如果在過(guò)去的十年中要說(shuō)有什么網(wǎng)絡(luò)安全設(shè)備發(fā)生了顯著變化的話，那必須是防火墻。防火墻曾經(jīng)只是可信和不可信網(wǎng)絡(luò)之間簡(jiǎn)單的訪問(wèn)入口控制，現(xiàn)在已經(jīng)演變成一個(gè)多方位、多層次的威脅管理系統(tǒng)。

今天的下一代防火墻是企業(yè)網(wǎng)絡(luò)安全策略的關(guān)鍵。然而，并非所有NGFW都是相同的。雖然每一個(gè)廠商的NGFW都有一些顯著的功能和優(yōu)勢(shì)，但企業(yè)在購(gòu)買時(shí)需要根據(jù)自身網(wǎng)絡(luò)安全需求，了解并評(píng)估它們之間的差異。

對(duì)于大多數(shù)人來(lái)說(shuō)，新的NGFW可能會(huì)取代網(wǎng)絡(luò)環(huán)境中已建立了的傳統(tǒng)防火墻或老化了的NGFW。如果是這樣的話，我們的最終決定可能會(huì)被以下這些因素影響：比如有沒(méi)有其他硬件需要被替換掉;新的防火墻需要和什么其他網(wǎng)絡(luò)組件一起工作;怎樣對(duì)新NGFW進(jìn)行管理……

另一些會(huì)影響你決策的重要因素是，企業(yè)網(wǎng)絡(luò)上運(yùn)行著的關(guān)鍵應(yīng)用，以及網(wǎng)絡(luò)使用的安全策略和戰(zhàn)術(shù)。其實(shí)，如果企業(yè)對(duì)NGFW的類型有不同需求，那每個(gè)NGFW廠商都會(huì)有相應(yīng)的長(zhǎng)處和短處。例如，一個(gè)NGFW供應(yīng)商可能具有業(yè)界領(lǐng)先的IPS功能集，但它可能沒(méi)有可以抵御零日攻擊得強(qiáng)大的惡意軟件防護(hù)功能。正因?yàn)槿绱耍夹g(shù)決策者需要優(yōu)先考慮哪些功能是企業(yè)最需要的，才能去選擇一款最適合的產(chǎn)品。

最后，我們必須看投資的長(zhǎng)期可擴(kuò)展性和可保障性。企業(yè)級(jí)NGFWs并不便宜，了解當(dāng)前投資方面供應(yīng)商向外擴(kuò)展的路線圖，并試圖與他們對(duì)齊，對(duì)選擇合適的產(chǎn)品也是很重要的。

　　下面這七個(gè)因素，是企業(yè)在選擇部署下一代防火墻的時(shí)候需要去考慮的。

1、性能

當(dāng)涉及到下一代防火墻，就意味著必須在威脅防護(hù)和其原始性能之間取得一個(gè)平衡。獲得您所需要避免任何瓶頸的性能以及想要的功能，可能會(huì)非常棘手。需要注意的是，Gartner研究分析師指出，供應(yīng)商和解決方案提供商往往會(huì)縮小防火墻的尺寸來(lái)降低成本，并認(rèn)為這是影響性能問(wèn)題的一個(gè)顯著原因。較小的硬件設(shè)備不能正常運(yùn)行所有的安全功能，也不能很好地處理安全威脅。因此，在未來(lái)幾年的一個(gè)評(píng)估關(guān)鍵是，要計(jì)算產(chǎn)品的吞吐量。

2、互通性

NGFWs不是一個(gè)孤島。相反，它常常與許多其他網(wǎng)絡(luò)安全工具，如網(wǎng)絡(luò)監(jiān)控工具、日志服務(wù)器、認(rèn)證服務(wù)器、網(wǎng)絡(luò)訪問(wèn)控制(NAC)產(chǎn)品和外部Web/電子郵件安全解決方案進(jìn)行互動(dòng)。不同的NGFW廠商和產(chǎn)品，互操作性將有所不同。請(qǐng)務(wù)必驗(yàn)證您購(gòu)買的NDFW與您的網(wǎng)絡(luò)外部組件和應(yīng)用程序的互操作性。

3、可見(jiàn)性和可控性

不同廠商的NGFW產(chǎn)品的不同點(diǎn)主要集中在網(wǎng)絡(luò)和應(yīng)用的可視性。這個(gè)可視性不僅要達(dá)到可以查看應(yīng)用程序和用戶信息的水平，還要能提供網(wǎng)絡(luò)行為的情報(bào)。因此，在購(gòu)買產(chǎn)品前，一定要了解每個(gè)廠商的安全情報(bào)收集的能力，以確保它符合或超出您的期望。

4、高級(jí)安全特性

下一代防火墻已經(jīng)成為IT安全名副其實(shí)的多功能工具。防火墻是與其他多種工具一起協(xié)作的，企業(yè)組織可能會(huì)在日常中依賴于一些第三方的工具進(jìn)行網(wǎng)絡(luò)安全管理。而使用NGFW，標(biāo)準(zhǔn)狀態(tài)的訪問(wèn)控制規(guī)則是肯定會(huì)被用到的，其他常用的功能還包括VPN、安全遠(yuǎn)程訪問(wèn)和入侵防御。但對(duì)于其它的安全特性(比如沙箱、高級(jí)威脅防護(hù)等)而言，它取決于你是否需要這個(gè)功能，并愿意支付其許可費(fèi)用。對(duì)于有些公司，可能全部的功能都是需要的，而對(duì)于有些來(lái)說(shuō)，過(guò)多的功能可能會(huì)矯枉過(guò)正。

5、可擴(kuò)展性

不同廠商網(wǎng)絡(luò)硬件更新時(shí)間周期也不一樣。在大多數(shù)情況下，三到六年是最常見(jiàn)的一個(gè)周期段。當(dāng)你要選擇NGFW時(shí)，你要確保它的更新能跟上公司業(yè)務(wù)發(fā)展的預(yù)期數(shù)據(jù)量，因?yàn)檫@可能意味著需要購(gòu)買更大的硬件設(shè)備或擁有出眾負(fù)載均衡或群集能力的硬件。

6、管理和報(bào)告

如果您的安全管理員負(fù)責(zé)管理多個(gè)或幾十個(gè)防火墻，有一個(gè)合適的管理平臺(tái)對(duì)降低人力資源成本是至關(guān)重要的。大多數(shù)企業(yè)的NGFW具有內(nèi)置或可選的集中式管理功能，為配置提供了一個(gè)單一的面板，監(jiān)控網(wǎng)絡(luò)上所有NGFW的情況并生成報(bào)告。另外，越來(lái)越多的廠商都開(kāi)始提供NGFW云管理，更有利于集中管理。

7、擁有成本

最后一個(gè)需要考慮的因素是整個(gè)NGFW生命周期的總擁有成本。一旦你開(kāi)始四處采購(gòu)硬件，你很快會(huì)意識(shí)到許可和持續(xù)支持的費(fèi)用會(huì)有所不同。您將需要進(jìn)行成本/效益分析，以確定什么樣的產(chǎn)品保障會(huì)給您的組織以最低的成本達(dá)到最適當(dāng)?shù)乃健?/p>