NGFW案例分析

　　24小时健身连锁在美国和其它国家共有400多个俱乐部，去年夏天他们部署了Palo Alto的应用程序感知防火墙，其IT运营和安全高级主管Justin Kwong说："切换到Palo Alto整合架构的目的不仅仅是成本，IT人员能知道更多正在发生的事情，能实施更细粒度的控制，如基于信誉的过滤。我们正在将Palo Alto防火墙和活动目录集成，实现基于员工的应用程序策略控制指日可待"。但Kwong不相信公司会完全迁移到NGFW模型，因为对于网络和数据中心部分，没有应用程序感知控制需求。

　　NGFW部署建议

　　IDC分析师Kolodgy说他已经预料到人们基于应用程序控制的看法，他的建议是"先在局部进行试用，直到感到满意在扩大使用范围，这和从IDS过渡到IPS的过程很类似"。

　　此外，虽然NGFW象征着安全整合，但Kwong对此仍然持保留意见，他说："除了Palo Alto IPS功能外，他还会继续使用开源的IPS作为第二只眼睛，我永远不会考虑把一切工作分配给一个设备去完成，我也不会把自己绑定到一家厂商"。

　　但对于笔记本电脑和移动设备该如何处理呢？Palo Alto产品营销总监Ckris King说："我们可以扩展到不常在网络上的机器，我们有VPN客户端可以将用户的通信导回到客户的NGFW，明年我们会推出GlobalProtect智能VPN客户端，它能知道用户在哪里，然后将用户导向最近的网关，有一个网关列表，客户端知道最近的网关是哪个，这个功能能防止某种水平的数据丢失"。

　　Palo Alto还能检查SSL，它基于可信环境中用户共享的桌面证书打开入站和出站通信，King说："我们打开它确定这是一个得到允许的应用程序，然后重新加密传输，如果应用程序为得到允许，我们就终止传输"。