NSS尝试室比来的一份陈述表白，下一代防火墙(NGFW)的治理功能一般都比较差。那么当企业在评估供给商时，对NGFW治理功能，他们应当如何评估?

　　Brad Casey：治理任何设备，我们存眷的重点都应当是掌控治理员的等闲拜候程度与其他用户的难以拜候程度之间的均衡。当企业在研究NGFW的治理功能时，最首要的是，企业起首需要肯定治理员是不是被承诺从收集鸿沟外部拜候治理界面。对这个标题问题，没有准确或弊端的谜底：这取决于每个企业是不是愿意接管长途防火墙治理带来的相干风险。

　　假定你的企业决定承诺治理员从外部拜候治理界面，你必需做出以下三个额外的治理决定：

　　下一代防火墙是不是有内置的Web办事器用于治理目标?假定有的话，对web办事器的拜候是不是加密?良多治理员喜好图形用户界面的便捷性，企业可以选择这类编制，但前提是对GUI的连接必需是经由过程SSL进行。

　　治理员必需要拜候web办事器吗?企业最好让治理员经由过程号令行来拜候界面。如许的话，你就不需要担忧web办事器建设中的安然缝隙标题问题;只需要成立一个shell便可。

　　治理界面的现成的建设足够好吗?仍是需要额外的建设?良多时辰，系统治理员忽视了这个标题问题，而这常常会导致安然泄漏变乱。例如，安然人员必需肯定在默许环境下开启加密，仍是需要勾选一些框格来激活加密。你会诧异地发现，默许建设常常被忽视，而这类标题问题常常会导致灾害性的后果，这本来是很等闲可以避免的，前提是你需要在默许建设上多花点时候。

　　但是，对NGFW利用治理，笔者建议企业中有人可以或许研究每个供给商编写的不合利用的签名的靠得住性。这可能需要高程度的手艺，是以没有那么等闲。在企业有益用签名阐发师的环境下，笔者建议将不合类型的流量扔到防火墙，并利用数据包捕获东西(例如Wireshark)来肯定防火墙可以或许禁止应当禁止的东西.