隨著越來(lái)越多的組織考慮實(shí)現(xiàn)下一代防火墻(NGFW)，網(wǎng)絡(luò)團(tuán)隊(duì)必須考慮在他們的數(shù)據(jù)中心環(huán)境中各種可能出現(xiàn)的設(shè)計(jì)和防火墻架構(gòu)的變化。為了尋找最佳的NGFW平臺(tái)，一定要確定最佳的部署用例。最常見的NGFW部署場(chǎng)景有：

• 用NGFW替換傳統(tǒng)防火墻：許多組織正在考慮在目前的防火墻基礎(chǔ)架構(gòu)接近到期(EOL)時(shí)或需要更新授權(quán)時(shí)購(gòu)買NGFW。在這些情況中，NGFW平臺(tái)很可能會(huì)被部署到之前防火墻所在的位置上。和傳統(tǒng)防火墻一樣，它一樣要實(shí)現(xiàn)流量的冗余和負(fù)載均衡(功能集群)。

• 用NGFW替換IPS：一些企業(yè)也考慮用NGFW設(shè)備替換現(xiàn)有的入侵防御系統(tǒng)傳感器和基礎(chǔ)架構(gòu)。根據(jù)所選擇的模型，這種方案可能價(jià)格不菲，但是如果一些組織需要在網(wǎng)絡(luò)中少數(shù)位置的IPS功能之上多加一層應(yīng)用檢查，那么可以考慮這么做。NGFW平臺(tái)的可擴(kuò)展性可能不如傳統(tǒng)IPS基礎(chǔ)架構(gòu)，而且其部署成本可能遠(yuǎn)遠(yuǎn)高于傳統(tǒng)平臺(tái)，因?yàn)镮PS平臺(tái)通常部署在主入口點(diǎn)、DMZ域和VPN平臺(tái)后面的位置上。一定要讓NGFW平臺(tái)打開故障放行或繞行機(jī)制，允許流量在出現(xiàn)故障時(shí)仍然能夠通過(guò);在可能的情況下也推薦使用雙主動(dòng)(active-active)或主動(dòng)-被動(dòng)(active-passive)等成對(duì)配置。

• 用NGFW替換防火墻及IPS：如果一些組織專門考慮壓縮安全基礎(chǔ)架構(gòu)，而且到了EOL和授權(quán)更新時(shí)間，那么從運(yùn)營(yíng)角度考慮可以購(gòu)買NGFW。如果有一個(gè)平臺(tái)可以滿足組織需求，同時(shí)又已經(jīng)有更多的深度防御層次，那么這也是一個(gè)減小開支和運(yùn)維負(fù)載的方法。在這種情況下，有可能實(shí)現(xiàn)網(wǎng)絡(luò)整合，因?yàn)镹FW可以替代多種設(shè)備。這種情況要考慮的關(guān)鍵問(wèn)題是：a) 端口密度;b) 冗余及可用性方法;c) 總吞吐量。

• 用NGFW作為附加控制：如果一些組織考慮增加多一層防御，特別是那些轉(zhuǎn)換了第二層防火墻層次或剛剛增加了一層防火墻的組織，NGFW平臺(tái)可以提供許多的安全特性。在架構(gòu)中的部署將取決于目前所使用的功能。對(duì)于用戶身份驗(yàn)證和被動(dòng)監(jiān)控，一些設(shè)備可以在需要時(shí)通過(guò)使用磁帶或鏡像技術(shù)部署為“編外”設(shè)備。但是，如果有任何阻擋操作，則需要在流量通過(guò)的位置使用內(nèi)聯(lián)部署。

任何下一代防火墻架構(gòu)都需要評(píng)估一個(gè)重要屬性：速度。由于任何NGFW設(shè)備都需要密集處理和分析數(shù)據(jù)包，因此流量延遲是一個(gè)重要問(wèn)題。許多產(chǎn)品宣傳說(shuō)支持10GB以上的速度，但是在購(gòu)買之前要盡可能地用真實(shí)生產(chǎn)流量去測(cè)試這些產(chǎn)品，特別是那些將會(huì)部署在內(nèi)部的產(chǎn)品。如果一些組織想要用NGFW平臺(tái)去檢測(cè)安全套接字分層(SSL)流量，那么所有需要檢查的SSL流量都必須轉(zhuǎn)發(fā)到這個(gè)系統(tǒng)上，途徑可以是普通流量流，或者使用智能程序或SSL流量分析程序。然而，在啟用SSL解密和檢查時(shí)，許多NGFW平臺(tái)會(huì)出現(xiàn)嚴(yán)重的延遲，所以一定要在部署前認(rèn)真執(zhí)行測(cè)試。無(wú)論是哪一種部署，一定要在負(fù)載下進(jìn)行全面測(cè)試，同時(shí)應(yīng)用集群和冗余機(jī)制。