下一代防火墙的评估标准

　　本文为用户提供了一些答案，一旦已经有了自己的RFP，从考虑的供应商中如何寻找。注：如果还没有制定RFP来定义下一代防火墙的要求，请进行制定。

　　识别应用，而不是端口

　　不论端口、协议、SSL加密或者其他逃避战术，只要使用防火墙，就应该识别应用，因为这提供了应用最大量的知识和策略控制的最佳机会。

　　最后有一点是很重要，下一代防火墙有一个很大的应用特征库，安装在设备中，这是为了避免托管或“在云端”数据库可能产生的延迟。特征库应通过供应商或订阅服务定期更新，并且特征更新应是自动的(如果需要的话)。

　　应用识别是NGFW流量分类的核心。它是智能、可伸缩和能扩展的，并且总是–跨越所有端口和所有流量。如果不是这样，它就不是一个下一代防火墙。

　　识别用户，而不是IP地址

　　与企业目录服务(如：活动目录(Active Directory)，轻量目录访问协议(LDAP)和电子目录(eDirectory))无缝集成，使管理员能够捆绑用户和组的网络活动，而不仅是IP地址。当把应用识别和内容识别技术一起使用时，IT部门可以利用用户与组对应用、威胁、网上冲浪和数据传输活动提供可视、策略创建、取证调查和报告。

　　用户识别有助于解决使用IP地址来监视和控制特定用户活动的问题--这曾经是相当简单的事，但当企业转移到以互联网为中心的模式时，这已经非常困难。

　　可视问题在移动性企业中日益增多，员工几乎需要从世界的任何地方访问网络，当用户从一个区到另一个区时，内部无线网可重新分配IP地址，而且网络用户并不总是公司的员工。其结果是，IP地址现在不足以监视和控制用户活动。

　　在NGFW中，使用以下技术来验证和维护用户到IP地址的关系，准确识别用户：

　　登录监视：对登录活动进行监视，在用户登录域时，关联到用户和组信息的IP地址。

　　终端站轮询：对每个活动的PC进行轮询，验证IP地址信息，保持准确的映射，当用户在网络内移动时，对域不必重新认证。

　　俘获门户：关联用户和IP地址，万一在主机不为域的一部分时，通过基于Web页面验证表。

　　易于部署：用户识别不应该影响关键基础设施。有些方案需要一个代理，安装在企业的每个域控制器中，这可能会影响性能并增加部署的复杂性。

　　识别内容，而不是包

　　员工想要使用希望的应用，毫无顾忌地浏览网页，毫无疑问，企业要努力地防止网络的威胁。对威胁活动获得控制的第一步是识别和控制应用，减少不希望或坏应用的活动 -- 通常被称作威胁矢量。接着，能够实现内容控制策略，补充应用使用控制策略。

　　在NGFW中的内容识别功能应包括：

　　威胁预防：针对变化的威胁环境寻找创新的特性，防止应用漏洞、间谍件和病毒扩散到网络。这些特性的例子包括利用应用解码器，使应用数据流重组和解析，检查特定的威胁标识符，以及在单一路径统一威胁引擎和特征格式，检测和阻止各种恶意件(如病毒、间谍件和漏洞攻击)，而不是为每种威胁使用一组独立的扫描引擎和特征。

　　基于流的病毒扫描：这项技术在收到文件第一个数据包就开始扫描，而不是等到整个文件加载到内存后才开始。这就最小化了性能和延迟问题，接收、扫描并立即发送到其预定目标，不需要缓冲，然后再扫描文件。

　　漏洞攻击防护：应用漏洞防护启用一组入侵防御系统(IPS)特性，阻止已知和未知的网络和应用层漏洞攻击、缓冲区溢出、拒绝服务(DoS)攻击和端口扫描，防止影响和破坏企业的信息资源。 IPS机制包括：

　　协议解码器和异常检测;

　　状态模式匹配;

　　统计异常检测;

　　基于启发的分析;

　　阻止无效或畸形包;

　　IP碎片整理和TCP重组;

　　自定义漏洞和间谍件特征。

　　尽管有多种攻击规避技术，标准化流量消除无效和错误的数据包，而执行TCP重组和IP碎片整理确保了最准确和保护。

　　URL过滤：URL过滤数据库应该是内置的，减少了与相关托管数据库的延迟问题。自定义特性应包括创建自定义URL类别和为特定的组与用户创建细粒度策略的能力，这些特定的组与用户可以允许、禁止或警告，然后允许进入网站。

　　文件和数据过滤：数据过滤使管理员能够实施策略，降低传输未经授权文件/数据所带来的风险。

　　按类型阻止文件：通过深度寻找有效载荷的内部，确定文件类型(而不是仅看文件扩展名)，控制各种文件类型的流量。

　　数据过滤：控制敏感数据模式的传输，如在应用内容中或附件中的信用卡和社会保险号。

　　文件传输功能控制：控制单个应用内的文件传输功能，允许应用使用防止意外入站或出站的文件传输。

　　下面描述的六个特性使用较少的技术，但仍然很重要。

　　可视

　　下一代防火墙为IT管理员用有效的方式呈现了可操作的数据-- 能够快速、轻松地查看特定、详细的应用、用户和内容的信息。

　　控制

　　一个牢靠的新一代防火墙解决方案提供了应用使用的粒度控制策略，如下面的任意组合：

　　允许或拒绝;

　　允许某些应用功能和使用流量整形;

　　允许，但需扫描;

　　解密和检查;

　　允许特定用户或组。

　　性能

　　线内NGFW必须执行先进的网络安全功能，为计算密集型-- 他们必须实时地这样做，还必须很少或根本没有延迟。下一代防火墙需要有处理千兆位级流量的能力，用高速功能特定处理器的专用平台。理想情况下，为了确保管理和数据包处理的可用性，管理平面和控制平面应分开。

　　灵活性

　　组网灵活性有助于确保与各种部门计算环境的兼容性。没有重新设计或重新配置的实现取决于对组网特性和选项的支持范围，如：

　　802.1Q和基于端口的VLAN;

　　集群端口;

　　透明模式;

　　动态路由协议(如：开放式最短路径优先(OSPF)和边界网关(BGP));

　　IPv6的支持;

　　IPSec VPN和SSL VPN的支持;

　　大容量的接口和多种混合模式(如接头、第1层、第2层和第3层)。

　　可靠性

　　可靠性有助于确保不间断操作和连续的特性，如：

　　主动-- 被动和/或活动-- 活动故障转移;

　　状态和配置同步;

　　冗余组件(如双电源)。

　　伸缩性

　　伸缩性主要依赖于固有的管理能力(包括集中式设备、策略管理和设备间的同步)和高性能的硬件，但也可以通过虚拟系统来实现，如一台物理防火墙可以配置成多个虚拟防火墙。

　　可管理性

　　可管理性是下一代防火墙寻找的一个重要特征。一个成熟的解决方案，如果难以管理和维护，甚至用不正确和不安全的方式部署，将无法实现效益最大化。重要的管理功能包括：

　　本地和远程管理;

　　集中管理;

　　基于角色的管理;

　　自动特征更新;

　　设备状态和安全事件的实时监视;

　　牢靠的日志和定制的报告。