мы пользуемся. Если читать их документацию, то они пишут про что? Про L4 правила! Например, если нужно открыть Microsoft Skype For Business, существует только документация портовая у компании Микрософт! Здрасьте, приплыли!

Вот что по мнению Микрософт  должен сделать владелец L4 Firewall: