答案很简单：测试一下即可。

　　用户及其凭证是任何企业安全基础架构中最薄弱的环节之一。因此，阻止攻击的关键首先在于防止窃取。

　　通过预防凭证窃取并阻止网络钓鱼攻击，将减少针对企业的最普遍的攻击形式之一的暴露风险。采用基于机器学习分析的新一代防火墙可以提高防护措施的实施速度。如果分析将站点识别为恶意站点，应该更新企业的防火墙并阻截该站点。

　　攻击者可以通过多种方式获取窃取的凭证：网络钓鱼、恶意软件、社交工程、暴力破解或黑市购买。一旦攻击者获得窃取的凭证，便可以滥用这些信息以进入某个企业横向移动，并通过升级权限来访问未授权的应用和数据。

　　对企业的防火墙实施多重身份验证 (MFA) 有助于防止攻击者使用窃取的凭证横向移动。MFA 是一个很好的工具，作为防火墙策略的一部分， MFA 提高了实施速度，因为企业只需将MFA 集成到网络策略中，而不需要更改应用本身。这样可以更快地部署防护措施来满足合规性要求。

　　当首先创建数据中心环境的安全策略并部署到防火墙时，假定分配的 IP 地址在策略的整个生命周期中保持不变。这些策略是静态的，以通用方式覆盖和应用。为了解决虚拟化数据中心的安全问题，企业的防火墙安全策略应该基于工作负载的属性，而不是绑定到静态 IP 地址，因为数据中心环境是高度动态的。这可以通过新一代防火墙上的动态地址组完成。

　　动态地址组将安全策略与 IP 地址分离，并根据虚拟工作负载的属性构建细化安全策略。针对防火墙的策略使用映射到工作负载属性的标签。这使企业可以构建绑定到工作负载的安全策略，从而增强安全状态。动态地址组通过降低应用和安全团队之间的依赖性而减少了运营开销。

　　为了响应业务需求，安全团队需要足够的灵活性，能够通过集中式工具和在现场实时更改防火墙。为了最大程度减少在本地进行更改的延迟，并使安全性符合企业的指导方针，企业的防火墙应支持完整管理所有防火墙功能，并为多个管理员提供基于角色的访问控制 (RBAC)。企业的本地防火墙管理器工具应支持集中式工具上的全部功能集以进行本地管理，使本地团队能够按时完成各自的任务。

　　企业需要新一代防火墙，它提供单一的视图来管理所有防火墙，无论其形式和位置如何。它通过简化安全策略的配置、部署和管理，降低了安全工作的复杂性。企业需要一个工具来关联防火墙日志，以提供网络和安全洞察并揭露恶意行为，这些行为通常会淹没于海量的信息中。

　　新一代防火墙的各个功能专门针对解决特定网络安全需求，同时帮助企业成长而设计。

　　安全即插件已变为传统模型。如今的安全方案应该在早期阶段与系统和流程集成，以避免复杂的、孤立的安全工具和控制系统的积聚。根据 Verizon 2019 年数据泄露调查报告，从攻击者第一次采取行动到资产初步受损的时间可以用分钟来衡量。这意味着企业需要能够确保基础设施的所有部分都能有效通信、快速自动响应以识别已知和未知威胁的工具，并能够在这些威胁的攻击生命周期中更快地阻止它们。

　　自动化和 API 使企业能够在无需等待人工干预的情况下采取行动来抵御威胁，缩短响应时间，并且如果以适当的方式与正确的工具配合使用，可以防止攻击成功。一个提供自动化和原生集成的 API 的安全供应商能够帮助安全团队摆脱基本的操作任务，专注于直接有利于企业的战略性工作。减少人工干预能够减少可避免的错误，最终实现更安全的安全状态。

　　每年都会发现数百万个新的恶意软件样本和恶意网站。传统的解决方案主要是在企业中的第一个受害者已经受到损害后，针对新发现的威胁提供保护。现代威胁通常是根据大多数恶意软件分析工具和管理程序所使用的开源技术，从中获取知识，进而完成设计的。识别和防御规避型恶意软件的能力比以往任何时候都更为重要。

　　大多数新式恶意软件都会使用这些先进技术，可以绕过传统常见的网络安全解决方案，通过网络安全设备、防火墙和沙箱发现工具来传输攻击或漏洞利用。虽然我们无法构建单独的工具来检测每一个规避型恶意软件，但充分利用可以识别规避技术并自动加以处置的系统是至关重要的。

　　Palo Alto Networks （派拓网络）的新一代防火墙可以?

　　实现快速防御，提高效率，更好地运用专业人员的才智，改善企业的安全状态。

　　防火墙能够导入有关预定规则和策略的列表，使用后，允许防火墙针对列表中的对象进行相应操作。将自动化和动态列表整合到新一代防火墙中，是提高企业安全状态的最有效和最高效的方式。企业的新一代防火墙供应商通常会提供动态列表，企业可以手动或通过集成第三方威胁情报来更新这些列表。因此，只需对动态列表进行规则和策略更改，与动态列表绑定的所有防火墙就会定期自动导入最新更新的防护措施。

　　如今的攻击类型与存在风险的设备数量都超过以往。网络钓鱼、凭证滥用、社交攻击、拒绝服务、勒索软件和后门或 C2 恶意软件都构成了真正的威胁。

　　没有任何一种安全产品能够自行成功地抵御每种类型的攻击。攻击生命周期中存在多个阶段，因此，应设立多个防御层来阻止现代攻击。多层防御是干扰潜在攻击的最有效方法，安全架构的新增内容应对整个网络的安全防护起到补充作用。

　　成功防御现代攻击需要掌握对网络流量和应用实施情况的可视性，及各种基于用户和内容的策略，不存在万无一失的解决之道，对于有能力在企业内完成整个攻击生命周期的过渡的攻击，超越其攻击速度实施保护的唯一办法就是自动化。为了有效预防，企业必须使用自动化并在各种安全工具之间共享信息，减少物联网安全风险暴露。

　　如今，用户的移动性和分散性越来越高，经常需要从全球各地对应用进行远程访问。随着应用迁移到云端，分支机构的位置需要与总部相同的连接性和安全性。

　　现在，分布式企业必须使用软件定义广域网 (SD-WAN)。这种方法采用商品链接，支持智能管理和控制分支机构与云实例之间的连接。新一代防火墙必须能够作为分支位置的 SD-WAN 边缘设备和中心位置的 SD-WAN 中心运行。SD-WAN 功能应易于启用，并在单个网络安全管理界面上集中管理。

　　借助 SD-WAN，每个设备都得到集中管理，采用基于应用策略的路由，因此 WAN 管理器可以根据网络需求的变化实时创建和更新安全规则。企业应该在用户工作的任何地方提供同等水平的安全保护，不受内部或外部限制。部署选项应具备灵活性，以一致覆盖所有用户和所有位置。这样，无论用户身在何处，都能够轻松地连接到云服务或防火墙，从而针对已知和未知威胁获得同等的安全保护。

　　把用户分为“可信”或“不可信”的旧网络安全方法已经不再有效。保护现代网络安全的最有效方法是采用零信任方法，强制实施最小特权访问，并检查所有位置的所有用户、设备、内容和应用。零信任不是让系统可信，而是消除信任。其核心原则是“永不信任，始终验证”。

　　零信任方法为企业提供了构建分段网络的路线图。零信任可以作为一种强大的防护策略在整个企业（从网络到端点和云）中实施。通过集成的方法，安全团队可以在整个企业中从创建和管理到部署和维护，自动化和简化零信任策略管理。

　　零信任的一个标准是借助作为分段网关的新一代防火墙的第 7 层策略和实施。新一代防火墙能够实现边界的微分段，并充当执行点以及传感器网络，以便全面了解企业的流量。

　　新的新一代防火墙和组成安全基础设施的各种安全产品应该是全面的，包括最佳技术、运行效率、经验丰富、响应迅速的服务团队。

　　《选择新一代防火墙时需要测试的 10 个问题》作为跨职能对话的指导方针，使用这些指南有助于企业扩展自己的视角，以新的方式来审视新一代防火墙，确定企业的潜在安全投资能够轻松部署，减轻运营负担，以及在现在和未来为企业带来最佳的防护和价值。

　　白皮书内还有10个问题的精华解析

　　以及专业建议的 RFP 问题

　　想下载完整版白皮书信息：https://start.paloaltonetworks.cn/10-things-to-test-NGFW?CampaignId=7014u000001dMmdAAE&referer=null&utm_content=Palo+Alto+Networks+CN&utm_medium=social&utm_source=FY21+Q1+10+Things+to+Test+in+Your+Future+NGFW