网络改造 如何选型NGFW

　　企业选择下一代防火墙应该从自身需求角度出发，在提供应用识别、访问控制、入侵防御等基本功能的基础上，综合处理性能、每秒新建、最大并发连接数和接口数量都是衡量一款设备是否满足要求的重要指标。山石网科技术市场经理任磊同时强调，升级的及时性、管理界面的友好度、技术支持能力都是考虑的因素，而在一台设备承载网络中越来越多职能的今天，良好的软硬件扩展性、设备的高可靠能力也开始被大多数用户所关注。

　　SonicWALL中国区技术经理蔡永生给出了企业选型NGFW更为细致的要素。

• 性能。IPS与其他功能的紧密集成是实现NGFW极低网络延迟的关键。
• 强大的扫描功能。许多NGFW提供商都在大肆宣传DPI功能，但对这些产品的测试发现，DPI功能会大幅降低网络的安全防御能力。评估时，应选择具备以下功能的NGFW：可扫描各种大小的文件;可解密、扫描和重新加密SSL数据包;可扫描穿越所有端口的原始TCP流量以及大量协议。
• 易管理性。
• 应用智能、控制和可视化。
• 经带扩展的NetFlow和IPFix报告的能力。NetFlow和IPFix是向外部收集程序报告网络流量的两大行业标准。NetFlow部署于交换机和路由器，可导出各种数据，如IP地址源和目的地、源端口和目标端口、3层协议类型和服务等级。

　　深信服市场行销部技术总监殷浩强调了NGFW应具备完整的应用内容防护功能，避免安全防护的短板。能够提供完整的漏洞防护能力，不但可以针对服务器OS、应用系统的漏洞提供防护，还可以针对终端浏览器、恶意代码、Office软件的漏洞提供防护能力。具备Web服务器强化防护，支持防应用扫描、防SQL注入、OS注入、XSS攻击、URL权限控制、数据保护等功能，以避免来自内容级别的入侵窃取服务器关键数据。

　　瞻博网络大中国区产品市场经理谭俊特别指出，下一代防火墙与整体安全架构的协同防护能力。NGFW需要和其他企业安全基础设施整合，具备感知全方位安全、应用和身份信息的能力，才能充分发挥其效能。

　　企业部署NGFW，将有效地简化传统安全架构并提升其感知应用和用户的能力。但NGFW并不是一个孤立的元素，更需要整合到整体的安全体系中才能充分发挥其效果，实现有效地全面安全防护。谭俊同时强调，作为企业而言，在迁移中需要基于当前需求，以及下一步虚拟化，云计算的应用趋势来考虑整合安全架构的设计。首先要选择满足相应容量，性能和可靠性要求的平台，其次要在该平台上部署高度集成的NGFW安全服务，最后还要注意该方案能够具备方便的，不影响业务的添加新的安全服务和扩充新的容量的能力。

　　NGFW从功能上满足了用户多个层次的安全需求(如FW、IPS及应用访问控制)，可以简化企业边界安全部署。从架构上来说，NGFW仍属于边界安全产品，对于传统安全架构影响不大。对于新建网络来说，部署NGFW比较简单;但是在网络改造过程中的替代部署，则需要企业与厂商仔细评估NGFW对原设备功能的替代度。正如启明星辰边界安全产品部副经理马骏举的一个例子，原有FW系统支持VPN，这就需要评价NGFW的VPN协议的支持、隧道数的支持、用户数的支持、算法的支持、认证模式等多项指标。企业在向NGFW迁移时，首先要考虑自身的边界安全需求，包括性能及功能两个方面，现有的NGFW是否能够替代原有多个安全设备，能否满足新的安全需求?如果不能完全替换，则需考虑跟NGFW如何配合使用，以及在配合使用下的综合运营成本，不能简单考虑只是设备的替换。