【IT168 评论】如果在过去的十年中要说有什么网络安全设备发生了显著变化的话，那必须是防火墙。防火墙曾经只是可信和不可信网络之间简单的访问入口控制，现在已经演变成一个多方位、多层次的威胁管理系统。

　　今天的下一代防火墙是企业网络安全策略的关键。然而，并非所有NGFW都是相同的。虽然每一个厂商的NGFW都有一些显著的功能和优势，但企业在购买时需要根据自身网络安全需求，了解并评估它们之间的差异。

　　对于大多数人来说，新的NGFW可能会取代网络环境中已建立了的传统防火墙或老化了的NGFW。如果是这样的话，我们的最终决定可能会被以下这些因素影响：比如有没有其他硬件需要被替换掉;新的防火墙需要和什么其他网络组件一起工作;怎样对新NGFW进行管理……

　　另一些会影响你决策的重要因素是，企业网络上运行着的关键应用，以及网络使用的安全策略和战术。其实，如果企业对NGFW的类型有不同需求，那每个NGFW厂商都会有相应的长处和短处。例如，一个NGFW供应商可能具有业界领先的IPS功能集，但它可能没有可以抵御零日攻击得强大的恶意软件防护功能。正因为如此，技术决策者需要优先考虑哪些功能是企业最需要的，才能去选择一款最适合的产品。

　　最后，我们必须看投资的长期可扩展性和可保障性。企业级NGFWs并不便宜，了解当前投资方面供应商向外扩展的路线图，并试图与他们对齐，对选择合适的产品也是很重要的。

　　下面这七个因素，是企业在选择部署下一代防火墙的时候需要去考虑的。

　　1、性能

　　当涉及到下一代防火墙，就意味着必须在威胁防护和其原始性能之间取得一个平衡。获得您所需要避免任何瓶颈的性能以及想要的功能，可能会非常棘手。需要注意的是，Gartner研究分析师指出，供应商和解决方案提供商往往会缩小防火墙的尺寸来降低成本，并认为这是影响性能问题的一个显著原因。较小的硬件设备不能正常运行所有的安全功能，也不能很好地处理安全威胁。因此，在未来几年的一个评估关键是，要计算产品的吞吐量。

　　2、互通性

　　NGFWs不是一个孤岛。相反，它常常与许多其他网络安全工具，如网络监控工具、日志服务器、认证服务器、网络访问控制(NAC)产品和外部Web/电子邮件安全解决方案进行互动。不同的NGFW厂商和产品，互操作性将有所不同。请务必验证您购买的NDFW与您的网络外部组件和应用程序的互操作性。

　　3、可见性和可控性

　　不同厂商的NGFW产品的不同点主要集中在网络和应用的可视性。这个可视性不仅要达到可以查看应用程序和用户信息的水平，还要能提供网络行为的情报。因此，在购买产品前，一定要了解每个厂商的安全情报收集的能力，以确保它符合或超出您的期望。

　　4、高级安全特性

　　下一代防火墙已经成为IT安全名副其实的多功能工具。防火墙是与其他多种工具一起协作的，企业组织可能会在日常中依赖于一些第三方的工具进行网络安全管理。而使用NGFW，标准状态的访问控制规则是肯定会被用到的，其他常用的功能还包括VPN、安全远程访问和入侵防御。但对于其它的安全特性(比如沙箱、高级威胁防护等)而言，它取决于你是否需要这个功能，并愿意支付其许可费用。对于有些公司，可能全部的功能都是需要的，而对于有些来说，过多的功能可能会矫枉过正。

　　5、可扩展性

　　不同厂商网络硬件更新时间周期也不一样。在大多数情况下，三到六年是最常见的一个周期段。当你要选择NGFW时，你要确保它的更新能跟上公司业务发展的预期数据量，因为这可能意味着需要购买更大的硬件设备或拥有出众负载均衡或群集能力的硬件。

　　6、管理和报告

　　如果您的安全管理员负责管理多个或几十个防火墙，有一个合适的管理平台对降低人力资源成本是至关重要的。大多数企业的NGFW具有内置或可选的集中式管理功能，为配置提供了一个单一的面板，监控网络上所有NGFW的情况并生成报告。另外，越来越多的厂商都开始提供NGFW云管理，更有利于集中管理。

　　7、拥有成本

　　最后一个需要考虑的因素是整个NGFW生命周期的总拥有成本。一旦你开始四处采购硬件，你很快会意识到许可和持续支持的费用会有所不同。您将需要进行成本/效益分析，以确定什么样的产品保障会给您的组织以最低的成本达到最适当的水平。