下一代防火墙提供了很多新功能，但是如何将下一代防火墙添加到安全产品组件里面，这是个值得考虑的问题……

在信息安全界，下一代防火墙(Next-generation firewalls, NGFW)目前非常热门。厂商都吵着要用新的增强型产品在企业内站稳脚跟，承诺新的产品可以给网络安全带来更强的智能意识。网络专家认为在开展第一次下一代防火墙( NGFW)部署项目前应该先解决一些关键问题。这些问题包括部署技术的原理，确定可以受益最多的部署位置，适用于特定环境的性能。

从利基产品转移到下一代防火墙(NFGW)

目前很多组织的安全环境中都涉及到不同技术的使用，且分别专注于安全策略中的一个特定组件。例如，网络安全服务常常是以防火墙，入侵检测和防御系统，网络访问控制以及数据丢失预防服务等形式出现。如果要让企业在每个类别中选择一个最合适的产品，如何管理和监控这些独立系统对于企业而言又是一个挑战。

下一代防火墙可以在单个设备上将许多不同的安全技术整合起来。网络安全特性融合桌面安全，内容过滤和安全基础设施的其它组成部分。这为网络管理员提供了一个单一的管理界面来监管多个系统，更重要的是，可以让这些功能共享威胁和资产信息。下一代防火墙(NGFW)的真正价值是其所提供的统一监控，为管理员提供了一个更为清晰的视野来了解企业网络安全状况。

将下一代防火墙部署到网络中

当然，下一代防火墙的优势也是有代价的。与其它技术相比，下一代防火墙的标价更高。网络专家认为部署下一代防火墙之前应该慎重考虑部署位置，如何能让下一代防火墙最大程度增强网络安全性。例如，将下一代防火墙部署在组织边界可能不会符合成本效益。相反，将下一代防火墙部署在内部网络的关卡上可能产生最大的价值。

在大多数组织中，部署下一代防火墙的首要任务是要保护那些暴露在互联网中的服务。允许公众访问的Web服务器，邮件服务器等设备面临最大的攻击风险，因此这些设备应该受到下一代防火墙最大的保护。由于这个原因，任何对外网络(DMZ)都是下一代防火墙防护的最佳候选。

一旦保护好了对外网络(DMZ)，就可以考虑转向保护其它高价值的网段。有没有一些特定类别的用户面临着更大的风险呢？抑或由于他们处理的数据类型或从事的活动面临更大的安全风险？例如，一个包含信用卡POS终端的网段就是下一代防火墙技术部署的极好位置，当威胁(像BackOff这种感染POS的恶意软件)来临时就可以提供快速响应。

选择下一代防火墙的性能

当挑选将要部署的下一代防火墙特定性能时，网络和安全团队应该合作。用一个保守的方法来挑选性能是比较适合的，有两个原因。首先，负责网络安全的管理员必须能熟练操作和监控新的性能。其次，许多功能都是单独授权的，需要前期和持续的资金来维持。

最直接的方法就是选择一个能提供所有你所希望部署的服务的下一代防火墙平台，但是只购买那些要立即使用的服务的授权。推出一套能紧密匹配目前你所拥有的利基产品的服务，然后慢慢妥善过渡到下一代防火墙。一旦一切都在掌握中，就可以开始考虑部署新的功能之一，直到慢慢达到你期望的最终状态。

下一代防火墙对于提供网络和安全团队的效率和效益有着巨大潜力。组织应该谨慎地选择下一代防火墙策略，将其部署在可以实现最大价值的位置，并精心部署一组能平衡安全需求与运营要求的服务。