新闻链接:http://security.ctocio.com.cn/290/12601790.shtml
新闻时间:2013-04-26 06:04
新闻正文: 不论产品如何变化,市场的发展总是由用户需求所驱使。因此下一代防火墙(NGFW)从某种角度上讲也是顺势而生的。然而,如何在进行采购之时拥有一双“火眼金睛”来看透厂商“忽悠”的伎俩,用户又该如何根据自身的需求选择合适的产品呢?
不论产品如何变化,市场的发展总是由用户需求所驱使。因此下一代防火墙(NGFW)从某种角度上讲也是顺势而生的。然而,如何在进行采购之时拥有一双“火眼金睛”来看透厂商“忽悠”的伎俩,用户又该如何根据自身的需求选择合适的产品呢?
半年前,在《解惑下一代防火墙》这篇文章中,笔者向读者展示了参与横向评测的四款产品测试报告,并为大家深刻解读了如何在充满乱象的NGFW市场中理性看待该产品。如今在这半年中,下一代防火墙市场趋于稳定,大家各自发展,悉心耕耘。但是貌似平静的市场中,业界对于NGFW和UTM仍然纷争不断。不论两种产品使用的技术孰优孰劣,最终的目的还是要交付给用户使用。因此产品的设计宗旨还是要以满足用户需求为前提。
也就是说,对于网关安全产品,要能够给企业提供可以灵活部署不同安全需求的解决方案,提供多种安全功能的灵活组合,使产品能够满足企业不同发展时期的不同安全需求。目前看来,市场上绝大多数UTM的产品性能其实随着硬件的发展在进行自然的提升,而众多UTM厂商都推出了自己的NGFW产品。再加上原本专注于应用层控制,诸如上网行为管理等产品的厂商也投身到下一代防火墙市场中成为新兴力量。
扑朔迷离的市场环境
不论产品如何变化,市场的发展总是由用户需求所驱使的。下一代防火墙的产生从某种角度上讲也是顺势而生的。互联网的快速发展,使得UTM产品逐渐成为企业网建设时平衡安全与性能之间的阻碍。目前以太网已经大踏步迈进40G时代,尽管对于企业网出口来说,带宽可能还是只有千兆级别,但相对于几年前的带宽已经翻了一番。因此,市场需要一种新的产品能够适应当前的互联网环境,不论是带宽还是各种各样的应用。尽管UTM随着硬件的发展而性能得到了很好的提升,但是仍然难以阻止NGFW这股浪潮的力量,毕竟UTM和防火墙这两个名词已经占据市场太久了,这从各种不同厂商趋之若鹜的态度也可以看出来。
赛道安全论坛创办人随之 观察认为, Gartner为Palo Alto度身打造的下一代防火墙(NGFW)这一名词随其上市风光之后一石激起千层浪,无论是之前做防火墙的,还是做防病毒的、IPS的,邮件过滤的,P2P流控的,甚至做上网行为管理的,都齐齐高举专属自己的下一代防火墙招牌,以市场说了算的大无畏豪迈精神纷纷发力。一时间下一代防火墙无所不能的高、大、全形象在纷争中站了起来。IDC当年着力渲染以网关防病毒独领UTM市场的翘楚Fortinet寡不敌众,也发出了UTM就是功能更全、性能更佳的下一代防火墙的和谐声。媒体纷纷发文对比NGFW与UTM,末了多少会偏心一下新鲜出炉的下一代防火墙。
从随之发表的评论不难看出,目前下一代防火墙厂商基因各不相同,而且市场刚刚起步,并未经受过传统防火墙市场的长期洗礼。各家厂商从各自产品特点出发,在IPS,用户应用内容可视控制基础上,添补满足中国用户本地特色需求的功能,盖上下一代防火墙的新红印挂帆出航 。为了关联当前云计算的热点,虚拟化隔离、BYOD控制、云策略更新、高性能架构的点缀说法也随之而来。
然而,面对琳琅满目、纷繁复杂的下一代防火墙市场,用户又该如何根据自身的需求选择合适的产品呢?据笔者了解,目前用户并不关心他们采购的产品是UTM还是下一代防火墙,用户方面真正需要的只是能够满足自身众多安全需求的安全网关产品。因此,面对如此情况,笔者认为下一代防火墙与UTM之争其实可以暂且搁置了。
在抛去了产品名字的争议之后,一个很现实的问题摆在了我们的面前,那就是产品采购的问题。Gartner在其2012年企业防火墙市场魔力象限报告中表示,有一些厂商过度使用术语及充满迷惑性的营销手段,往往令我们对应用程序控制、WAF (Web应用防火墙) ,以及ADC(应用交付控制器) 防火墙三个概念混淆不清。
因此,用户该如何选择产品,一款拥有哪些功能的下一代防火墙产品是适合于用户自身需求的,如何在进行采购之时拥有一双“火眼金睛”来看透厂商“忽悠”的伎俩等等,这不仅是用户需要考虑的,也是媒体需要认真思考的问题。
群雄逐鹿下一代防火墙
在用户进行采购之前,必须对于自身的网络环境,以及业务需求有足够的了解。另外,产品供应商的情况也是需要考虑的问题。
全球范围内市场份额领先的安全硬件设备提供商,诸如思科、Check Point、Juniper、Fortinet,还有UTM的老牌劲旅Dell SonicWALL、Barracuda Networks,都在下一代防火墙这股浪激中相继推出了自己的NGFW系列产品。国内方面,东软、锐捷、深信服、天融信、网康、网神等厂商也根据自身的优势和特点,推出了更具中国特色的下一代防火墙产品。
国际厂商对于下一代防火墙的宣传普遍比较低调,思科就是其中之一。思科于2011年发布下一代防火墙,算是比较早的一批了。思科高级安全顾问徐洪涛表示,目前下一代防火墙市场有传统的防火墙提供商,也有直接跨入下一代防火墙的新一代厂商,大家对下一代防火墙的定义也有所差别。思科采用的方式是在传统成熟的防火墙平台上增加新的下一代防火墙功能。因此思科利用已有的渠道和大量的客户群,做到一个平滑地向下一代防火墙切换,最优化用户的体验。此处也不难看出,拥有强大渠道和稳定客户群的市场领导者,其传播方式更偏向于通过自有方式来向客户进行下一代防火墙的渗透,因此在市场上的声音不多。
Check Point作为传统的安全厂商也是IPS的缔造者,长期以来思路清晰,坚持走软件刀片的路线,并且已经取得相当的成功。在企业级防火墙市场(Gartner认为这部分市场很可能成为NGFW市场)中,Check Point产品的部署量相当高,其全球范围的出货量稳居第二名。另外,在Gartner的调查中,Check Point是被用户选择最多的下一代防火墙品牌之一。而用户选择的原因不仅仅因为品牌和历史,更多的是因为不可取代的功能其强大的售后服务体系。
Fortinet作为UTM的缔造者,其产品的高性能和高稳定性是Fortinet走到今天的根本。随着时间的推进,Fortinet将FIPS(美国联邦信息处理标准)、NSS Labs、ICSA Labs的“印花”都集齐了。最近两年,Fortinet同NSS Labs合作紧密,积极配合下一代防火墙产品的测试,并且表现出众,屡次获得“推荐”级别。然而,Gartner却一直对Fortinet有一些自己的“意见”。在UTM 的魔力象限中,Gartner长期以来虽然一直认为Fortinet是绝对的领导者,但是仍然很难在其企业级防火墙魔力象限中给出Fortinet很好的评估。在Forti OS 5推出之后,Fortinet也应声宣布自己的NGFW产品。对于此种情况,有人认为是倒戈,而笔者认为“妥协“更贴切。
Barracuda Networks(梭子鱼)在2004年就已正式进入中国市场发展,对于中国本土特点有深刻理解。由于长期的国内发展,梭子鱼在国内不仅拥有成熟的售后支持和应急响应团队,并且还拥有大量的研发资源。对于产品线的补齐,梭子鱼也是不断通过收购达成,比如WAF厂商Netcontinuum和奥地利防火墙厂商Phion AG。而在收购了Phion AG之后一年,梭子鱼就推出了其NG firewall产品。
在国内方面,深信服是国内首家推出下一代防火墙产品的厂商,2011年9月至今,深信服的下一代防火墙产品线已经日趋成熟,并且行业覆盖范围也较广。深信服市场行销部技术总监殷浩向记者表示,深信服下一代防火墙在中国部署情况很好,产品推向市场到现在已有1年多时间,累计销售额超过1个亿,2012年更比2011年翻了4番。客户认可度高,市场反馈良好,目前已经覆盖到了政府、金融、运营商、企业和教育等行业。
国内市场中有一家最近频繁在下一代防火墙市场中有所动作的公司,那就是网康科技。网康的下一代防火墙于去年10月份推出,而且在今年4月份推出了NGFW 2.0版本,涉及了很多重大的更新。网康科技CEO 袁沈钢也不久前与《网络世界》总编辑高辉进行的高端访谈中也谈到,通过网康过去8年在应用层的积累,推出下一代防火墙是自然而然的事情。另外,网康用其“买服务送设备“的销售模式快速拓展市场、积累客户,并且收效颇丰。
前面说过,国际厂商对于下一代防火墙的宣传普遍比较低调,但是有一家厂商是绝对例外的,那就是下一代防火墙的缔造者Palo Alto公司。从Palo Alto推出下一代防火墙至今,该公司一直持续地以各种形式在媒体和市场中发出声音,长期处于比较高调的态势。Palo Alto 2005年于美国成立,4年后携手Gartner向世界推出下一代防火墙的概念并迅速崛起,更在去年年底成功上市。
Palo Alto的成功,源于其产品将防火墙和IPS完美的整合,并将应用控制功能提升到了从未有过的高度,而其成功的背后不仅站着一群业界精英,还站着许多市场营销好手。Palo Alto是Gartner调查中被提及最多的下一代防火墙替换者。而Palo Alto更是最近几年对防火墙市场最大的贡献者。虽然也有人认为是破坏者,但是其创新的下一代防火墙的定义,以及单通道并行检测引擎已经迫使众多防火墙、UTM、NGFW厂商以此标准来进行产品改良,甚至重新设计。
下一代防火墙产品大盘点
如上所述,目前下一代防火墙厂商各自的背景不尽相同,因此各自的产品定位和特点也存在一定的差异性。在了解了国内外下一代防火墙的几家代表厂商各自特点之后,对于各家产品的特点也是需要了解的。为此,笔者对于各家产品进行了探索。
在此要感谢各家厂商的积极配合,让笔者能够深入了解各家NGFW产品的特性、部署环境,以及相应的技术特点等等。
梭子鱼的F800下一代防火墙产品除了具有常规功能外,该产品还突出了智能点对点流量管理功能,大大优化了广域网的性能和功能。信息管理人员可以轻松管理应用层路径,根据多链路、多通道和不同的流量情况安排链路的优先顺序。虽然梭子鱼的产品在国内覆盖零售、企业、物流、政府、运营商等领域,但是其大部分的客户还是在分支机构和中型企业。
Check Point产品的应用范围广,不得不说是得益于其灵活且多元的软件刀片。通过不同的软件刀片组合,让采购的企业和组织能够将其产品应用于各种复杂或简单的环境。Check Point 12200可被用于大型网络环境,以及业务关键内部网段边界安全保护。该设备通过热插拔冗余电源/磁盘驱动器、远程管理卡,以及诸如Check Point ClusterXL和负载分配等高可用性特点,保证高业务连续性和适用性。12000系列更是多次在NSS Labs获得“推荐“级别的产品。Check Point虽然一直出货量很高,但是其产品价格昂贵也是不争的事实,尤其是其多达十余种软件刀片,确实使得组合可以更灵活,但另一方面也增加了客户的采购成本。
而思科的ASA5500系列下一代防火墙提供全球安全威胁实时视图和电子邮件的“信用报告”服务,还能敏感监控僵尸网络的动态,所更新的信息即时同步。企业可以根据特定需求定购不同版本,做到逐步购买、按需部署,灵活方便地实现安全功能的扩展。而且从思科PIX防火墙迁移至思科下一代防火墙的过程简单易行。思科安全产品的高出货量源自其总体产品的高出货量,长期以来思科专注于网络设备的研发,但在安全产品创新上还需多做一些努力。
Fortinet公司的安身立命之根本在于其产品极高的稳定性和转发速度。NSS Labs测试的FortiGate 3600C达到了60Gbps防火墙吞吐和14Gbps应用层及IPS吞吐的超高效率,获得了NSS Labs的“推荐”级别。更高端的FortiGate-3950B以一台3U高度标准机架式设备、最大不到500W的功耗,实现了120Gbps的小包吞吐量,以及2000万并发会话能力。然而,如Gartner的报告中所说,Fortinet产品的第三方生态系统构建还须时日。另外,虽然Forti OS 5已经发布,但是并未被大规模使用。而该系统较大的更新正是针对NGFW功能的。
Dell SonicWALL拥有专利的RFDPI (免重组深度数据包检测) 技术。RFDPI引擎扫描通过每一个端口的网络流量的每一个数据包的每一个字节,提供全面的内容检测以消除威胁,并且全面检测SSL加密的流量,以及非代理的应用程序。由于SonicWALL是UTM起家,所以其大部分客户还是集中在小企业和零售市场,而且被戴尔收购的时日尚短,因此企业级市场还需进一步开拓。
Palo Alto的NGFW产品从PA-200到PA-5060,开启应用识别的防火墙性能从100Mbps覆盖到20Gbps,满足分支结构到数据中心的防火墙性能需求。作为该公司最为畅销的产品,PA-3000系列非常适合于大型互联网网关位置部署,以确保网络安全和预防网络威胁。虽然是下一代防火墙的缔造者,Palo Alto也有自己的缺点,该公司还未支持大型机架设备,因此在较为高端的数据中心环境可能会受到性能限制。其次,Palo Alto的下一代防火墙产品所集中的安全功能并不像其他家厂商那样多,对于安全功能有大量需求的客户,可能会在采购中有些迟疑。还有一点,那就是Palo Alto在中国的市场规模极其有限。
深信服NGAF在下一代防火墙市场中占得先机,已经扎根。当深信服NGAF设备的IPS或WAF防护策略匹配到远端黑客的攻击行为之后,可以智能地与防火墙策略联动,生成临时防护策略,限时封锁远端的源IP对业务的访问。防止黑客进行持续性的攻击尝试,最终绕过安全设备防护的风险。NGAF更是将Web安全防护作为主打特色之一,并且获得了OWASP四星的成绩,证明了其在应用层领域的专注和专业。然而,这也是一把双刃剑,深信服NGAF是否会被人误认为NG-WAF还未可知。
天融信是国内老牌的防火墙厂商,长期稳居国内防火墙市场占有率第一位。其产品主打高性能,产品吞吐量动辄数十Gb,其擎天系列下一代防火墙更是高达百Gb吞吐。NGFW4000系列也是国内率先支持防病毒和SSL VPN功能的防火墙产品。然而,由于各种各样的原因,天融信近年来发展缓慢,市场份额也在被不断侵占,若想恢复其往日辉煌,还须在产品研发上多下些功夫。
网康科技近日最新发布了NGFW 2.0版本,首次将“云查杀”技术引入到了产品,而且还专门针对“僵尸网络”做了开发,数据防泄漏方面更是根据文档特征而非后缀名判断。网康NGFW 2.0向我们全面展示了应当如何去应对下一代的网络威胁所带来的安全防护问题,并为下一代防火墙应该提供何种安全防护功能提供了非常形象的解释。在市场方面,网康也亟待快速拓展,将其NGFW产品上升成为公司的支柱产品,虽然起步较晚,但是好在卖服务的模式正在帮助其快速扩张市场。
网神在去年受邀参加了《网络世界》下一代防火墙的横向评测并提供NSG 3600产品进行测试。结果显示,在即便是开启防火墙功能模块+APP+IPS等情况下,其新建连接的应用处理能力可以稳定地保持在4000新建连接/秒左右。而且即使在开启AV功能后出现性能下降,成功连接响应过低的情况也依然忠实地没有漏过每一个包的防病毒检查。
WatchGuard的下一代防火墙多达十几个型号,充分覆盖各种使用环境。优势是性价比高,适合对价格敏感的中小企业、零售商、分支机构的网络安全部署。另外,Gartner认为,该公司对于下一代防火墙在企业中适用的功能范围认识很清楚,目标也正确,但是其在大型企业中的部署较少,主要还是集中在中小企业。
广阔的部署环境
从多家厂商走访的结果来看,几乎所有厂商都认为下一代防火墙的主流级别是千兆和万兆。天融信网关产品线产品总监寇增杰表示,下一代防火墙关注应用层检测与防护,而完善的应用层防护解决方案往往需要高性能的支撑。随着硬件本身性能上的不断提升,以及系统层面的不断优化,百兆与千兆中低端早已不是衡量下一代防火墙在性能方面的标准,应该是在千兆高端与万兆的性能级别。
WatchGuard市场部总监万熠认为,下一代防火墙的主流基本上还是在1Gb-15Gb的级别。这个级别的用户群比较大,而且需求比较明确,他们需要对网络内的流量做可视化管理,做带宽管理和流量整形。同时对设备性能稳定、实际使用功能这些都有很明确的要求。百兆NGFW市场空间也不小,但其用户群的主要使用目的并不那么明确,更多是为了通过简单的方案解决网络基本攻击,和应用控制,提高办公效率。
对于下一代防火墙可被部署的环境,以及可能产生的限制这个问题,深信服市场行销部技术总监殷浩表示,目前在应用场景上没有限制,用户可以根据部署场景的需求选择下一代防火墙对应的功能。就深信服一年多的销售经验来看,深信服下一代防火墙在各个场景部署上均有较为明显的优势。
梭子鱼技术总监贾玉斌也认为,NGFW在应用场景上其实没有太多的限制,根据NGFW定义的特性而言,其更适合应用在对于安全检测与防护级别更高的地方,以及为其满足集中管理与网络整合管理应用的需求。
万熠则认为,NGFW主要适应在对应用功能高度集中的中小型企业,对流量就网络内数据可视化要求较高的大中型企业数据中心和园区网,以及一些中型ISP。当然运营商和金融行业也在逐渐考虑是否选用NGFW产品解决方案。NGFW适用于当前网络应用环境下的绝大部分客户需求,但是对于超高流量的网络场景,NGFW过于细粒度的检测方式,可能会对此种应用场景有限制。例如城域网骨干出口等。
思科高级安全顾问徐洪涛也认为,思科下一代防火墙主要的应对场景包括互联网出口、BYOD接入的安全网关,包括数据中心的应用控制等等。但是目前下一代防火墙还未在核心的骨干网络中得到大量的应用,主要还是应用在互联网出口的百兆和千兆环境。思科也推出了万兆的下一代防火墙产品,也在高端数据中心和运营商当中做出了尝试。
对于部署环境的问题,格物资讯创始人韩勖表示,每个行业的需求都有各自的特点,可以分为四大部分来看,即运营商、教育、IDC和其他行业。运营商方面,城域网及以上层面基本没有安全网关的位置,而对于二三线运营商和小区宽带来说,NAT及审计、多链路负载均衡、流控、基于应用的引流是刚需。NGFW比传统防火墙有优势,但对愈发强大的专业流控产品来说可能稍显劣势。
教育行业方面,高校网络中心或市、区级信息中心其实等同于中小运营商,对边缘网关的刚需自然也大同小异。不过他们对IPS、AV有比较明显的需求,但不是刚需。此外,教育行业用户对审计的需求相当强,几乎属于刚需。如果能在合理的价格区间内,在性能满足需求的前提下提供有效的安全保障,并且有足够强的审计功能,NGFW会体现出一些优势。
因为互联网数据中心(IDC)有运营性质,理论上安全也不是刚需,但现在IDC运营者必须考虑DDoS攻击防范,这恰恰是NGFW软肋。至于安全服务化、增值化,国内IDC业者似乎很早以前就开始力推,但一直没有形成气候。
而其他一些行业用户对于安全的需求就比较高了,因此VPN也成为刚需的一部分。这类用户对IPS和AV的需求更加旺盛,但却构不成刚需。此外,虽然一些NGFW产品已经具有一定的上网行为管理和DLP功能,但对于大型行业用户来说仍不够专业,因此难以取代单独功能的设备。此外,NGFW健全的用户身份系统,能让配置和运维更简单、高效,报表功能更强大、全面。再比如最基础的应用识别功能,有让管理运维思路走向白名单化的趋势。如果识别率够高,误识别率够低,无疑能让网络运行效率更高,也更安全。如果对动态路由的支持更加完善,则相比于防火墙和路由器来说更具竞争力。
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
