《企业网D1Net》1月12日讯

对于企业而言，若想保证企业开展的安全性，部署NGFW无疑是最好的选择，NGFW对于企业的重要性非同一般，署NGFW对于企业用户来说最大价值体现在可以保证企业关键业务系统稳定、安全、可管理。企业用户在进行产品选型时也要结合这三方面来进行产品的选型。

1、稳定特性

对于企业用户NGFW设备的稳定性是需要首要考虑的，选型方面要充分考虑产品自身架构的稳定。例如是否采用专用的操作系统，是否通过国际认可的EAL4+ 认证(国际上认可的最高等级的稳定安全方面的认证)。

在产品功能上也需要具备能够满足稳定要求功能，例如是否采用自己的专利集群技术;是否可以支持全Active部署;是否可以支持不同软件版本不同型号的产品的集群。由于NGFW产品需要部署在网络边界直接连接不同的链路类型，如3G 专线ADSL，因此要求NGFW需要内置链路负载均衡的技术，保证链路的稳定。在多分支机构VPN互连的架构里，要能够确保在某条链路失效的情况下，业务数据通信要能够平滑迁移到其它链路上来，保证业务绝对不会中断。

2、安全特性

面对不断出现新的安全威胁，NGFW要能够对这些威胁实现主动地防御。这需要用户在选择NGFW时候要考虑NGFW产品深度检测技术的能力，可以参考第三方机构的报告。 目前比较权威的是NSSLabs，每年对NGFW都会有综合性的测评，包括近三年的攻击防护率测试/在采用默认策略防护率测试/攻击环境下设备稳定性测试/高级逃逸攻击测试。

一定要考虑NGFW对于高级逃逸技术的防护能力，多数用户都使用IPS、UTM或防火墙来防护关键业务系统和敏感数据。逃逸技术，就是以穿透这类安全设备为目的的黑客技术。逃逸技术很古老，防范手段也很简单，我们市场上现有的所有安全品牌，对这些传统的逃逸都有很好的防御能力。但是与其他攻击不同的是，逃逸技术可以进行一系列变种和组合，组合之后的变化会达到上亿种，远远大于任何厂家的特征库数量，所以对于传统的安全设备根本不可能检测和拦截这类的攻击，高级逃逸技术对于客户数据安全的威胁是明显的。它有两个最致命特点：一是现有的网络安全设备对其完全无法检测，不起作用；二是用户被高级逃逸攻击后，在安全设备上是不留任何日志的，也就是用户不会知道自己丢了资料，所谓亡羊补牢都难以实现。

3、可管理

NGFW必须具备下一代集中管理平台，集中管理平台可以作为安全信息和事件管理平台(SIEM)，管理平台同时还要能够实现对NGFW智能监控和日志的关联分析。

下一代防火墙趋势展望

企业员工的移动性、数据中心的虚拟化以及云计算已经是大势所趋，这些趋势会逐渐导致企业对IT系统丧失控制权，NGFW技术发展可以帮助企业解决所面临的这些问题。刘权峰讲到，其中需要注意的是NGFW的未来发展一定不再是基于静态的产品和模型，取而代之的是基于软件的动态的产品架构，需要具有动态的，自适应的和不断演化的特性。NGFW的产品发展不应该像瑞士军刀一样的产品，不应该是安全功能的简单叠加， 拼凑，堆叠。这种松散的安全架构不是真正意义上的下一代安全产品。

D1Net评论：

每个企业对安全的需求特征不同，对NGFW产品的定义和选择也就不同，有些企业看重NGFW产品的稳定性，有些企业看重安全性，但无论怎样，选择下一代安全产品一定要遵循N-Line理论，也就是说NGFW的发展需要同时满足高性能，统一安全引擎软件，支持高级逃逸技术防护，支持上下文感知，支持虚拟化环境部署，支持更简单快速的配置同时需要经济性，保护用户投资。