如何選購下一代企業防火墻

Zeus Kerravala 陳琳華

選擇下一代防火墻（NGFW）時，性能、外形和自動化功能是關鍵的考慮因素。

防火墻已存在多年，并且隨著威脅形勢的變化，這一技術也在不斷發展。以下是一些在選購下一代防火墻（NGFW）中需要注意的技巧，以便選購的防火墻能夠滿足企業當前和未來的業務需求。

不要信任防火墻性能統計信息

要明白NGFW的運行方式需要的不僅僅是查看供應商的規范或是讓一些流量流經它們。當流量負載較輕時，大多數防火墻都能正常運行。重要的是要了解防火墻如何響應大規模流量，尤其是在加密被打開時。目前大約80%的流量都是加密的，防火墻在處理大量加密流量時維持性能水平的能力至關重要。

此外，請確保在測試期間打開所有主要功能（包括應用程序和用戶識別、IPS、反惡意軟件、URL過濾和日志記錄），以查看防火墻在生產環境中的表現。防火墻供應商經常吹噓的性能是在關閉核心功能后的單一性能。市場研究公司ZK Research的數據顯示，許多IT專業人員都是在費盡一番周折后才學到這一教訓的。58%的安全專家稱，為了保持性能，他們不得不關閉一些功能。

在向供應商提交訂單之前，請確保使用盡可能多的不同類型流量和各種類型應用程序展開測試。要查看的重要指標包括應用程序吞吐量、每秒連接數、IPv4和IPv6的最大會話數以及SSL性能。

NGFW需要適應更廣泛的安全平臺

最佳策略或與單一供應商合作是否可以提供更好的安全性？這個問題多年來一直存在爭議。事實是，這兩種方法都不完美。重要的是要清楚各個地方的最佳策略并不能確保一流的安全性。擁有太多供應商會導致出現無法管理的復雜性，從而使公司面臨風險。更好的方法是采用安全平臺，可以將其視為一種開放式架構，能夠插入第三方產品。

任何NGFW都必須能夠插入到平臺之中，以便它們能夠“看到”從物聯網端點到云流量再到最終用戶設備的所有內容。此外，一旦NGFW匯總了數據，它們應該能夠進行分析以提供洞察力。這將使NGFW能夠在整個網絡中采取行動和策略。

一致的安全功能

防火墻曾經被部署在企業數據中心。如今網絡已經大規模普及，客戶需要在網絡中的每個點都設置一致的功能集。NGFW供應商應具備適應下列多種形態的能力以優化性價比：

● 數據中心

● 互聯網邊緣

● 中型分支機構

● 小型分支機構

● 物聯網環境

● 云交付

● 在私有云和公有云中運行的虛擬機

此外，NGFW供應商還應該要能夠適應容器化。這可不是一項微不足道的事情。 盡管大多數供應商還沒有針對容器的產品，但是他們應該對此展開規劃。

單一窗格的防火墻管理

如果產品需要單獨管理，那么擁有廣泛的產品線并不是什么優勢。這會讓策略和規則難以保持最新，并且會導致功能不一致。防火墻供應商必須擁有能夠提供端到端可見性的單一管理工具，管理員能夠通過它們進行修改設置并可立即在網絡中將其推送出去。可見性必須擴展到所有地方，包括云、物聯網邊緣、運營技術（OT）環境和分支機構。單一儀表板也是實現和維護基于軟件的分段的正確方式，這樣可以不必配置每臺設備。

防火墻自動化功能

自動化的目標是幫助消除許多人工操作，因為人工操作在安全處理中會產生“人為延遲”。幾乎所有供應商都將一些自動化功能宣傳為可節省員工人數的一種方式，但是真正的自動化遠不止于此。自動化可通過行為預測和更快地執行保護措施從而更好地保護企業。如果使用得當，自動化可以減輕人工負擔并防止網絡攻擊。

以下是NGFW自動化的三個用例：

● 工作流自動化。通過消除許多瑣碎的日常任務，簡化了安全工程師的工作。跨多個環境管理多個設備會增加復雜性，并帶來配置錯誤的風險。工作流自動化可以被視為規則生命周期管理，旨在實現自動化變更管理過程的每個階段。工作流應該是可定制的，以適應安全目標和標準。此外，自動化可以減輕一些繁瑣任務的負擔，例如識別應用程序和設備。如果NGFW有足夠大的數據庫，那么幾乎所有應用和端點都會被識別。如果沒有，那么管理員需要查看一長串未知設備并手動識別它們。

● 策略自動化。使得安全性更加靈活。由于企業不再像往常那樣一成不變，并且分支機構越來越多，變革如今已經成為了企業的常態。這使得用手動方法讓策略保持最新幾乎成為了不可能的事情。策略自動化可確保策略的連續性和一致性，即使情況發生了變化，策略仍然能夠被遵守。例如，如果所有的物聯網設備都要保留在安全段內，但是有一臺設備發生了移動，那么策略需要自動跟隨設備而不必重新配置網絡。

● 安全識別和執行自動化。可以幫助更快地發現威脅并近實時地對其作出反應。在企業發現威脅之前，威脅通常已經持續了數天、數周甚至數月，導致企業蒙受重大損失。平臺的強大之處在于它們可以看到所有的東西并且能夠識別最微小的異常，例如物聯網設備定期嘗試訪問銷售點系統。自動化可用于查找異常并在安全段中隔離該端點。理想情況下，自動化功能應包括執行和修復功能，這樣它們就能夠刪除威脅并讓設備重返網絡。

最后，自動化需要一個通俗易懂的界面。所有IT項目的一般經驗法則是解決方案需要比原始問題更簡單。許多自動化工具都有陡峭的學習曲線，這限制了它們的實用性。企業應該要能夠增加自動化的使用，而不是增加更多的人。

NGFW的高級功能

除了基本的阻止和處理之外，該功能集還應包括可以優化性能和提供新功能的能力。這些可用的高級功能的列表非常長。以下這些功能可以解決當前的企業一些主要痛點。

● 優化服務。該功能可讓客戶最大限度提高安全投資的投資回報率，這可通過供應商提供的一組工具和資源來完成，以幫助客戶采用最佳實踐，從而確保正確配置和部署。

● 策略優化。該功能可以分析規則，然后確定哪些規則需要保留、刪除或清理。傳統防火墻使用的是基于端口的規則，NGFW使用的是基于應用程序的白名單規則。企業將從基于端口調整為基于應用程序所面臨的挑戰之一是，規則集可能變得龐大且難以管理。許多企業擁有數百萬條的防火墻規則，在調整前根本無法清理它們。策略優化可以幫助刪除不使用的規則，保持規則集整齊有序，減少受攻擊面。

● DNS安全性。該功能使用機器學習功能來阻止DNS攻擊。DNS作為攻擊媒介的使用率正在繼續升高，因為攻擊者很容易通過網絡釣魚將用戶引導到有問題的域。目前雖然出現了DNS安全工具，但是它們與防火墻是分開的。將DNS安全性與NGFW集成在一起可使保護變得自動化，并且不再需要獨立的工具。這樣可以更快地識別惡意域，消除DNS隧道中隱藏的威脅。

● 憑證防盜保護。該功能可幫助企業保護密碼。盜取密碼是獲取網絡訪問權的最古老、最簡單的方法。一旦威脅者可以訪問被盜的憑證，那么他們就可以通過冒充可信用戶來繞過所有的安全工具。然后，攻擊者就可以在企業內自由移動，挑選想要竊取的數據或進行破壞。作為平臺組成部分的NGFW可以通過阻止有效憑證進入非法網站來識別和阻止竊取憑證的企圖。NGFW還會自動執行相應的規則以防止這些有效憑證被橫向移動到其他系統，從而使企業有時間通知用戶并更改密碼。此外，企業還需要防范已經被盜的憑證被濫用。為了防止這種情況發生，NGFW供應商應與領先的多因素身份驗證（MFW）供應商展開合作。

盡管NGFW已經出現了很長一段時間，但是它們遠未成為商品。它們應被視為安全平臺戰略的基礎，幫助網絡提升安全性。公司不應被營銷和漂亮的參數所迷惑。相反，企業應當自己展開測試以確保在所有情況下都滿足自己的需求。因為對于NGFW來說，性能上的微小差異會對威脅防護產生重大影響。

本文作者Zeus Kerravala為市場研究公司ZK Research的創始人兼首席分析師。