五、 下一代防火墙产品选型

　　介绍了如此多的下一代防火墙产品，相信大家对于选择适合企业自身的产品还是不能明确，那么接下来我们专门采访了多位业内专家，来听听他们对于选型的建议吧！

　　Fortinet中国首席技术顾问谭杰介绍到，企业下一代防火墙选型时应当考虑到这些方面，一款优秀的下一代防火墙产品应当具备以下能力，首先是强劲的网络转发性能，下一代防火墙作为网络安全的核心，如果网络转发能力不足，将会成为网络性能的瓶颈，即使安全功能再强大，也不具备可用性;二是完善的安全功能，下一代防火墙需要覆盖网络安全的方方面面，才能消除安全短板;三是基于云的安全技术，能够提供最快速的响应机制，并减轻下一代防火墙设备端的性能压力，适合更大规模网络的性能需求;第四点与网络基础架构的结合，来自内部的安全威胁的危害可能甚于外部威胁，所以下一代防火墙不能只保护网络边界，还应该溶入整个网络，为网络提供全方位立体安全防御。

　　谭杰表示，当前市场上的概念之争较多(包括NGFW、UTM、智能防火墙……)，令用户无所适从。因此建议企业用户在选型时不要陷入概念争论的误区，而将注意力集中于考察具体产品的功能、性能，厂商的技术和服务实力，下一代防火墙的选型尤其到考虑到上面介绍到的四点下一代防火墙的特质，从而选择一个真正优秀的安全解决方案。

　　迈克菲Stonesoft 高级售前顾问的刘权峰认为，下一代防火墙选型需要结合稳定、安全、可管理三方面来进行选型。稳定性方面，对于企业用户来说设备的稳定是第一位需要考虑的，选型时要充分考虑产品自身架构的稳定。例如是否采用专用的操作系统，是否通过国际认可的 EAL4+ 认证(国际上认可的最高等级的稳定安全方面的认证)等方面;安全性方面，下一代防火墙要能够实现主动地防御，这需要选型时关注下一代防火墙的深度检测技术的能力，这方面可以参考第三方机构的报告;可管理方面，下一代防火墙需具备下一代集中管理平台，集中管理平台可以作为安全信息和事件管理平台(SIEM)，管理平台要能够实现对下一代防火墙智能监控和日志的关联分析。

　　梭子鱼技术总监贾玉彬谈到，如今的企业用户采购已趋于理性，通常都会综合考虑性能、功能和价格等因素进行购买，从自身需求出发，购买真正适合自身的定制防火墙，而不是盲目的追求某些参数值。而在这其中，要避免两个选型误区，一是太过于相信实验数据，许多参数都是实验数据，是在一个相对合理的、干扰因素比较少的情况下得出的，选型时需要结合实际使用环境;二是过于注重多功能的集成，而忽略性能的实用性，信息化技术越来越复杂，竞争也越来越激烈，厂商为了提高市场竞争力，往往会集成更多的功能以增加卖点，对于这些我们要冷静看待。

　　绿盟科技产品推广经理黄海讲到，下一代防火墙选型最主要是要关注应用层性能，因为这是下一代防火墙的最大的价值，也决定了产品性价比。其次要看厂家在各个功能上完善程度，如果一台设备上的所有功能对于一个厂家都是全新的，那么可以想见这台设备的功能表现是什么样子。最后一点安全功能的多少和性能高低之间基本上是一个反比的关系，现在很多功能众多的下一代防火墙实际上跟UTM之间差异并不明显，真正将性能聚焦到重要的安全功能上才是一台好的下一代防火墙设备。

　　天融信下一代防火墙产品经理马腾辉表示，企业用户下一代防火墙选型需要注意四个方面，首先对于企业用户而言，如何降低企业的运营成本是企业用户认为下一代防火墙应该具备的最重要特性，由此下一代防火墙必须具备提供多种安全功能灵活组合的能力，以满足企业不同发展时期的不同安全需求;其次为了解决企业网络中所面临的不同位置的安全问题，下一代防火墙还必须能够给企业提供灵活的部署方案;第三下一代防火墙应更加专注对应用层业务的控制与保护，以满足企业用户广泛的基于应用的业务需求，同时对应用层性能的关注也应该作为企业用户选择下一代防火墙的重要指标;最后如何更加人性化的实现对下一代防火墙的统一运维管理，以及快速精准的发现及定位业务风险，也是企业选择下一代防火墙不可或缺的参考指标。

　　网康科技市场部产品市场经理熊瑛谈到，下一代防火墙的几个比较显著的标签是：基于应用层构建安全、主动防御、多威胁检测机制智能融合，与这些标签相对应的参数或考量标准主要体现在以下几点：应用识别的广度和深度以及与本土用户使用习惯的契合度;可视化及智能分析的能力和操作体验;功能全开启后的性能以及性能衰减趋势。这三点是企业选型下一代防火墙的关键。