本部分為用戶提供了一些答案，一旦已經(jīng)有了自己的RFP，從考慮的供應(yīng)商中如何尋找。注：如果還沒有制定RFP來定義下一代防火墻的要求，請到第5部分進(jìn)行制定。

　　識別應(yīng)用，而不是端口

　　不論端口、協(xié)議、SSL加密或者其他逃避戰(zhàn)術(shù)，只要使用防火墻，就應(yīng)該識別應(yīng)用，因?yàn)檫@提供了應(yīng)用最大量的知識和策略控制的最佳機(jī)會。

　　最后有一點(diǎn)是很重要，下一代防火墻有一個(gè)很大的應(yīng)用特征庫，安裝在設(shè)備中，這是為了避免托管或“在云端”數(shù)據(jù)庫可能產(chǎn)生的延遲。特征庫應(yīng)通過供應(yīng)商或訂閱服務(wù)定期更新，并且特征更新應(yīng)是自動(dòng)的(如果需要的話)。

　　應(yīng)用識別是NGFW流量分類的核心。它是智能、可伸縮和能擴(kuò)展的，并且總是–跨越所有端口和所有流量。如果不是這樣，它就不是一個(gè)下一代防火墻。

　　識別用戶，而不是IP地址

　　與企業(yè)目錄服務(wù)(如：活動(dòng)目錄(Active Directory)，輕量目錄訪問協(xié)議(LDAP)和電子目錄(eDirectory))無縫集成，使管理員能夠捆綁用戶和組的網(wǎng)絡(luò)活動(dòng)，而不僅是IP地址。當(dāng)把應(yīng)用識別和內(nèi)容識別技術(shù)一起使用時(shí)，IT部門可以利用用戶與組對應(yīng)用、威脅、網(wǎng)上沖浪和數(shù)據(jù)傳輸活動(dòng)提供可視、策略創(chuàng)建、取證調(diào)查和報(bào)告。

　　用戶識別有助于解決使用IP地址來監(jiān)視和控制特定用戶活動(dòng)的問題--這曾經(jīng)是相當(dāng)簡單的事，但當(dāng)企業(yè)轉(zhuǎn)移到以互聯(lián)網(wǎng)為中心的模式時(shí)，這已經(jīng)非常困難。

　　可視問題在移動(dòng)性企業(yè)中日益增多，員工幾乎需要從世界的任何地方訪問網(wǎng)絡(luò)，當(dāng)用戶從一個(gè)區(qū)到另一個(gè)區(qū)時(shí)，內(nèi)部無線網(wǎng)可重新分配IP地址，而且網(wǎng)絡(luò)用戶并不總是公司的員工。其結(jié)果是，IP地址現(xiàn)在不足以監(jiān)視和控制用戶活動(dòng)。

　　在NGFW中，使用以下技術(shù)來驗(yàn)證和維護(hù)用戶到IP地址的關(guān)系，準(zhǔn)確識別用戶：

　　?登錄監(jiān)視：對登錄活動(dòng)進(jìn)行監(jiān)視，在用戶登錄域時(shí)，關(guān)聯(lián)到用戶和組信息的IP地址。

　　?終端站輪詢：對每個(gè)活動(dòng)的PC進(jìn)行輪詢，驗(yàn)證IP地址信息，保持準(zhǔn)確的映射，當(dāng)用戶在網(wǎng)絡(luò)內(nèi)移動(dòng)時(shí)，對域不必重新認(rèn)證。

　　?俘獲門戶：關(guān)聯(lián)用戶和IP地址，萬一在主機(jī)不為域的一部分時(shí)，通過基于Web頁面驗(yàn)證表。

　　?易于部署：用戶識別不應(yīng)該影響關(guān)鍵基礎(chǔ)設(shè)施。有些方案需要一個(gè)代理，安裝在企業(yè)的每個(gè)域控制器中，這可能會影響性能并增加部署的復(fù)雜性。

　　識別內(nèi)容，而不是包

　　員工想要使用希望的應(yīng)用，毫無顧忌地瀏覽網(wǎng)頁，毫無疑問，企業(yè)要努力地防止網(wǎng)絡(luò)的威脅。對威脅活動(dòng)獲得控制的第一步是識別和控制應(yīng)用，減少不希望或壞應(yīng)用的活動(dòng) -- 通常被稱作威脅矢量。接著，能夠?qū)崿F(xiàn)內(nèi)容控制策略，補(bǔ)充應(yīng)用使用控制策略。

　　在NGFW中的內(nèi)容識別功能應(yīng)包括：

　　?威脅預(yù)防：針對變化的威脅環(huán)境尋找創(chuàng)新的特性，防止應(yīng)用漏洞、間諜件和病毒擴(kuò)散到網(wǎng)絡(luò)。這些特性的例子包括利用應(yīng)用解碼器，使應(yīng)用數(shù)據(jù)流重組和解析，檢查特定的威脅標(biāo)識符，以及在單一路徑統(tǒng)一威脅引擎和特征格式，檢測和阻止各種惡意件(如病毒、間諜件和漏洞攻擊)，而不是為每種威脅使用一組獨(dú)立的掃描引擎和特征。

　　?基于流的病毒掃描：這項(xiàng)技術(shù)在收到文件第一個(gè)數(shù)據(jù)包就開始掃描，而不是等到整個(gè)文件加載到內(nèi)存后才開始。這就最小化了性能和延遲問題，接收、掃描并立即發(fā)送到其預(yù)定目標(biāo)，不需要緩沖，然后再掃描文件。

　　?漏洞攻擊防護(hù)：應(yīng)用漏洞防護(hù)啟用一組入侵防御系統(tǒng)(IPS)特性，阻止已知和未知的網(wǎng)絡(luò)和應(yīng)用層漏洞攻擊、緩沖區(qū)溢出、拒絕服務(wù)(DoS)攻擊和端口掃描，防止影響和破壞企業(yè)的信息資源。 IPS機(jī)制包括：

　　?協(xié)議解碼器和異常檢測;

　　?狀態(tài)模式匹配;

　　?統(tǒng)計(jì)異常檢測;

　　?基于啟發(fā)的分析;

　　?阻止無效或畸形包;

　　? IP碎片整理和TCP重組;

　　?自定義漏洞和間諜件特征。

　　盡管有多種攻擊規(guī)避技術(shù)，標(biāo)準(zhǔn)化流量消除無效和錯(cuò)誤的數(shù)據(jù)包，而執(zhí)行TCP重組和IP碎片整理確保了最準(zhǔn)確和保護(hù)。

　　?URL過濾：URL過濾數(shù)據(jù)庫應(yīng)該是內(nèi)置的，減少了與相關(guān)托管數(shù)據(jù)庫的延遲問題。自定義特性應(yīng)包括創(chuàng)建自定義URL類別和為特定的組與用戶創(chuàng)建細(xì)粒度策略的能力，這些特定的組與用戶可以允許、禁止或警告，然后允許進(jìn)入網(wǎng)站。

　　?文件和數(shù)據(jù)過濾：數(shù)據(jù)過濾使管理員能夠?qū)嵤┎呗?，降低傳輸未?jīng)授權(quán)文件/數(shù)據(jù)所帶來的風(fēng)險(xiǎn)。

　　?按類型阻止文件：通過深度尋找有效載荷的內(nèi)部，確定文件類型(而不是僅看文件擴(kuò)展名)，控制各種文件類型的流量。

　　?數(shù)據(jù)過濾：控制敏感數(shù)據(jù)模式的傳輸，如在應(yīng)用內(nèi)容中或附件中的信用卡和社會保險(xiǎn)號。

　　?文件傳輸功能控制：控制單個(gè)應(yīng)用內(nèi)的文件傳輸功能，允許應(yīng)用使用防止意外入站或出站的文件傳輸。

　　下面描述的六個(gè)特性使用較少的技術(shù)，但仍然很重要。

　　可視

　　下一代防火墻為IT管理員用有效的方式呈現(xiàn)了可操作的數(shù)據(jù)-- 能夠快速、輕松地查看特定、詳細(xì)的應(yīng)用、用戶和內(nèi)容的信息。

　　控制

　　一個(gè)牢靠的新一代防火墻解決方案提供了應(yīng)用使用的粒度控制策略，如下面的任意組合：

　　?允許或拒絕;

　　?允許某些應(yīng)用功能和使用流量整形;

　　?允許，但需掃描;

　　?解密和檢查;

　　?允許特定用戶或組。

　　性能

　　線內(nèi)NGFW必須執(zhí)行先進(jìn)的網(wǎng)絡(luò)安全功能，為計(jì)算密集型-- 他們必須實(shí)時(shí)地這樣做，還必須很少或根本沒有延遲。下一代防火墻需要有處理千兆位級流量的能力，用高速功能特定處理器的專用平臺。理想情況下，為了確保管理和數(shù)據(jù)包處理的可用性，管理平面和控制平面應(yīng)分開。

　　靈活性

　　組網(wǎng)靈活性有助于確保與各種部門計(jì)算環(huán)境的兼容性。沒有重新設(shè)計(jì)或重新配置的實(shí)現(xiàn)取決于對組網(wǎng)特性和選項(xiàng)的支持范圍，如：

　　?802.1Q和基于端口的VLAN;

　　?集群端口;

　　?透明模式;

　　?動(dòng)態(tài)路由協(xié)議(如：開放式最短路徑優(yōu)先(OSPF)和邊界網(wǎng)關(guān)(BGP));

　　?IPv6的支持;

　　?IPSec VPN和SSL VPN的支持;

　　?大容量的接口和多種混合模式(如接頭、第1層、第2層和第3層)。

　　可靠性

　　可靠性有助于確保不間斷操作和連續(xù)的特性，如：

　　?主動(dòng)-- 被動(dòng)和/或活動(dòng)-- 活動(dòng)故障轉(zhuǎn)移;

　　?狀態(tài)和配置同步;

　　?冗余組件(如雙電源)。

　　伸縮性

　　伸縮性主要依賴于固有的管理能力(包括集中式設(shè)備、策略管理和設(shè)備間的同步)和高性能的硬件，但也可以通過虛擬系統(tǒng)來實(shí)現(xiàn)，如一臺物理防火墻可以配置成多個(gè)虛擬防火墻。

　　可管理性

　　可管理性是下一代防火墻尋找的一個(gè)重要特征。一個(gè)成熟的解決方案，如果難以管理和維護(hù)，甚至用不正確和不安全的方式部署，將無法實(shí)現(xiàn)效益最大化。重要的管理功能包括：

　　?本地和遠(yuǎn)程管理;

　　?集中管理;

　　?基于角色的管理;

　　?自動(dòng)特征更新;

　　?設(shè)備狀態(tài)和安全事件的實(shí)時(shí)監(jiān)視;

　　?牢靠的日志和定制的報(bào)告。