来源：中科网威

编辑：安生

今天跟几个企业老总一起交流，无意间聊起了日前肆虐的比特币勒索病毒“永恒之蓝”（也称“想哭”）这个热点话题，大家先感慨还好自己的公司都没有中招，进而对此次比特币勒索病毒病毒的名字、对病毒制造者和病毒的危害发表了一通议论，并且将“永恒之蓝”和2007年“熊猫烧香”这两个历史上最负盛名的病毒比较一番。结论是大家佩服病毒黑客高超技术和命名方面的才华，对病毒的危害深恶痛绝又无奈。用现在很流行的说法是：相爱又相杀。比特币病毒爆发暴露出网络安全隐患，如何保护网络安全，对于现如今越来越依托网络办公的企业来说，是个急迫又严峻的问题。

互联网安全由良好的上网行为习惯和网络安全设备构成。上网行为习惯指不访问不良网站，不下载未知软件，安装使用杀毒软件等，这些大家都清楚就不多说明了。良好的上网行为可以防止触发病毒，但是对于一些高级的主动入侵病毒是没有免疫力的，这就需要用到安全性更高的硬件网络安全设备。硬件网络安全设备有下一代防火墙、WEB应用防火墙、VPN安全网关、运维堡垒机、病毒隔离网关、上网行为管理等。由于企业用网用户数多、访问面广、数据量大，而且企业传输的网络信息直接关系到商业机密，因此选择一款安全性能好的网络安全设备很重要。下面笔者就用企业应该怎么选购下一代防火墙举例。

如今的市场上有不少厂商都宣称自己是下一代防火墙，其中不乏“巧借名目”和“抢占高地”者。研究这些产品资料也不难看出，此类产品与传统防火墙相比只是换汤不换药，在其技术特性中根本读不到任何NGFW的基因，只是将几年前推出的传统防火墙冠以“NG”开头的名称而已。如何选择一款真正下一代防火墙还是一个复杂工作。笔者建议从下面几个下一代防火墙标签进行考虑：下一代防火墙的几个比较显著的标签是：基于应用层构建安全、主动防御、多威胁检测机制智能融合，与这些标签相对应的参数或考量标准主要体现在以下几点：应用识别的广度和深度以及与本土用户使用习惯的契合度;可视化及智能分析的能力和操作体验;功能全开启后的性能以及性能衰减趋势。具体来说，企业在选型时候需要重点关注下一代防火墙几个方面的表现：

一、首先是应用识别的能力：既要广度更要深度

识别的广度和深度是应用识别最重要的指标，也是下一代防火墙区别于传统防火墙的重要特征。在应用识别广度方面，业界领先的NGFW产品应用识别特征库数量基本在4000以上。类似深圳中科网威等专注于应用领域技术的厂商，目前应用识别数量应该都在5000以上。除了应用识别数量足够广之外，识别深度也更为重要。例如，企业可能会仅允许QQ聊天，但禁止QQ游戏；对跑在HTTP上的应用，能够精准识别出该应用的具体用途；同时，能够从逃逸，带宽等多个维度去判断应用属性是否安全，比如限制P2P等流量耗费型且安全性不高的应用带宽。同时应用识别的结果还将提高后期智能联动的防护效率，例如：SQL Server流量仅和SQL Server相关特定漏洞进行IPS防护，从而提升性能，降低误报率。

二、功能与性能兼备：功能完备性不能以显著的性能衰减为代价

下一代防火墙至少应融合IPS的防护，同时各厂家根据各自的理解还集成了其他更多的功能，但是有的厂商集成过多功能，甚至是集成Web应用防火墙这样产品功能，严重导致NGFW性能下降，甚至出现死机现象。因此客户在选择产品时千万不能仅看到功能的全面性，却忽视了开启这些功能后的性能衰减。不然后期只能被迫禁用一些应用层防护的功能模块，导致下一代防火墙变成了传统防火墙或者UTM。业内权威机构认为，优秀的下一代防火墙产品开启IPS功能后整机性能下降不应超过50%

三、是可视化（visibility）和智能分析能力

随着网络快速发展，各式各样复杂威胁层出不穷，用户需要更加及时的掌握网络现状、风险、威胁、事件以及防御效果等用于支撑安全决策。这就需要下一代防火墙具备良好的可视化和智能分析能力，帮助用户看得清威胁，防得住攻击。因此，真正的“可视化智能管理”应该是在多维统计的基础上加以深入的分析，从应用和用户视角多层面的将网络应用的状态展现出来。同时，通过引入外部威胁情报，实现安全态势感知和风险预测功能，解决单机设备与生俱来的短板，以帮助用户更加快速的了解网络风险并及时部署防御措施。总而言之，看得清，看得全，看得透，才能让安全看得见！

分析了那么多，可能有些读者还是心存疑虑：到底购买哪个品牌的下一代防火墙好呢？目前市场上品牌是不少，但是论安全性和稳定性最好的还是深圳中科网威，为什么这么说呢，这家公司做网络安全产品研发有十几年了，是国内最早做网络安全设备研发生产厂商。该公司是国家高新技术企业，所有产品均为自主研发。笔者了解到很多像链家地产、环球数码、华侨城酒店、人人乐超市、深圳交通局、肇庆教育局等知名企业和市政单位都用中科网威的网络安全设备，不止是使用下一代防火墙，还有VPN安全网关、上网行为管理、运维堡垒机、企业无线覆盖，无线AP、POE交换机等。这又是中科网威的一个优势，网络安全设备齐全能提供企业网络整体解决方案。当然每个品牌各有优势，建议企业购买下一代防火墙和其他网络安全设备可以多选择2-3个品牌做对比，最重要的是要买到安全、稳定、性价比高的网络安全设备。