魔术象限(Magic Quadrant)称:部署下一代防火墙的时机到了

下一代防火墙——比端口扫描更深入的能识别应用的智能防火墙。关于这种说法,你应该有所耳闻了。虽然大多数供应商已经推迟了防火墙的发布,但是 Gartner 的魔术象限报告认为市场风向正在转变,曾经沉睡的市场开始复苏。

根据 Gartner Inc. 研究副总裁 Greg Young 的观点,现在的防火墙供应商面临的越来越大的压力不再只是来自于一个专注智能防火墙的新兴集成商 Palo Alto Networks。因此,他将公司定位为2010年魔术象限中网络防火墙的领导者。

那些仍然在吃老本的供应商现在发现他们的客户群已经被第二市场竞争对手所抢夺,这些公司专注于入侵防御系统 (IPS)和防火墙策略管理——这是网络安全人员无法从现有防火墙供应商处获得的技术和功能,Young 说道。

“用户需求现在已超出供应商研发水平几年了,”他说。“存在的共同问题是创新不足…… 客户一直在说,‘快点!我们急需这个功能!’而防火墙供应商太过于关注对手而不是[创新]。”

根据Palo Alto产品销售主管 Chris King 的观点,在企业中使用 Web 2.0 应用和社交网络 ——以及针对这些应用的安全威胁——已经转变了传统的防火墙概念。Palo Alto在今年发布了它的第一个魔术象限产品,它被称为是主导了一场“迫使市场领导者应对的市场破坏。”

“防火墙的原始设计是,‘如果我能控制端口,我就能控制应用,’”King 说。“但现实情况是,每一个应用都能使用任何端口,而现在端口控制基本上没有意义了。如果您关掉 80 端口,那么您就关闭了您的业务 …… [所以]防火墙的确必须更智能。”

期望今天出现更真实的下一代防火墙

网络人员可以期望在今年看到更好的智能防火墙产品,Young 说。这意味着:

没有单独的 IPS —— 一个真正的下一代防火墙除了基本的防火墙功能,还将拥有“整合的高质量 IPS”,而不是将 IPS 作为一个单独的设备。

智能决策 —— 一个智能防火墙将以“将信息集中到防火墙中以便执行更佳决策”的方式工作,Young 说。“例如,如果一个 IP 地址只传输恶意软件 …… 那么为什么防火墙还要接收这个只发送攻击的位置的流量呢?”

不只是端口控制 —— 以前的防火墙是基于目标地址、IP 地址和端口号来应用策略的。下一代防火墙将分析每个 HTTP 和 HTTPS 请求,Young 说。

进入 7 层协议 —— 一个智能防火墙将在应用层评估流量,他说。“不仅仅是接管它们,还要能够标识应用:它是 Webmail?还是 P2P?还是 Salesforce.com?然后可以对应应用策略,而且还不仅仅是阻挡/允许两种操作。”

“防火墙市场的确需要苏醒,”Young 说。“当我看到围绕 IPS 这些市场增长成十亿级时,当我每天听到企业无法在供应商的解决方案找到他们需要的产品时……我认为情况要发生变化了。而我们最终也开始看到一些高质量的下一代防火墙产品的出现。”

发展智能防火墙的一些障碍

虽然他们不会无动于衷,但是现在的供应商想要改变并不是简单的事,他们已经在用户培训、支持团队和渠道伙伴方面投入很长的时间和很多的资金。可以肯定的是,魔术象限将唤醒大大小小在企业智能防火墙产品中碌碌无为的防火墙厂商 —— 包括 Check Point Software Technologies、Cisco Systems、Fortinet 等等。

“当您谈论防火墙分类流量的方法时,这就是关键。这是防火墙的灵魂,”King 说。“要改变它——就像洗脑一样。”

IT部门也需要改变,Young 说。即使他们相信防火墙方面还没有令人信服的下一代防火墙网络,然而继续不断地改进而不是等待“老旧的防火墙退市”是更保险的做法,他说。

Ed Garcia是位于San Francisco公共关系机构 Horn Group 的 IT 主管,他期望在明年更换新的防火墙,他坚持SonicWALL的“完美的” PRO 系列产品已经很多年了,但是他热切期盼更容易管理的下一代防火墙。

“我对有更多智能功能的防火墙感兴趣,但是[它们必须]能够[在]成本、性能和可用性上实现平衡,”Garcia 说。“较小的公司无法在所有位置都安排 IT 专家,所以我们通常都是多面手。我们需要能够[自己]实地工作的系统——只需要最少的管理。”

“这就是更加智能的体现,也是能够帮助现有的正在使用的安全系统的方面,”他补充说。“它的确不是[要]替换其它系统,但是新产品将获得更大的价值。”

智能防火墙产品出现

根据Juniper的高端安全系统业务部门的高级产品销售经理Don Meyer的介绍, Juniper Networks在市场上长期处于领先位置,在六年前就开始听到许多关于下一代防火墙的讨论,并因此研发了一个综合的 IPS。

“现在[企业]有着更多的要求。的确,我们能够过滤掉一些威胁,但实际上,我们想要在网关上实现更多智能,”Meyer说。“使用通用端口和协议的应用真的正在飞速增长。”

在2008年9月,Juniper提出了它的SRX系列产品——一组共八个分部和数据中心网关实现大量的综合特性,运行在它的Junos操作系统上。抛弃它的原有平台ScreenOS是它向下一代防火墙迈出的一大步,Young和flawless的共同创建人 John Pescatore 指出。

ScreenOS是针对防火墙创建的,所以设计上并不支持更多功能的整合,Meyer 说。Junos使用多线程切换不同的原生应用,如在 2009 年末发布的AppSecure服务套件,以将动态和更细粒度的策略附加到不同的网站应用、用户组、一天的不同时间和其它参数上,他说。

“当然,不是每个人都需要这么强大的产品,”Young 说。“您必须知道,‘IT对于我的业务有多重要?’而[这个问题的回答]对于每一个人都是不一样的。可以肯定的是,对于一个在线娱乐公司和一个制造公司—— 将得到非常不同的答复。”

作者:Jessica Scarpati?? 译者:曾少宁,陈柳?? 来源:TechTarget中国
英文原稿 http://searchnetworking.techtarget.com/news/article/0,289142,sid7_gci1507673,00.html

发表评论

电子邮件地址不会被公开。 必填项已用 * 标注

*

您可以使用这些 HTML 标签和属性: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>