下一代防火墻提供了很多新功能，但是如何將下一代防火墻添加到安全產品組件里面，這是個值得考慮的問題……

在信息安全界，下一代防火墻(Next-generation firewalls, NGFW)目前非常熱門。廠商都吵著要用新的增強型產品在企業內站穩腳跟，承諾新的產品可以給網絡安全帶來更強的智能意識。網絡專家認為在開展第一次下一代防火墻( NGFW)部署項目前應該先解決一些關鍵問題。這些問題包括部署技術的原理，確定可以受益最多的部署位置，適用于特定環境的性能。

從利基產品轉移到下一代防火墻(NFGW)

目前很多組織的安全環境中都涉及到不同技術的使用，且分別專注于安全策略中的一個特定組件。例如，網絡安全服務常常是以防火墻，入侵檢測和防御系統，網絡訪問控制以及數據丟失預防服務等形式出現。如果要讓企業在每個類別中選擇一個最合適的產品，如何管理和監控這些獨立系統對于企業而言又是一個挑戰。

下一代防火墻可以在單個設備上將許多不同的安全技術整合起來。網絡安全特性融合桌面安全，內容過濾和安全基礎設施的其它組成部分。這為網絡管理員提供了一個單一的管理界面來監管多個系統，更重要的是，可以讓這些功能共享威脅和資產信息。下一代防火墻(NGFW)的真正價值是其所提供的統一監控，為管理員提供了一個更為清晰的視野來了解企業網絡安全狀況。

將下一代防火墻部署到網絡中

當然，下一代防火墻的優勢也是有代價的。與其它技術相比，下一代防火墻的標價更高。網絡專家認為部署下一代防火墻之前應該慎重考慮部署位置，如何能讓下一代防火墻最大程度增強網絡安全性。例如，將下一代防火墻部署在組織邊界可能不會符合成本效益。相反，將下一代防火墻部署在內部網絡的關卡上可能產生最大的價值。

在大多數組織中，部署下一代防火墻的首要任務是要保護那些暴露在互聯網中的服務。允許公眾訪問的Web服務器，郵件服務器等設備面臨最大的攻擊風險，因此這些設備應該受到下一代防火墻最大的保護。由于這個原因，任何對外網絡(DMZ)都是下一代防火墻防護的最佳候選。

一旦保護好了對外網絡(DMZ)，就可以考慮轉向保護其它高價值的網段。有沒有一些特定類別的用戶面臨著更大的風險呢?抑或由于他們處理的數據類型或從事的活動面臨更大的安全風險?例如，一個包含信用卡POS終端的網段就是下一代防火墻技術部署的極好位置，當威脅(像BackOff這種感染POS的惡意軟件)來臨時就可以提供快速響應。

選擇下一代防火墻的性能

當挑選將要部署的下一代防火墻特定性能時，網絡和安全團隊應該合作。用一個保守的方法來挑選性能是比較適合的，有兩個原因。首先，負責網絡安全的管理員必須能熟練操作和監控新的性能。其次，許多功能都是單獨授權的，需要前期和持續的資金來維持。

最直接的方法就是選擇一個能提供所有你所希望部署的服務的下一代防火墻平臺，但是只購買那些要立即使用的服務的授權。推出一套能緊密匹配目前你所擁有的利基產品的服務，然后慢慢妥善過渡到下一代防火墻。一旦一切都在掌握中，就可以開始考慮部署新的功能之一，直到慢慢達到你期望的最終狀態。

下一代防火墻對于提供網絡和安全團隊的效率和效益有著巨大潛力。組織應該謹慎地選擇下一代防火墻策略，將其部署在可以實現最大價值的位置，并精心部署一組能平衡安全需求與運營要求的服務。