网络安全新语 下一代防火墙选购“新八条”

随着网络游戏、网络购物的兴起，网络安全的威胁也再也不局限于传统的病毒、木马文件和邮件炸弹等，一些新型的威胁，例如钓鱼网站、僵尸网络和网络泛洪攻击(Dos)更是让人防不胜防。而进入到了BYOD(Bring Your Own Device)时代，更是让整个网络的安全充满了不确定的因素。

企业网络安全日加严峻，该如何防范？

作为企业网络安全的重要一环，防火墙的性能直接关系到整个网络的安全。早期的网络安全隐患相对来说较为单一，传统的防火墙甚至杀毒软件等也基本可以胜任。而近年来，网络安全的隐患则呈现出多元化，传统的网络防火墙面对现在的复杂的网络环境则显得越来越力不从心。所以，如何选购下一代防火墙也就成了企业用户必做的功课了。

那么何种类型的防火墙才能称之为下一代防火墙呢？

1，应用识别与管控的能力。在网络安全方面，传统的防火墙在应用中往往处于被动地位，经常是在危险出现的时候才发挥作用，并且因为缺乏应用识别能力和病毒库、URL库无法自动更新，而对一些新型的网络安全威胁出现时会无能为力，或者只能对于某些未知的应用“一棒子打死”，用网络流行用语来说“这是不科学的”。因此下一代防火墙不仅要具有完善的自我更新机制，更要有主动安全防御和应用的识别与管控能力，因此下一代防火墙我们也可以认为是智能型防火墙。

下一代防火墙的超强性能

2，传统的病毒和木马防御。这是防火墙的基本功能，也是重要的功能。因此下一代的防火墙要面对是新型病毒和木马的不断出现和变种，不断提升自我的识别和拦截能力，真正做到“魔高一尺道高一丈”。

3，抵御各种网络攻击。网络攻击一直是网络管理员所头疼的问题，小到ARP大到DDoS，都会给网络上用户造成无法上网等问题， 而有些DDoS攻击事件，曾经造成某中型城域网的全部宽带用户无法上网长达2个多小时。目前的网络攻击模式呈现多方位多手段化，让人防不胜防，概括来说分四大类：服务拒绝攻击、利用型攻击、信息收集型攻击、假消息攻击。对于各种网络攻击，由于发动攻击比较突然而且数据流量大，对于防火墙来说是个很大的考验。

钓鱼网站成为网购时代的重大威胁

4，钓鱼网站的防控。网络的发展给我们的生活带来了很多便利，因此网购和网络缴费也成了我们日常生活中的重要操作，因此一些不法分子就把目光瞄准了这部分的用户，所以也就出现了一些例如假冒工商银行、假冒淘宝店等。因此面对钓鱼网站的威胁，下一代防火墙就要拥有足够丰富的URL库，可以随时进行监控和对比，避免网内用户点击成功。

僵尸网络示意图

5，防范僵尸网络。僵尸网络(Botnet)通用性的定义是控制者(称为Botmaster)出于恶意目的，传播僵尸程序控制大量主机，并通过一对多的命令与控制信道所组成的网络，并在在网络蠕虫、木马、后门工具等传统恶意代码形态的基础上发展并融合而产生的一种复合攻击方式。因此下一代防火墙还应具备僵尸网络的防范和甄别能力，不仅做到抵御攻击，而且还要分析并查出僵尸网络的主机的IP地址，从源头上解决问题。

你还在为BYOD发愁么？

6，BYOD时代解决方案。BYOD指携带自己的设备办公，这些设备包括个人电脑、手机、平板等。现在更多的情况指手机或平板这样的移动智能终端设备。虽然这样比较方便灵活并可以一定程度节约企业的办公成本，然而这些新技术在设计和开发初期并没有考虑企业的应用环境和要求，因此很多IT支持部门非常担心由此带来的安全和支持风险。当然，对于iOS和Android系统的App的内容安全防范也应该是下一代防火墙所具有的功能。因此下一代防火墙更应该注重移动办公方面的安全防护并制定灵活的策略。

7，主动防御功能。传统的网络防护墙产品只能在网络威胁出现时才被动启动。不过，与其被动“救火”，不如主动“防火”。下一代火墙应该引入主动防御机制之后，多维度的数据分析和多种类型日志的智能关联集成，实现应用威胁的可视化，便于用户提早发现网络中潜在的威胁，并主动调整安全策略。

英国西海岸实验室“东方之星(Starcheck)”安全认证证书

8，拥有权威部门的安全认证。当然，一款合格的防火墙产品自然不能缺少权威的认证，而获得这类产品的认证必须要经过相关部门和实验室的安全产品检测中心的严格测试。目前英国西海岸实验室是世界顶级的安全软件权威评测机构，去年其落地中国时颁发了第一批“东方之星(Starcheck)”测评证书，但是目前能通过该认证的产品则屈指可数。因此，防火墙产品的相关认证还是非常严格的。

下一代防火墙产品

由此可见，购买防火墙产品也是一门学问，并且“一分钱一分货”的道理依然适用。谨以此文期望读者朋友能够理解何为下一代防火墙，并希望大家能购买到称心的下一代防火墙产品。