下一代防火墙选型

　　部署NGFW对于企业用户来说最大价值体现在可以保证企业关键业务系统稳定、安全、可管理。刘权峰谈到，企业用户在进行产品选型时也要结合这三方面来进行产品的选型。

　　1、稳定特性

　　对于企业用户NGFW设备的稳定性是需要首要考虑的，选型方面要充分考虑产品自身架构的稳定。例如是否采用专用的操作系统，是否通过国际认可的EAL4+ 认证(国际上认可的最高等级的稳定安全方面的认证)。

　　在产品功能上也需要具备能够满足稳定要求功能，例如是否采用自己的专利集群技术;是否可以支持全Active部署;是否可以支持不同软件版本不同型号的产品的集群。由于NGFW产品需要部署在网络边界直接连接不同的链路类型，如 3G 专线 ADSL，因此要求NGFW需要内置链路负载均衡的技术，保证链路的稳定。在多分支机构VPN互连的架构里，要能够确保在某条链路失效的情况下，业务数据通信要能够平滑迁移到其它链路上来，保证业务绝对不会中断。

　　2、安全特性

　　面对不断出现新的安全威胁，NGFW要能够对这些威胁实现主动地防御。这需要用户在选择NGFW时候要考虑NGFW产品深度检测技术的能力，可以参考第三方机构的报告。 目前比较权威的是NSSLabs，每年对NGFW都会有综合性的测评，包括近三年的攻击防护率测试/在采用默认策略防护率测试/攻击环境下设备稳定性测试/高级逃逸攻击测试。

　　刘权峰强调到，一定要考虑NGFW对于高级逃逸技术的防护能力，多数用户都使用IPS、UTM或防火墙来防护关键业务系统和敏感数据。逃逸技术，就是以穿透这类安全设备为目的的黑客技术。逃逸技术很古老，防范手段也很简单，我们市场上现有的所有安全品牌，对这些传统的逃逸都有很好的防御能力。但是与其他攻击不同的是，逃逸技术可以进行一系列变种和组合，组合之后的变化会达到上亿种，远远大于任何厂家的特征库数量，所以对于传统的安全设备根本不可能检测和拦截这类的攻击，高级逃逸技术对于客户数据安全的威胁是明显的。它有两个最致命特点：一是现有的网络安全设备对其完全无法检测，不起作用；二是用户被高级逃逸攻击后，在安全设备上是不留任何日志的，也就是用户不会知道自己丢了资料，所谓亡羊补牢都难以实现。

　　3、可管理

　　NGFW必须具备下一代集中管理平台，集中管理平台可以作为安全信息和事件管理平台(SIEM)，管理平台同时还要能够实现对NGFW智能监控和日志的关联分析。