《企業網D1Net》1月12日訊

對于企業而言，若想保證企業開展的安全性，部署NGFW無疑是最好的選擇，NGFW對于企業的重要性非同一般，署NGFW對于企業用戶來說最大價值體現在可以保證企業關鍵業務系統穩定、安全、可管理。企業用戶在進行產品選型時也要結合這三方面來進行產品的選型。

1、穩定特性

對于企業用戶NGFW設備的穩定性是需要首要考慮的，選型方面要充分考慮產品自身架構的穩定。例如是否采用專用的操作系統，是否通過國際認可的EAL4+ 認證(國際上認可的最高等級的穩定安全方面的認證)。

在產品功能上也需要具備能夠滿足穩定要求功能，例如是否采用自己的專利集群技術;是否可以支持全Active部署;是否可以支持不同軟件版本不同型號的產品的集群。由于NGFW產品需要部署在網絡邊界直接連接不同的鏈路類型，如3G 專線ADSL，因此要求NGFW需要內置鏈路負載均衡的技術，保證鏈路的穩定。在多分支機構VPN互連的架構里，要能夠確保在某條鏈路失效的情況下，業務數據通信要能夠平滑遷移到其它鏈路上來，保證業務絕對不會中斷。

2、安全特性

面對不斷出現新的安全威脅，NGFW要能夠對這些威脅實現主動地防御。這需要用戶在選擇NGFW時候要考慮NGFW產品深度檢測技術的能力，可以參考第三方機構的報告。 目前比較權威的是NSSLabs，每年對NGFW都會有綜合性的測評，包括近三年的攻擊防護率測試/在采用默認策略防護率測試/攻擊環境下設備穩定性測試/高級逃逸攻擊測試。

一定要考慮NGFW對于高級逃逸技術的防護能力，多數用戶都使用IPS、UTM或防火墻來防護關鍵業務系統和敏感數據。逃逸技術，就是以穿透這類安全設備為目的的黑客技術。逃逸技術很古老，防范手段也很簡單，我們市場上現有的所有安全品牌，對這些傳統的逃逸都有很好的防御能力。但是與其他攻擊不同的是，逃逸技術可以進行一系列變種和組合，組合之后的變化會達到上億種，遠遠大于任何廠家的特征庫數量，所以對于傳統的安全設備根本不可能檢測和攔截這類的攻擊，高級逃逸技術對于客戶數據安全的威脅是明顯的。它有兩個最致命特點：一是現有的網絡安全設備對其完全無法檢測，不起作用；二是用戶被高級逃逸攻擊后，在安全設備上是不留任何日志的，也就是用戶不會知道自己丟了資料，所謂亡羊補牢都難以實現。

3、可管理

NGFW必須具備下一代集中管理平臺，集中管理平臺可以作為安全信息和事件管理平臺(SIEM)，管理平臺同時還要能夠實現對NGFW智能監控和日志的關聯分析。

下一代防火墻趨勢展望

企業員工的移動性、數據中心的虛擬化以及云計算已經是大勢所趨，這些趨勢會逐漸導致企業對IT系統喪失控制權，NGFW技術發展可以幫助企業解決所面臨的這些問題。劉權峰講到，其中需要注意的是NGFW的未來發展一定不再是基于靜態的產品和模型，取而代之的是基于軟件的動態的產品架構，需要具有動態的，自適應的和不斷演化的特性。NGFW的產品發展不應該像瑞士軍刀一樣的產品，不應該是安全功能的簡單疊加， 拼湊，堆疊。這種松散的安全架構不是真正意義上的下一代安全產品。

D1Net評論：

每個企業對安全的需求特征不同，對NGFW產品的定義和選擇也就不同，有些企業看重NGFW產品的穩定性，有些企業看重安全性，但無論怎樣，選擇下一代安全產品一定要遵循N-Line理論，也就是說NGFW的發展需要同時滿足高性能，統一安全引擎軟件，支持高級逃逸技術防護，支持上下文感知，支持虛擬化環境部署，支持更簡單快速的配置同時需要經濟性，保護用戶投資。