《企業(yè)網(wǎng)D1Net》1月12日訊

對于企業(yè)而言，若想保證企業(yè)開展的安全性，部署NGFW無疑是最好的選擇，NGFW對于企業(yè)的重要性非同一般，署NGFW對于企業(yè)用戶來說最大價值體現(xiàn)在可以保證企業(yè)關鍵業(yè)務系統(tǒng)穩(wěn)定、安全、可管理。企業(yè)用戶在進行產(chǎn)品選型時也要結合這三方面來進行產(chǎn)品的選型。

1、穩(wěn)定特性

對于企業(yè)用戶NGFW設備的穩(wěn)定性是需要首要考慮的，選型方面要充分考慮產(chǎn)品自身架構的穩(wěn)定。例如是否采用專用的操作系統(tǒng)，是否通過國際認可的EAL4+ 認證(國際上認可的最高等級的穩(wěn)定安全方面的認證)。

在產(chǎn)品功能上也需要具備能夠滿足穩(wěn)定要求功能，例如是否采用自己的專利集群技術;是否可以支持全Active部署;是否可以支持不同軟件版本不同型號的產(chǎn)品的集群。由于NGFW產(chǎn)品需要部署在網(wǎng)絡邊界直接連接不同的鏈路類型，如3G 專線ADSL，因此要求NGFW需要內(nèi)置鏈路負載均衡的技術，保證鏈路的穩(wěn)定。在多分支機構VPN互連的架構里，要能夠確保在某條鏈路失效的情況下，業(yè)務數(shù)據(jù)通信要能夠平滑遷移到其它鏈路上來，保證業(yè)務絕對不會中斷。

2、安全特性

面對不斷出現(xiàn)新的安全威脅，NGFW要能夠?qū)@些威脅實現(xiàn)主動地防御。這需要用戶在選擇NGFW時候要考慮NGFW產(chǎn)品深度檢測技術的能力，可以參考第三方機構的報告。 目前比較權威的是NSSLabs，每年對NGFW都會有綜合性的測評，包括近三年的攻擊防護率測試/在采用默認策略防護率測試/攻擊環(huán)境下設備穩(wěn)定性測試/高級逃逸攻擊測試。

一定要考慮NGFW對于高級逃逸技術的防護能力，多數(shù)用戶都使用IPS、UTM或防火墻來防護關鍵業(yè)務系統(tǒng)和敏感數(shù)據(jù)。逃逸技術，就是以穿透這類安全設備為目的的黑客技術。逃逸技術很古老，防范手段也很簡單，我們市場上現(xiàn)有的所有安全品牌，對這些傳統(tǒng)的逃逸都有很好的防御能力。但是與其他攻擊不同的是，逃逸技術可以進行一系列變種和組合，組合之后的變化會達到上億種，遠遠大于任何廠家的特征庫數(shù)量，所以對于傳統(tǒng)的安全設備根本不可能檢測和攔截這類的攻擊，高級逃逸技術對于客戶數(shù)據(jù)安全的威脅是明顯的。它有兩個最致命特點：一是現(xiàn)有的網(wǎng)絡安全設備對其完全無法檢測，不起作用；二是用戶被高級逃逸攻擊后，在安全設備上是不留任何日志的，也就是用戶不會知道自己丟了資料，所謂亡羊補牢都難以實現(xiàn)。

3、可管理

NGFW必須具備下一代集中管理平臺，集中管理平臺可以作為安全信息和事件管理平臺(SIEM)，管理平臺同時還要能夠?qū)崿F(xiàn)對NGFW智能監(jiān)控和日志的關聯(lián)分析。

下一代防火墻趨勢展望

企業(yè)員工的移動性、數(shù)據(jù)中心的虛擬化以及云計算已經(jīng)是大勢所趨，這些趨勢會逐漸導致企業(yè)對IT系統(tǒng)喪失控制權，NGFW技術發(fā)展可以幫助企業(yè)解決所面臨的這些問題。劉權峰講到，其中需要注意的是NGFW的未來發(fā)展一定不再是基于靜態(tài)的產(chǎn)品和模型，取而代之的是基于軟件的動態(tài)的產(chǎn)品架構，需要具有動態(tài)的，自適應的和不斷演化的特性。NGFW的產(chǎn)品發(fā)展不應該像瑞士軍刀一樣的產(chǎn)品，不應該是安全功能的簡單疊加， 拼湊，堆疊。這種松散的安全架構不是真正意義上的下一代安全產(chǎn)品。

D1Net評論：

每個企業(yè)對安全的需求特征不同，對NGFW產(chǎn)品的定義和選擇也就不同，有些企業(yè)看重NGFW產(chǎn)品的穩(wěn)定性，有些企業(yè)看重安全性，但無論怎樣，選擇下一代安全產(chǎn)品一定要遵循N-Line理論，也就是說NGFW的發(fā)展需要同時滿足高性能，統(tǒng)一安全引擎軟件，支持高級逃逸技術防護，支持上下文感知，支持虛擬化環(huán)境部署，支持更簡單快速的配置同時需要經(jīng)濟性，保護用戶投資。