《下一代防火墙角力演武堂》由会员分享,可在线阅读,更多相关《下一代防火墙角力演武堂(10页珍藏版)》请在金锄头文库上搜索。
1、下一代防火墙角力演武堂不论产品如何变化,市场的发展总是由用户需求所驱使。因此下一代防火墙(NGFW )从某种角度上讲也是顺势而生的。然而,如何在进行采购之时拥有一双“火眼金睛” 来看透厂商 “忽悠”的伎俩,用户又该如何根据自身的需求选择合适的产品呢? 不论产品如何变化,市场的发展总是由用户需求所驱使。因此下一代防火墙(NGFW)从某种角度上讲也是顺势而生的。然而,如何在进行采购之时拥有一双“火眼金睛”来看透厂商“忽悠”的伎俩,用户又该如何根据自身的需求选择合适的产品呢? 半年前,在 解惑下一代防火墙这篇文章中,笔者向读者展示了参与横向评测的四款产品测试报告,并为大家深刻解读了如何在充满乱象的N
2、GFW 市场中理性看待该产品。如今在这半年中, 下一代防火墙市场趋于稳定,大家各自发展,悉心耕耘。但是貌似平静的市场中,业界对于NGFW 和 UTM仍然纷争不断。不论两种产品使用的技术孰优孰劣,最终的目的还是要交付给用户使用。因此产品的设计宗旨还是要以满足用户需求为前提。也就是说,对于网关安全产品,要能够给企业提供可以灵活部署不同安全需求的解决方案,提供多种安全功能的灵活组合,使产品能够满足企业不同发展时期的不同安全需求。目前看来,市场上绝大多数UTM的产品性能其实随着硬件的发展在进行自然的提升,而众多 UTM 厂商都推出了自己的NGFW 产品。再加上原本专注于应用层控制,诸如上网行为管理等产
3、品的厂商也投身到下一代防火墙市场中成为新兴力量。扑朔迷离的市场环境不论产品如何变化,市场的发展总是由用户需求所驱使的。下一代防火墙的产生从某种角度上讲也是顺势而生的。互联网的快速发展,使得UTM 产品逐渐成为企业网建设时平衡安全与性能之间的阻碍。目前以太网已经大踏步迈进40G时代,尽管对于企业网出口来说,带宽可能还是只有千兆级别,但相对于几年前的带宽已经翻了一番。因此,市场需要一种新的产品能够适应当前的互联网环境,不论是带宽还是各种各样的应用。尽管UTM随着硬件的发展而性能得到了很好的提升,但是仍然难以阻止NGFW 这股浪潮的力量,毕竟 UTM 和防火墙这两个名词已经占据市场太久了,这从各种不
4、同厂商趋之若鹜的态度也可以看出来。赛道安全论坛创办人随之观察认为, Gartner为 Palo Alto度身打造的下一代防火墙(NGFW) 这一名词随其上市风光之后一石激起千层浪,无论是之前做防火墙的,还是做防病毒的、IPS 的,邮件过滤的, P2P流控的,甚至做上网行为管理的,都齐齐高举专属自己的下一代防火墙招牌,以市场说了算的大无畏豪迈精神纷纷发力。一时间下一代防火墙无所不能的高、大、全形象在纷争中站了起来。IDC 当年着力渲染以网关防病毒独领UTM市场的翘楚Fortinet寡不敌众, 也发出了 UTM就是功能更全、 性能更佳的下一代防火墙的和谐声。媒体纷纷发文对比NGFW 与 UTM ,
5、末了多少会偏心一下新鲜出炉的下一代防火墙。从随之发表的评论不难看出,目前下一代防火墙厂商基因各不相同,而且市场刚刚起步,并未经受过传统防火墙市场的长期洗礼。各家厂商从各自产品特点出发,在IPS,用户应用内容可视控制基础上,添补满足中国用户本地特色需求的功能,盖上下一代防火墙的新红印挂帆出航。为了关联当前云计算的热点,虚拟化隔离、 BYOD 控制、云策略更新、高性能架构的点缀说法也随之而来。然而,面对琳琅满目、纷繁复杂的下一代防火墙市场,用户又该如何根据自身的需求选择合适的产品呢?据笔者了解,目前用户并不关心他们采购的产品是UTM还是下一代防火墙,用户方面真正需要的只是能够满足自身众多安全需求的
6、安全网关产品。因此,面对如此情况,笔者认为下一代防火墙与UTM之争其实可以暂且搁置了。在抛去了产品名字的争议之后,一个很现实的问题摆在了我们的面前,那就是产品采购的问题。Gartner在其 2012 年企业防火墙市场魔力象限报告中表示,有一些厂商过度使用术语及充满迷惑性的营销手段,往往令我们对应用程序控制、WAF (Web应用防火墙 ) , 以及 ADC( 应用交付控制器) 防火墙三个概念混淆不清。因此,用户该如何选择产品,一款拥有哪些功能的下一代防火墙产品是适合于用户自身需求的,如何在进行采购之时拥有一双“火眼金睛”来看透厂商“忽悠”的伎俩等等,这不仅是用户需要考虑的,也是媒体需要认真思考的
7、问题。群雄逐鹿下一代防火墙在用户进行采购之前,必须对于自身的网络环境,以及业务需求有足够的了解。另外,产品供应商的情况也是需要考虑的问题。全球范围内市场份额领先的安全硬件设备提供商,诸如思科、Check Point 、Juniper 、Fortinet,还有 UTM的老牌劲旅Dell SonicWALL 、Barracuda Networks ,都在下一代防火墙这股浪激中相继推出了自己的NGFW系列产品。国内方面,东软、锐捷、深信服、天融信、网康、网神等厂商也根据自身的优势和特点,推出了更具中国特色的下一代防火墙产品。国际厂商对于下一代防火墙的宣传普遍比较低调,思科就是其中之一。思科于2011
8、 年发布下一代防火墙,算是比较早的一批了。思科高级安全顾问徐洪涛表示,目前下一代防火墙市场有传统的防火墙提供商,也有直接跨入下一代防火墙的新一代厂商,大家对下一代防火墙的定义也有所差别。思科采用的方式是在传统成熟的防火墙平台上增加新的下一代防火墙功能。因此思科利用已有的渠道和大量的客户群,做到一个平滑地向下一代防火墙切换,最优化用户的体验。此处也不难看出,拥有强大渠道和稳定客户群的市场领导者,其传播方式更偏向于通过自有方式来向客户进行下一代防火墙的渗透,因此在市场上的声音不多。Check Point作为传统的安全厂商也是IPS 的缔造者,长期以来思路清晰,坚持走软件刀片的路线,并且已经取得相当
9、的成功。 在企业级防火墙市场(Gartner认为这部分市场很可能成为NGFW 市场 ) 中, Check Point产品的部署量相当高,其全球范围的出货量稳居第二名。另外,在Gartner的调查中, Check Point是被用户选择最多的下一代防火墙品牌之一。而用户选择的原因不仅仅因为品牌和历史,更多的是因为不可取代的功能其强大的售后服务体系。Fortinet作为 UTM 的缔造者, 其产品的高性能和高稳定性是Fortinet走到今天的根本。 随着时间的推进,Fortinet将 FIPS( 美国联邦信息处理标准) 、 NSS Labs、ICSA Labs 的“印花”都集齐了。 最近两年, F
10、ortinet同 NSS Labs 合作紧密, 积极配合下一代防火墙产品的测试,并且表现出众, 屡次获得 “推荐” 级别。 然而,Gartner 却一直对 Fortinet有一些自己的“意见”。在UTM 的魔力象限中,Gartner 长期以来虽然一直认为 Fortinet是绝对的领导者,但是仍然很难在其企业级防火墙魔力象限中给出Fortinet很好的评估。在Forti OS 5推出之后, Fortinet也应声宣布自己的NGFW 产品。对于此种情况,有人认为是倒戈,而笔者认为“妥协“更贴切。Barracuda Networks( 梭子鱼 ) 在 2004 年就已正式进入中国市场发展,对于中国本
11、土特点有深刻理解。由于长期的国内发展,梭子鱼在国内不仅拥有成熟的售后支持和应急响应团队,并且还拥有大量的研发资源。对于产品线的补齐, 梭子鱼也是不断通过收购达成,比如 WAF 厂商 Netcontinuum 和奥地利防火墙厂商Phion AG 。而在收购了Phion AG 之后一年,梭子鱼就推出了其NG firewall产品。在国内方面,深信服是国内首家推出下一代防火墙产品的厂商,2011 年 9 月至今,深信服的下一代防火墙产品线已经日趋成熟,并且行业覆盖范围也较广。深信服市场行销部技术总监殷浩向记者表示,深信服下一代防火墙在中国部署情况很好,产品推向市场到现在已有1 年多时间,累计销售额超
12、过1 个亿, 2012 年更比 2011 年翻了 4 番。客户认可度高,市场反馈良好,目前已经覆盖到了政府、金融、运营商、企业和教育等行业。国内市场中有一家最近频繁在下一代防火墙市场中有所动作的公司,那就是网康科技。网康的下一代防火墙于去年 10 月份推出, 而且在今年4 月份推出了NGFW 2.0 版本,涉及了很多重大的更新。网康科技 CEO 袁沈钢也不久前与网络世界总编辑高辉进行的高端访谈中也谈到,通过网康过去8 年在应用层的积累,推出下一代防火墙是自然而然的事情。另外,网康用其“买服务送设备“的销售模式快速拓展市场、积累客户,并且收效颇丰。前面说过,国际厂商对于下一代防火墙的宣传普遍比较
13、低调,但是有一家厂商是绝对例外的,那就是下一代防火墙的缔造者Palo Alto公司。从 Palo Alto推出下一代防火墙至今,该公司一直持续地以各种形式在媒体和市场中发出声音,长期处于比较高调的态势。Palo Alto 2005 年于美国成立, 4 年后携手 Gartner向世界推出下一代防火墙的概念并迅速崛起,更在去年年底成功上市。Palo Alto的成功,源于其产品将防火墙和IPS 完美的整合, 并将应用控制功能提升到了从未有过的高度,而其成功的背后不仅站着一群业界精英,还站着许多市场营销好手。Palo Alto是 Gartner 调查中被提及最多的下一代防火墙替换者。而Palo Alt
14、o更是最近几年对防火墙市场最大的贡献者。虽然也有人认为是破坏者,但是其创新的下一代防火墙的定义,以及单通道并行检测引擎已经迫使众多防火墙、UTM 、NGFW厂商以此标准来进行产品改良,甚至重新设计。下一代防火墙产品大盘点如上所述,目前下一代防火墙厂商各自的背景不尽相同,因此各自的产品定位和特点也存在一定的差异性。在了解了国内外下一代防火墙的几家代表厂商各自特点之后,对于各家产品的特点也是需要了解的。为此,笔者对于各家产品进行了探索。在此要感谢各家厂商的积极配合,让笔者能够深入了解各家NGFW 产品的特性、部署环境,以及相应的技术特点等等。梭子鱼的 F800 下一代防火墙产品除了具有常规功能外,
15、该产品还突出了智能点对点流量管理功能,大大优化了广域网的性能和功能。信息管理人员可以轻松管理应用层路径,根据多链路、多通道和不同的流量情况安排链路的优先顺序。虽然梭子鱼的产品在国内覆盖零售、企业、物流、政府、运营商等领域,但是其大部分的客户还是在分支机构和中型企业。Check Point 产品的应用范围广, 不得不说是得益于其灵活且多元的软件刀片。通过不同的软件刀片组合,让采购的企业和组织能够将其产品应用于各种复杂或简单的环境。Check Point 12200可被用于大型网络环境,以及业务关键内部网段边界安全保护。该设备通过热插拔冗余电源/ 磁盘驱动器、远程管理卡,以及诸如 Check Po
16、int ClusterXL和负载分配等高可用性特点,保证高业务连续性和适用性。12000 系列更是多次在 NSS Labs获得“推荐“级别的产品。Check Point虽然一直出货量很高,但是其产品价格昂贵也是不争的事实,尤其是其多达十余种软件刀片,确实使得组合可以更灵活,但另一方面也增加了客户的采购成本。而思科的 ASA5500系列下一代防火墙提供全球安全威胁实时视图和电子邮件的“信用报告”服务,还能敏感监控僵尸网络的动态,所更新的信息即时同步。企业可以根据特定需求定购不同版本,做到逐步购买、按需部署,灵活方便地实现安全功能的扩展。而且从思科PIX 防火墙迁移至思科下一代防火墙的过程简单易行。思科安全产品的高出货量源自其总体产品的高出货量,长期以来思科专注于网络设备的研发,但在安全产品创新上还需多做一些努力。Fortinet公司的安身立命之根本在于其产品极高的稳定性和转发速度。NSS Labs测试的 FortiGate 3600C达到了 60Gbps防火墙吞吐和14Gbps应用层及 IPS 吞吐的超高效率,获得了NSS Labs 的“推荐”级别。更高端的 FortiGate
