我们已经发表了一篇简短的文章“
NGFW选择标准” 。 在此还假设您已经选择了NGFW,并且打算购买它。
您需要记住什么? 如何在最后阶段不绊倒-购买。 我们认为,这是一个非常重要的问题,因为 任何供应商的NGFW都不便宜。 而且,如果一切都不按计划进行,或者它无法按预期工作,则您可能会遇到问题,例如做出购买决定的人。 在本文中,我们将尝试反映出
购买之前(而不是购买之后)需要注意的要点。 也许这张小清单可以帮助您避免不可预见的费用,并节省您已经紧张的神经。
1.年度拥有成本
您应该检查的第一项。 您需要了解,绝对任何NGFW都需要每年续订订阅,合同,更新(不同的供应商对此有不同的称呼)。 对于许多人来说,一次购买还不够,这令人惊讶,每年您都需要“再次付款”。 最重要的是,在不更新订阅的情况下,最重要的功能(通常是为NGFW购买的)停止工作。 这些功能包括IPS,URL过滤(站点的类别和信誉),应用程序控制,防病毒,防垃圾邮件,沙箱等。 完整列表取决于特定的供应商。 如果不续订您的订阅,NGFW会变成常规防火墙。 虽然不是,但是,这是一个异常
昂贵的防火墙 。 不同的供应商每年的拥有成本不同,但通常,它会在初始购买量的30-40%之间波动。 记住这一点。 它会拉动您的年度IB / IT预算吗? 确保向您的合作伙伴询问年度所有权费用信息。 通常,如果合作伙伴默认情况下没有为您提供这些号码,这很奇怪。
2. NGFW不会解决所有IB问题
许多人认为NGFW是解决所有信息安全弊端的灵丹妙药。 但这绝不是事实。 NGFW仅涵盖网络上可能受到攻击的一些媒介。 没有单一的解决方案可以保证100%的保护。 如果有人向您承诺这一点,那么他就是在欺骗您,或者他本人并不完全理解他在说什么。 NGFW的任务是尽可能缩小攻击范围。 为什么要这样? 此外,不要忘记其他补救措施。 如果您突然没有足够的资金来购买NGFW,则
由于拒绝其他保护手段(如桌面防病毒或备份系统),您不应该花最后的钱来“浪费”
预算 。 设置优先级并评估您的财务能力。 信息安全公司并非从购买NGFW开始。 这只是全面保护的一个附加要素。 不要只从一个“盒子”中获得神奇的结果。
3.开箱即用,任何NGFW的效果都非常差
最近,我们发布了“
最大检查点数 ”课程,向我们展示了如何正确配置它以提供最大保护。 在此过程中,我们展示了使用默认设置绕过NGFW是多么容易。 这不仅适用于Check Point。 使用Fortinet,Palo Alto Networks,Cisco Firepower等观察到的图片相同。 (我进行了并行测试)。 甚至不要认为NGFW只需单击几次即可使用默认设置充分保护您的公司。 NGFW必须进行多次调整,但要不断适应不断变化的威胁。 不要忘记
信息安全不是结果,而是一个过程 。
4.准备解决问题并计划时间。
购买NGFW值得为技术难题做准备。 即使您通过实施服务购买它。 没有任何集成商可以为您完成所有工作。 由于信息安全是一个过程,因此您必须对其进行调整,并且必须解决出现的问题。 这不是因为NGFW不好,而是因为它具有这么多功能。 为了使所有内容都“浮现在脑海”,您将需要花费大量的时间。 否则,您可能会面临不使用20%NGFW功能的默认设置的风险。 设置SSL检查的费用是多少? 如果您确实对安全性感到困惑,则必须将其打开。 并且,您
将必须手动对在打开检查后停止工作的
站点和应用程序进行分类。 没有人会为您做到这一点(除非您当然拥有一种技术支持的服务模型)。 在NGFW的实施和运营的许多阶段,可能会出现类似的问题。 由此得出以下两点。
5.制定培训预算
NGFW本身是一个相当复杂的产品。 无论供应商如何尝试简化它。 许多功能都集中在其中,有很多细微之处和陷阱。 不要以为您会立即为您学习新产品。 因此
,在计划采购时,请确保计划预算以培训将要管理该
员工的员工 。 有时,它可以作为单笔交易的一部分发行,也可以作为礼物接受培训(这完全取决于交易额和合作伙伴的忠诚度)。
6.技术支持
您一定要联系技术支持,如果有帮助,那更好。 必须有一个会说英语的员工。 或者考虑选择俄罗斯合作伙伴提供的技术支持。 请密切注意此问题。 否则,您
将面临被问题束手无策的风险 。 有时,选择合作伙伴甚至是供应商时,技术支持问题是决定性因素。
7.详细探索许可
一个非常普遍的情况。 正在进行一个试点项目,它们向您展示一切的美观和功能。 但是,购买后您会发现并非所有功能都可用。 最初没有显示给您的报告,沙箱不起作用,远程用户无法连接,没有集中管理等。 当然,这是您合伙人的任务-了解您的任务,形成正确的规格并谈论可能的限制或增加。 这是一个信任的问题。 但是有一句好话:“
信任,但要验证 。” 我认为在购买后立即去找领导再预算是非常不愉快的。
8.未经测试购买
没有试点项目,您就只能怪自己(好吧,向“陷害”您的伴侣发誓)。 不要认真对待营销手册。 强烈建议在购买前至少进行一些测试。 最重要的测试是设备在实际流量中的真实性能。 这很重要。
您不能信任写出出色性能指标的
设备上的
数据表 。 不幸的是,所有供应商都对此感到厌恶。 如果您没有时间进行此类测试,则只能依靠伴侣的经验,后者会提供选择。
9.选择基于HTTPS检查的模型
许多人在选择模型时会忘记的另一点。 SSL检查是NGFW的一个严重额外负担。 为了省钱,许多人选择了端到端性能足够高的模型,而完全忘记了HTTPS流量。 打开SSL检查后,他们发现其网关正在“阻塞”。 我再重复一遍:“
如果没有HTTPS检查,您的NGFW完全没有用 。” 我已经在我的课程之一中对此进行了演示。 因此,请务必以SSL检查的形式考虑设备上的额外负载。 否则,您只会把钱扔掉。
10.从“熟悉的”合作伙伴处购买
购买NGFW的一个典型错误是从“熟悉的”供应商那里购买。 我确信几乎每个公司都有一个“长期以来”提供某些IT产品的合作伙伴。 和他一起工作很方便而且可以理解。 只有NGFW既不是服务器,也不是交换机,当然也不是您可以从附近的任何人那里购买的订书机。 您当前的供应商具有必要的技能和能力完全不是事实。
公司实施和安全的结果取决于合作伙伴的资格 。 选择供应商时,您必须首先查看其经验和技术专长。 最好将其定义为试点项目的一部分。 因此,您将立即用一块石头杀死两只鸟:
- 在您的基础架构中测试NGFW并确定模型;
- 评估合作伙伴的充分性。 他是否可以帮助您实施,然后可以提供技术支持。
实际上,这个项目是最重要的。 一个好的伙伴应该指导您完成此清单。 他应指出所有要点,警告所有可能出现的问题,并自然给出解决方案。
结论
我希望本文对某人确实有用。 这当然不是通用的方法,但是将有助于避免最常见的问题。 如果您有任何疑问或意见/建议,请在评论中写信或
给我
发送电子邮件 。
PS也许您会对我们之前的文章“
NGFW典型实施方案 ”感兴趣
PSS获得试用许可证并在
此处测试您感兴趣的解决方案