《企业网D1Net》11月6日讯

防火墙一直是网络安全设备中必不可少的重要组成部分，而最近一段时间关于下一代防火墙的信息和评论非常多，所谓的下一代防火墙在安全控制和防护方面的表现更加出色，但有不少人对其管理功能表示担忧和疑虑，因此企业在选择这些产品时应该古如何进行评估呢？

管理任何设备，我们关注的重点都应该是把握管理员的容易访问程度与其他用户的难以访问程度之间的平衡。当企业在研究NGFW的管理功能时，最重要的是，企业 首先需要确定管理员是否被允许从网络边界外部访问管理界面。对于这个问题，没有正确或错误的答案：这取决于每个企业是否愿意接受远程防火墙管理带来的相关风险。

如果你的企业决定允许管理员从外部访问管理界面，你必须做出以下三个额外的管理决定：

下一代防火墙是否有内置的Web服务器用于管理目的？如果有的话，对web服务器的访问是否加密？很多管理员喜欢图形用户界面的便捷性，企业可以选择这种方式，但前提是对GUI的连接必须是通过SSL进行。管理员必须要访问web服务器吗？企业最好让管理员通过命令行来访问界面。这样的话，你就不需要担心web服务器配置中的安全漏洞问题；只需要建立一个shell即可。管理界面的现成的配置足够好吗？还是需要额外的配置？很多时候，系统管理员忽视了这个问题，而这往往会导致安全泄漏事故。例如，安全人员必须确定在默认情况下开启加密，还是需要勾选一些框格来激活加密。你会惊讶地发现，默认配置经常被忽视，而这种问题往往会导致灾难性的后果，这原本是很容易可以避免的，前提是你需要在默认配置上多花点时间。

然而，对于NGFW应用管理，建议企业中有人能够研究每个供应商编写的不同应用的签名的可靠性。这可能需要高水平的技术，因此没有那么容易。在企业有 应用签名分析师的情况下，建议将不同类型的流量扔到防火墙，并使用数据包捕捉工具（例如Wireshark）来确定防火墙能够阻止应该阻止的东西。

D1Net评论： 　

不论如何，防火墙都是企业网络安全防护的一道重要“阀门”，因此对它只能多用心管理，别无他法。而在对下一代防火墙的具体管理操作上，需要注意的是，必须对一些细节加以关注，否则可能会带来灾难性的后果。