下一代防火墙如何全面评估下一代防火墙

如何选择合格的下一代防火墙？

1、扫描检测能力 2、应用智能 3、性能 4、可管理性 扫描 同第一代防火墙一样，NGFWs包括状态的检测能力。

但是，他们除了能够像传统防火墙那样，还需要有深度包检测(DPI)能力。

许多NGFW厂 商宣传自己拥有DPI功能，但仔细检查其产品，你会发现他们对此进行限制，最大限度地减少保护。

许多NGFW厂商使用代理，让流量通过恶意软件扫描网关。

这会严重降低网络性能，甚至有一些防火墙高达95%。

一些大型文件或中等数量的更小的文件传输的时候，基于代理的防火墙有限的内存很快就会被耗尽。

当所有的内存被消耗掉，这些防火墙会阻止所有文件 传输。

许多厂商会采取未经检验通过文件，就是说对所有文件可以不进行检查。

即为了避免使网络停止，选择不对其进行扫描，以允许数据包通过。

有些所谓的下一代防火墙厂商还无法扫描大型文件或某些协议。

按文件大小，文件扫描的能力是有限的，他们只扫描恶意软件的协议的一小部分。

当评估 NGFW的时候，应该寻找一个可以扫描各种大小文件、病毒和恶意软件，僵尸网络及其他威胁，解密、扫描和重新加密SSL数据包，能够扫描所有端口广泛的协 议，除了原始的TCP流量。

应用智能 NGFW的一个根本能力是控制应用程序和优化的网络运行的能力。

不同的NGFW解决这些问题的能力在不同程度上有一定的差距。

一个可靠的NGFW应该： 针对不断增长的应用程序数据库的签名，扫描应用程序应该能够提供实时的可视化的操作。

企业可以考虑采取定制的应用程序，将应用智能和控制扩展到网络上的无线终端。

一个NGFW的控制有效性同样重要，它可以检测和控制应用程序的数量。

一个拥有强大的签名数据库的NGFW，应包括成千上万的、独特的应用程序 和应用程序组件，并每天更新新的签名。

此外，NGFW应该超越简单地允许管理员“允许”，“阻止”或“登录”应用程序，应该提供一套全面的应用管理功能， 如应用带宽管理。

另外，用户还可以控制和优化你看不到的东西。

当你评估NGFW的时候，你必须考虑他们的产品是否集成让你看到应用程序和用户流量的实时功能，可 视化取证分析工具和仪表盘。

随着应用的增多，你需要自定义应用程序控制，大多数NGFW可能不再那么容易实现。

一个可行的NGFW，应该能够识别和优化公 司里的自定义应用程序。

此外，它应该允许你为特定应用程序制定自定义特征，以便于这些应用通过基础的流量属性或者控制协议。

越来越多的企业正面临着不断扩散的无线终端，这些设备散布在网络的边缘。

这时候，企业应该考虑一个，提供强大的无线应用智能控制的NGFW。

要 有足够的智能、控制能力和可视化的操作。

现在许多安全设备只有有线用户的流量控制，而忽略了大量依靠无线网络的笔记本电脑、智能手机、平板电脑。

企业应该寻找这样的NGFW，它集成了无线交换机及控制器，允许分布式无线部署的配置和管理，同时提供WiFi边缘的应用智能和控制。

在理想的情况下，NGFW应该能够控制所有的无线通信应用智能政策，以保持无线带宽效率。

性能 Gartner指出，NGFW“支持在线管理，通过网络进行没有中断的操作配置。

”换句话说，他们应该尽可能的做到最小延迟。

IPS与其他功能 的紧密集成是实现这一点的关键。

单通机制实现了无缝政策的实施和执行，不会引起延迟或性能下降到不可接受的水平。

这是很重要的，因为启用NGFW服务不应 该让一个网络陷入瘫痪。

使用代理的防火墙，为每个文件和每个网络连接进行DPI状态数据包检测，显著降低性能。

相反，选择合格的NGFW，他们能够提供实时DPI。

可管理性 一个可扩展的和可靠的分布式管理解决方案，实现安全保障和强大的投资回报率，企业部署到多个站点的安全性是非常重要的。

例如，一些下一代防火墙厂商管理平台，缺乏大规模的分布式管理解决方案，大范围的部署往往是一个易于管理的证明。

还有其他一些下一代防火墙厂商缺乏一个有凝聚力的分布式管理平台。

这个复杂的管理流程和解决方案都会影响企业总拥有成本(TCO)。

其他 选择的NGFW应提供NetFlow / IPFIX支持，NetFlow和IPFIX是两种行业标准。

传统上部署交换机和路由器的NetFlow出口数据，如IP源地址和目标地址，源端口和目的 端口，3层协议类型和服务类。

然而，这两种IPFIX和NetFlow版本都可以扩展到网络的移动设备，如应用程序数据，用户数据和URL数据的附加数据 导出。

编辑点评： NGFW承诺通过集成的入侵防御，状态检测和深层数据包检测能力，帮助企业重新控制在他们的网络。

但厂商的产品有很大的不同，他们使用自己的方法来扫描网络流量，就会得到不同的性能、功能，会对网络造成不同的影响。

你要花时间来确认，NGFW能够提供你所需要的。

谁能解释下一代防火墙概念到底是什么？

2009年，著名咨询机构Gartner介绍为应对当前与未来新一代的网络安全威胁认为防火墙必需要再一次升级为“下一代防火墙”（参见“工具包：评估信息安全预算，2007年升级版”）。

Gartner将网络防火墙定义为在线安全控制措施，即：可实时在各受信级网络间执行网络安全策略。

Gartner使用“下一代防火墙”这一术语来说明升级防火墙的必要性，以应对目前业务程序使用IT的方法以及针对业务系统所发起的攻击方法所发生的改变。

2012年伊始， NGFW(Next generation firewall)即下一代防火墙已经成为目前业界的热点声音。

在云计算、WEB2.0及移动互联网等一系列新应用技术被广泛使用的今天，Gartner2009年定义NGFW时的认知已经明显不足。

NGFW商标持有者，也是国内最知名的信息安全品牌TOPSEC(天融信)给出了下一代防火墙必须具备六大特质：基于用户防护、面向应用安全、高效转发平台、多层级冗余架构、全方位可视化、安全技术融合。

这也补充了Gartner2009年定义NGFW时，对于云计算、web2.0、移动互联等新技术的认知不足。

下一代防火墙的特点是什么？

给一个简单点的答案 从技术上看下一代防火墙的特点在于从应用层来做安全，把安全的视角提升了，另外就是通过最大的可视化，令安全变得简单直观可以被IT管理人员轻松掌握，《首倡“人民安全”理念，专家解读下一代防火墙》 /tech/2013-06/27/c_124922682.htm

下一代防火墙和传统防火墙的区别是啥？ 如果你们是黏贴复制就算了，希望能用自己的话 言简意赅的说出来，

目前是王婆卖瓜自卖自夸,并没有一个公认的下一代标准.但可以知道未来的技术更加着重于智能化(不需要万事都要询问) 标准化 与对其他安全产品的支持.能够为用户提供更加安全方便的体验. 传统防火墙是死记规则.不懂变通.

如何全面评估下一代防火墙

要对下一代防火墙（即Next Generation Firewall，简称NG Firewall）进行全面评估，我们需要从功能与特性这两个方面进行深入研究——而这也正是我们今天的核心议题。

下一代防火墙的概念出现并确立于2009年，但其普及速度却明显缓慢得多。

截至2015年底，Gartner公司发现只有不到40%的企业利用下一代防火墙进行互联网连接保护。

Gartner公司预计，未来几年中市场对下一代防火墙的需求将呈现出爆发式增长，这也意味着企业需要积极为其网络需求更理想的保护手段。

估计至2018年年底，互联网连接中的85%将由下一代防火墙负责保护，而其中90%属于下一代防火墙的新增客户。

传统防火墙 VS 下一代防火墙 传统防火墙通过对端口及协议执行检查与防护，以实现企业网络安全保障。

传统防火墙可以分为四种类型：包过滤、应用级网关、代理服务器和状态检测。

但由于互连网的开放性，有许多防范功能的防火墙也有一些防范不到的地方，如：传统防火墙不能防范不经由防火墙的攻击、传统防火墙不能防止感染了病毒的软件或文件的传输等等。

下 一代防火墙则完全不担心这类问题，它可以网络中的数据包执行深度检测，也就是将数据包解封到应用层。

通过这种方式，它能确保数据包的各个组成部分被完整的 检测，以识别畸形包、错误、已知攻击和其他异常数据。

还能够快速识别并阻止木马、病毒、垃圾邮件、入侵行为，以及其他违反正常通信协议的行为。

数据包分析 通过各种方法实施，包括基于数据流的检测，漏洞特征、策略配置、协议识别、数据标准化，以及明文HTTP和加密HTTPS连接。

下一代防火墙的核心特性 Gartner 在题为《Defining the Next-Generation Firewall》的报告中指出：“不断变化的业务流程、IT技术和网络威胁，正推动网络安全的新需求。

协议的使用方式和数据的传输方式已发生变化，网络 攻击的目标由单纯的破坏演变为恶意软件植入。

在这种环境中，试图要求在标准端口上使用合适协议的控制方法已不再具备足够的有效性，传统防火墙必须演进为下 一代防火墙。

由此可以总结出下一代防火墙拥有两大核心特性：应用识别与控制以及身份感知。

应 用识别与控制允许大家对自身网络内的应用进行审查，同时控制相关应用的使用情况。

通过识别应用程序并在应用层内强制执行网络安全策略——独立于端口与协议 之外——大家可以实现应用程序黑名单或者白名单;允许微信但屏蔽《开心消消乐》等其它应用;允许QQ进行聊天但禁止其执行文件共享等细化控制能力。

买家提示：在挑选下一代防火墙时，大家需要考虑其策略设置是否与最为重要的业务应用相契合。

E安全认为，下一代防火墙应当有能力对数十款最常用最具价值的应用程序进行细化管理，而无需单纯关注支持成百上千大家可能根本用不到的冷门应用。

应用控制无疑是一项利器，其能够阻止或者允许特定类型的应用使用方式。

而身份感知则将这种控制能力同Active Directory等业务目录加以整合，从而帮助我们更精确地应用防火墙规则，甚至对部门及个人用户加以管控。

举例来说，大家可以创建规则以允许销售及营销人员利用特定社交媒体应用，同时允许外包商或者临时工作人员访问其中一部分内容，而董事会成员则可以不受限制任意接入互联网。

买家提示:身份感知功能往往被各类下一代防火墙厂商所反复强调，但在实践过程中，这种控制用户或者立足于群组层级实施保护的能力还没有得到广泛采用。

除非大家拥有非常明确的身份感知需求，否则这部分功能在评价相关方案时不必太过强调。

下一代防火墙的其它重要特性 入侵防御系统(简称IPS) 下一代防火墙供应商正将越来越多IPS功能添加至产品当中。

不过需要强调的是，初期的IPS能力往往并不成熟，但如今其不仅更加强大、还与下一代防火墙的其它能力紧密对接。

在不少下一代防火墙中，内置IPS甚至足以挑战独立的IPS方案。

买家提示：入 侵防御系统属于企业防御体系中的重要组成部分，因此我们必须考虑自己选定的下一代防火墙是否具备IPS功能，或者有必要选择独立的优秀IPS产品。

如果大 家需要将IPS与下一代防火墙相结合，Gartner建议我们通过现实威胁与网络负载环境利用第三方测试评估IPS方案的有效性。

网络沙箱 网络沙箱能够提供保护以抵御恶意软件，具体方式包括将可疑文件发送到云环境中的受隔离沙箱当中。

在这里，各文件能够加以运行，且执行结果将经过检测以判断其是否属于恶意性质。

网络沙箱往往被下一代防火墙供应商或者合作伙伴以订阅服务的形式推出。

2014年全球网络沙箱市场总价值超过5亿美元，而这一数字预计将在2019年增长至35亿美元。

买家提示：网络沙箱正迅速成为一项主流功能，所以我们在考量供应商时必须要求其当前或者有计划在不久的未来提供相关解决方案。

威胁情报供给 威胁情报供给旨在交付一套包含恶意IP地址、恶意签名以及其它恶意指标的清单，帮助防火墙与IPS方案检测威胁并预防攻击。

买家提示：检查下一代防火墙方案是否只能接收自家威胁情报供给，或者可以对接多种数据源。

需要向下一代防火墙安全厂商提出的问题 关于性能： 当全部安全功能都被禁用时，防火墙的峰值流量吞吐能力可达到怎样的水平？ 当全部必要安全功能都被启用时，防火墙的峰值流量吞吐能力可达到怎样的水平？ 关于成本： 该设备的基础成本是多少？ 能够实现我们安全要求的设备成本是多少？ 年度维护与更新成本是多少？ 年度订阅成本是多少（包括情报供给以及网络沙箱等等）？ 容量与安全功能可否根据需求进行调整，此类调整又会给成本带来怎样的影响？ 关于配置： 对防火墙及安全容量进行配置需要怎样的专业知识水平？ 设备需要怎样配置，其界面是否易于使用？ 设备是否能够轻松支持IPv6？ 关于安全功能： 该防火墙能够识别哪些应用程序，其能否为定制化应用程序建立识别能力？ 其应用程序列表的更新频率如何？ 其能够提供哪些类型的报告以帮助我们了解应用程序使用情况以及用户行为？ 其身份感知控制的细化程度如何？ 其还能提供那些额外安全功能？ 其IPS功能的有效性在基于现实威胁与网络负载场景时的第三方测试结果如何？ 其支持哪些威胁情报供给来源？ 反恶意软件扫描等功能的更新交付方式是怎样的？频率又如何？由谁交付这些更新？是否允许客户进行内部安全研究？ 如果不提供网络沙箱功能，其是否已经被纳入了短期发展路线图？ 该设备符合哪些安全认证？ E安全/文