NSS實驗室最近的一份報告表明，下一代防火墻(NGFW)的管理功能一般都比較差。那么當企業在評估供應商時，對于NGFW管理功能，他們應該怎樣評估?

Brad Casey：管理任何設備，我們關注的重點都應該是把握管理員的容易訪問程度與其他用戶的難以訪問程度之間的平衡。當企業在研究NGFW的管理功能時，最重要的是，企業首先需要確定管理員是否被允許從網絡邊界外部訪問管理界面。對于這個問題，沒有正確或錯誤的答案：這取決于每個企業是否愿意接受遠程防火墻管理帶來的相關風險。

如果你的企業決定允許管理員從外部訪問管理界面，你必須做出以下三個額外的管理決定：

下一代防火墻是否有內置的Web服務器用于管理目的?如果有的話，對web服務器的訪問是否加密?很多管理員喜歡圖形用戶界面的便捷性，企業可以選擇這種方式，但前提是對GUI的連接必須是通過SSL進行。

管理員必須要訪問web服務器嗎?企業最好讓管理員通過命令行來訪問界面。這樣的話，你就不需要擔心web服務器配置中的安全漏洞問題;只需要建立一個shell即可。

管理界面的現成的配置足夠好嗎?還是需要額外的配置?很多時候，系統管理員忽視了這個問題，而這往往會導致安全泄漏事故。例如，安全人員必須確定在默認情況下開啟加密，還是需要勾選一些框格來激活加密。你會驚訝地發現，默認配置經常被忽視，而這種問題往往會導致災難性的后果，這原本是很容易可以避免的，前提是你需要在默認配置上多花點時間。

然而，對于NGFW應用管理，筆者建議企業中有人能夠研究每個供應商編寫的不同應用的簽名的可靠性。這可能需要高水平的技術，因此沒有那么容易。在企業有應用簽名分析師的情況下，筆者建議將不同類型的流量扔到防火墻，并使用數據包捕捉工具(例如Wireshark)來確定防火墻能夠阻止應該阻止的東西。