Zeus Kerravala 陳琳華

選擇下一代防火墻（NGFW）時，性能、外形和自動化功能是關(guān)鍵的考慮因素。

防火墻已存在多年，并且隨著威脅形勢的變化，這一技術(shù)也在不斷發(fā)展。以下是一些在選購下一代防火墻（NGFW）中需要注意的技巧，以便選購的防火墻能夠滿足企業(yè)當前和未來的業(yè)務(wù)需求。

不要信任防火墻性能統(tǒng)計信息

要明白NGFW的運行方式需要的不僅僅是查看供應(yīng)商的規(guī)范或是讓一些流量流經(jīng)它們。當流量負載較輕時，大多數(shù)防火墻都能正常運行。重要的是要了解防火墻如何響應(yīng)大規(guī)模流量，尤其是在加密被打開時。目前大約80%的流量都是加密的，防火墻在處理大量加密流量時維持性能水平的能力至關(guān)重要。

此外，請確保在測試期間打開所有主要功能（包括應(yīng)用程序和用戶識別、IPS、反惡意軟件、URL過濾和日志記錄），以查看防火墻在生產(chǎn)環(huán)境中的表現(xiàn)。防火墻供應(yīng)商經(jīng)常吹噓的性能是在關(guān)閉核心功能后的單一性能。市場研究公司ZK Research的數(shù)據(jù)顯示，許多IT專業(yè)人員都是在費盡一番周折后才學(xué)到這一教訓(xùn)的。58%的安全專家稱，為了保持性能，他們不得不關(guān)閉一些功能。

在向供應(yīng)商提交訂單之前，請確保使用盡可能多的不同類型流量和各種類型應(yīng)用程序展開測試。要查看的重要指標包括應(yīng)用程序吞吐量、每秒連接數(shù)、IPv4和IPv6的最大會話數(shù)以及SSL性能。

NGFW需要適應(yīng)更廣泛的安全平臺

最佳策略或與單一供應(yīng)商合作是否可以提供更好的安全性？這個問題多年來一直存在爭議。事實是，這兩種方法都不完美。重要的是要清楚各個地方的最佳策略并不能確保一流的安全性。擁有太多供應(yīng)商會導(dǎo)致出現(xiàn)無法管理的復(fù)雜性，從而使公司面臨風(fēng)險。更好的方法是采用安全平臺，可以將其視為一種開放式架構(gòu)，能夠插入第三方產(chǎn)品。

任何NGFW都必須能夠插入到平臺之中，以便它們能夠“看到”從物聯(lián)網(wǎng)端點到云流量再到最終用戶設(shè)備的所有內(nèi)容。此外，一旦NGFW匯總了數(shù)據(jù)，它們應(yīng)該能夠進行分析以提供洞察力。這將使NGFW能夠在整個網(wǎng)絡(luò)中采取行動和策略。

一致的安全功能

防火墻曾經(jīng)被部署在企業(yè)數(shù)據(jù)中心。如今網(wǎng)絡(luò)已經(jīng)大規(guī)模普及，客戶需要在網(wǎng)絡(luò)中的每個點都設(shè)置一致的功能集。NGFW供應(yīng)商應(yīng)具備適應(yīng)下列多種形態(tài)的能力以優(yōu)化性價比：

● 數(shù)據(jù)中心

● 互聯(lián)網(wǎng)邊緣

● 中型分支機構(gòu)

● 小型分支機構(gòu)

● 物聯(lián)網(wǎng)環(huán)境

● 云交付

● 在私有云和公有云中運行的虛擬機

此外，NGFW供應(yīng)商還應(yīng)該要能夠適應(yīng)容器化。這可不是一項微不足道的事情。 盡管大多數(shù)供應(yīng)商還沒有針對容器的產(chǎn)品，但是他們應(yīng)該對此展開規(guī)劃。

單一窗格的防火墻管理

如果產(chǎn)品需要單獨管理，那么擁有廣泛的產(chǎn)品線并不是什么優(yōu)勢。這會讓策略和規(guī)則難以保持最新，并且會導(dǎo)致功能不一致。防火墻供應(yīng)商必須擁有能夠提供端到端可見性的單一管理工具，管理員能夠通過它們進行修改設(shè)置并可立即在網(wǎng)絡(luò)中將其推送出去?？梢娦员仨殧U展到所有地方，包括云、物聯(lián)網(wǎng)邊緣、運營技術(shù)（OT）環(huán)境和分支機構(gòu)。單一儀表板也是實現(xiàn)和維護基于軟件的分段的正確方式，這樣可以不必配置每臺設(shè)備。

防火墻自動化功能

自動化的目標是幫助消除許多人工操作，因為人工操作在安全處理中會產(chǎn)生“人為延遲”。幾乎所有供應(yīng)商都將一些自動化功能宣傳為可節(jié)省員工人數(shù)的一種方式，但是真正的自動化遠不止于此。自動化可通過行為預(yù)測和更快地執(zhí)行保護措施從而更好地保護企業(yè)。如果使用得當，自動化可以減輕人工負擔(dān)并防止網(wǎng)絡(luò)攻擊。

以下是NGFW自動化的三個用例：

● 工作流自動化。通過消除許多瑣碎的日常任務(wù)，簡化了安全工程師的工作?？缍鄠€環(huán)境管理多個設(shè)備會增加復(fù)雜性，并帶來配置錯誤的風(fēng)險。工作流自動化可以被視為規(guī)則生命周期管理，旨在實現(xiàn)自動化變更管理過程的每個階段。工作流應(yīng)該是可定制的，以適應(yīng)安全目標和標準。此外，自動化可以減輕一些繁瑣任務(wù)的負擔(dān)，例如識別應(yīng)用程序和設(shè)備。如果NGFW有足夠大的數(shù)據(jù)庫，那么幾乎所有應(yīng)用和端點都會被識別。如果沒有，那么管理員需要查看一長串未知設(shè)備并手動識別它們。

● 策略自動化。使得安全性更加靈活。由于企業(yè)不再像往常那樣一成不變，并且分支機構(gòu)越來越多，變革如今已經(jīng)成為了企業(yè)的常態(tài)。這使得用手動方法讓策略保持最新幾乎成為了不可能的事情。策略自動化可確保策略的連續(xù)性和一致性，即使情況發(fā)生了變化，策略仍然能夠被遵守。例如，如果所有的物聯(lián)網(wǎng)設(shè)備都要保留在安全段內(nèi)，但是有一臺設(shè)備發(fā)生了移動，那么策略需要自動跟隨設(shè)備而不必重新配置網(wǎng)絡(luò)。

● 安全識別和執(zhí)行自動化?？梢詭椭斓匕l(fā)現(xiàn)威脅并近實時地對其作出反應(yīng)。在企業(yè)發(fā)現(xiàn)威脅之前，威脅通常已經(jīng)持續(xù)了數(shù)天、數(shù)周甚至數(shù)月，導(dǎo)致企業(yè)蒙受重大損失。平臺的強大之處在于它們可以看到所有的東西并且能夠識別最微小的異常，例如物聯(lián)網(wǎng)設(shè)備定期嘗試訪問銷售點系統(tǒng)。自動化可用于查找異常并在安全段中隔離該端點。理想情況下，自動化功能應(yīng)包括執(zhí)行和修復(fù)功能，這樣它們就能夠刪除威脅并讓設(shè)備重返網(wǎng)絡(luò)。

最后，自動化需要一個通俗易懂的界面。所有IT項目的一般經(jīng)驗法則是解決方案需要比原始問題更簡單。許多自動化工具都有陡峭的學(xué)習(xí)曲線，這限制了它們的實用性。企業(yè)應(yīng)該要能夠增加自動化的使用，而不是增加更多的人。

NGFW的高級功能

除了基本的阻止和處理之外，該功能集還應(yīng)包括可以優(yōu)化性能和提供新功能的能力。這些可用的高級功能的列表非常長。以下這些功能可以解決當前的企業(yè)一些主要痛點。

● 優(yōu)化服務(wù)。該功能可讓客戶最大限度提高安全投資的投資回報率，這可通過供應(yīng)商提供的一組工具和資源來完成，以幫助客戶采用最佳實踐，從而確保正確配置和部署。

● 策略優(yōu)化。該功能可以分析規(guī)則，然后確定哪些規(guī)則需要保留、刪除或清理。傳統(tǒng)防火墻使用的是基于端口的規(guī)則，NGFW使用的是基于應(yīng)用程序的白名單規(guī)則。企業(yè)將從基于端口調(diào)整為基于應(yīng)用程序所面臨的挑戰(zhàn)之一是，規(guī)則集可能變得龐大且難以管理。許多企業(yè)擁有數(shù)百萬條的防火墻規(guī)則，在調(diào)整前根本無法清理它們。策略優(yōu)化可以幫助刪除不使用的規(guī)則，保持規(guī)則集整齊有序，減少受攻擊面。

● DNS安全性。該功能使用機器學(xué)習(xí)功能來阻止DNS攻擊。DNS作為攻擊媒介的使用率正在繼續(xù)升高，因為攻擊者很容易通過網(wǎng)絡(luò)釣魚將用戶引導(dǎo)到有問題的域。目前雖然出現(xiàn)了DNS安全工具，但是它們與防火墻是分開的。將DNS安全性與NGFW集成在一起可使保護變得自動化，并且不再需要獨立的工具。這樣可以更快地識別惡意域，消除DNS隧道中隱藏的威脅。

● 憑證防盜保護。該功能可幫助企業(yè)保護密碼。盜取密碼是獲取網(wǎng)絡(luò)訪問權(quán)的最古老、最簡單的方法。一旦威脅者可以訪問被盜的憑證，那么他們就可以通過冒充可信用戶來繞過所有的安全工具。然后，攻擊者就可以在企業(yè)內(nèi)自由移動，挑選想要竊取的數(shù)據(jù)或進行破壞。作為平臺組成部分的NGFW可以通過阻止有效憑證進入非法網(wǎng)站來識別和阻止竊取憑證的企圖。NGFW還會自動執(zhí)行相應(yīng)的規(guī)則以防止這些有效憑證被橫向移動到其他系統(tǒng)，從而使企業(yè)有時間通知用戶并更改密碼。此外，企業(yè)還需要防范已經(jīng)被盜的憑證被濫用。為了防止這種情況發(fā)生，NGFW供應(yīng)商應(yīng)與領(lǐng)先的多因素身份驗證（MFW）供應(yīng)商展開合作。

盡管NGFW已經(jīng)出現(xiàn)了很長一段時間，但是它們遠未成為商品。它們應(yīng)被視為安全平臺戰(zhàn)略的基礎(chǔ)，幫助網(wǎng)絡(luò)提升安全性。公司不應(yīng)被營銷和漂亮的參數(shù)所迷惑。相反，企業(yè)應(yīng)當自己展開測試以確保在所有情況下都滿足自己的需求。因為對于NGFW來說，性能上的微小差異會對威脅防護產(chǎn)生重大影響。

本文作者Zeus Kerravala為市場研究公司ZK Research的創(chuàng)始人兼首席分析師。