在网络安全方面，防火墙已成为20多年来的第一道防线。为了阻止新出现的威胁，正确防火墙的部署是安全基础架构中最重要的元素之一。

以下是一些有关这方面的提示，可以帮助您购买能够增强安全基础架构的正确的下一代防火墙（NGFW）。

信任防火墙性能统计信息可能是错误的

了解NGFW的性能能力需要的不仅仅是查看供应商的规范或通过它运行一些流量。当流量负载较轻时，大多数防火墙都能正常运行。重要的是要了解防火墙如何大规模响应，尤其是在打开加密时。目前大约80％的流量都是加密的，并且通过大量加密流量维持性能水平的能力至关重要。

在测试时，请务必打开所有主要功能，以检查防火墙在生产环境中的运行方式。在提交给供应商之前，请确保使用尽可能多的不同类型的流量和各种类型的应用程序运行测试。

NGFW需要适应更广泛的安全平台

拥有最佳策略或与单一供应商合作以获得安全性更好吗？重要的是要了解到各地的同类最佳并不能确保一流的安全性。事实上，相反的情况通常是正确的; 拥有太多供应商会导致无法管理的复杂性，从而使企业面临风险。更好的方法是安全平台，可以将其视为一种开放式架构，可以插入第三方产品。

任何NGFW都必须能够插入平台，以便它能够“看到”从物联网端点到云流量到最终用户设备的所有内容。此外，一旦NGFW汇总了数据，它应该能够执行分析以提供见解。这将使NGFW能够在整个网络中采取行动并实施策略。

多种外形，一致的安全功能
防火墙过去常常被降级到企业数据中心。如今，网络已经开放，客户需要在网络中的每个点都设置一致的功能集。NGFW供应商应具备以下可用于优化性价比的外形：

1，数据中心
2，互联网边缘
3，中型分支机构
4，小型分支机构
5，坚固耐用的物联网环境
6，云交付
7，可以在私有云和公共云中运行的虚拟机

此外，NGFW供应商应该有一个容器化外形的路线图。这当然不是一项微不足道的任务。大多数供应商还没有容器就绪产品，但他们应该能够谈论他们计划解决问题的方式。

统一防火墙管理

防火墙供应商必须拥有一个提供端到端可见性的管理工具，并使管理员能够进行更改并立即通过网络将其推送出去。可见性必须扩展到任何地方，包括云，物联网边缘，运营技术（OT）环境和分支机构。单个仪表板也是实现和维护基于软件的分段的正确位置，而不必配置每个设备。

防火墙自动化功能

自动化还可用于通过预测行为和更快地执行保护来更好地保护组织。如果使用得当，自动化可以减轻人为负担并防止网络攻击。以下是NGFW自动化的三个使用案例：

1。工作流程自动化通过卸载许多平凡的日常任务来简化安全工程师的工作。跨多个环境管理多个设备会增加复杂性并带来配置错误带来的风险。工作流自动化可以被视为规则生命周期管理，以自动化变更管理过程的每个阶段。工作流程应该是可定制的，以适应安全目标和标准。此外，自动化可以减轻一些繁琐任务的负担，例如识别应用程序和设备。

2.政策自动化使安全性更加敏捷。随着公司变得越来越动态和分布，变革是当今企业的标准。这使得使用手动方法保持最新策略几乎是不可能的。策略自动化可确保即使在情况发生变化时也会持续遵守策略。例如，如果所有IoT设备都要保留在安全段中并且设备移动，则策略需要自动跟随设备而不必重新配置网络。

3.安全识别和执法自动化可以帮助更快地发现威胁并近乎实时地对它们做出反应。公司在发现威胁之前经常持续数天，数周甚至数月，这会造成严重损害。平台的力量在于它能够看到所有并且能够识别最微小的异常。自动化可用于查找异常并在安全段中隔离端点。

最后，自动化需要一个易于理解的界面。许多自动化工具都有陡峭的学习曲线，这限制了它们的实用性。企业应该能够增加自动化的使用，而无需增加更多人。

NGFW高级功能

除了NGFW的基本阻止和处理之外，该功能集还应包括优化性能和提供新功能的高级功能。可用的高级功能列表非常长; 这里有一些可以解决一些最大的企业痛点。

优化服务，使客户能够最大限度地提高安全投资的投资回报率。这将通过一组供应商提供的工具和资源来完成，以帮助客户采用最佳实践来确保正确配置和部署内容。

政策优化，它可以分析规则，然后确定要保留，删除或清理的规则。传统防火墙使用基于端口的规则，NGFW基于应用程序的白名单规则运行。公司从基于端口迁移到基于应用程序的挑战之一是规则集可能变得庞大且不守规矩。许多公司拥有数百万的防火墙规则，在迁移之前无法清理它们。策略优化可以帮助删除未使用的规则，从而保持规则集清洁并减少整体攻击面。

DNS安全性，使用机器学习功能来阻止使用DNS的攻击。DNS作为攻击媒介的使用继续增长，因为很容易通过网络钓鱼将用户引导到坏域。有DNS安全工具，但它们与防火墙是分开的。与NGFW的集成使保护变得自动化，并且不再需要独立的工具。这样可以更快地识别恶意域，并能够抵消DNS隧道中隐藏的威胁。

证件防盗保护保护公司免受被盗密码的侵害。这是获取网络访问权的最古老，最简单的方法。一旦威胁行为者可以访问被盗凭证，他们就可以通过冒充该可信用户来绕过所有安全工具。然后，对手可以在公司内自由移动，挑选和选择要窃取的数据或造成的伤害。作为平台一部分的NGFW可以通过阻止有效凭证进入非法网站来识别和防止窃取凭证的企图。然后，NGFW可以自动执行规则以防止横向移动到不同的系统，从而使公司有时间通知用户并更改密码。

NGFW应该被视为安全平台战略的基础，可以在网络中的任何地方实现更好的安全性。不要被温文尔雅的营销和光泽的规格表所迷惑。相反，进行自己的测试并确保在所有情况下都满足公司的需求。因为对于NGFW，性能的微小差异会对威胁防护产生重大影响。