下一代防火牆產品應當包含如下特性:應用程序感知、狀態檢測、集成入侵防禦系統、身份感知(用戶和組的控制)、橋接模式和路由模式、能夠利用外部的情報源,等等。如今的市場上有不少信息安全方案都宣稱自己是下一代防火牆。如何發現其差異並?下面天互數據談幾個審查和比較選擇下一代防火牆的標準:
工具/原料
服務器
防火牆
方法/步驟
1.下一代防火牆是否可以防禦針對服務器應用和客戶端應用的攻擊?其防禦程度如何?
2.是否能被規避或逃脫?
3.它是否穩定和可靠?
4.該方案是否能夠強化入站和出站的應用策略?
5.該方案是否能夠強化入站和出站的身份策略?
6.其性能如何?
進一步講,企業選擇部署哪種防火牆設備取決於幾個有限的因素。這是因為多數設備都滿足下一代防火牆的範疇,並能執行同樣的任務。所以,為什麼要選擇這個而不選那個?安全管理者最初可能是憑個人的喜愛和直覺來選擇,有時是根據一些事實或道聽途說的證據,但這些畢竟已經成為選擇標準的一部分。
在選擇具體的方案時,我們應考慮設備的功效問題。其中一個主要方面在發生了針對服務器和客戶端應用的攻擊時,具體的方案可以阻止攻擊的比例有多大。雖然不同的方案之間的差異可能很小,但正是這小小的不同就可能成為發生嚴重安全事件和挫敗攻擊的分水嶺。
另一個需要考慮的因素是可通過設備的總吞吐量。由於這些設備在總吞吐量方面並不能直接比較,那如何更好地使用此標準呢?方法之一就是衡量每個受保護的比特所花費的成本。如果企業沒有經過審查而優先選擇了一家廠商,那麼機會成本是什麼呢?那就是還有一個更小巧或更強大的版本滿足企業環境的要求。
企業需要考慮的最後一個因素是該方案利用的電能和空間。還是那個問題,不同的設備並不能直接比較,一個簡單的比較和決定方法是,將設備的消耗量除以設備的規模(或除以設備的總吞吐量),並比較不同設備的計算結果。