NSS實驗室最近的一份報告表明，下一代防火墻(NGFW)的管理功能一般都比較差。那么當企業(yè)在評估供應(yīng)商時，對于NGFW管理功能，他們應(yīng)該怎樣評估?

Brad Casey：管理任何設(shè)備，我們關(guān)注的重點都應(yīng)該是把握管理員的容易訪問程度與其他用戶的難以訪問程度之間的平衡。當企業(yè)在研究NGFW的管理功能時，最重要的是，企業(yè)首先需要確定管理員是否被允許從網(wǎng)絡(luò)邊界外部訪問管理界面。對于這個問題，沒有正確或錯誤的答案：這取決于每個企業(yè)是否愿意接受遠程防火墻管理帶來的相關(guān)風險。

如果你的企業(yè)決定允許管理員從外部訪問管理界面，你必須做出以下三個額外的管理決定：

下一代防火墻是否有內(nèi)置的Web服務(wù)器用于管理目的?如果有的話，對web服務(wù)器的訪問是否加密?很多管理員喜歡圖形用戶界面的便捷性，企業(yè)可以選擇這種方式，但前提是對GUI的連接必須是通過SSL進行。

管理員必須要訪問web服務(wù)器嗎?企業(yè)最好讓管理員通過命令行來訪問界面。這樣的話，你就不需要擔心web服務(wù)器配置中的安全漏洞問題;只需要建立一個shell即可。

管理界面的現(xiàn)成的配置足夠好嗎?還是需要額外的配置?很多時候，系統(tǒng)管理員忽視了這個問題，而這往往會導(dǎo)致安全泄漏事故。例如，安全人員必須確定在默認情況下開啟加密，還是需要勾選一些框格來激活加密。你會驚訝地發(fā)現(xiàn)，默認配置經(jīng)常被忽視，而這種問題往往會導(dǎo)致災(zāi)難性的后果，這原本是很容易可以避免的，前提是你需要在默認配置上多花點時間。

然而，對于NGFW應(yīng)用管理，筆者建議企業(yè)中有人能夠研究每個供應(yīng)商編寫的不同應(yīng)用的簽名的可靠性。這可能需要高水平的技術(shù)，因此沒有那么容易。在企業(yè)有應(yīng)用簽名分析師的情況下，筆者建議將不同類型的流量扔到防火墻，并使用數(shù)據(jù)包捕捉工具(例如Wireshark)來確定防火墻能夠阻止應(yīng)該阻止的東西。