百舸争流NGFW
- 来源:计算机世界
- 关键字:NGFW,下一代,防火墙,潮流
- 发布时间:2011-06-29 14:06
作为一类新的产品形态,下一代防火墙(以下简称NGFW)在市场上已然形成潮流。在被用户充分接受之前,这个产品市场能否顺利发展,很大程度上取决于业内的态度。所以,除了5家已经正式发售NGFW产品的厂商,本次我们还对另外14家信息安全厂商提出了采访邀请,希望了解整个行业对这一新产品形态的看法——这些厂商全部都有防火墙或/及UTM产品在市场上销售,并且长期活跃于国内信息安全市场。经过长时间的沟通,我们最终收到了13份正式答复。业界巨擘思科成为惟一没有接受采访的厂商,让人深感遗憾。
此次采访围绕着NGFW的产品形态和市场前景两大主题进行。从13份答复中可以看出,绝大多数厂商都对Gartner所定义的NGFW产品形态表示充分认同,虽然也有厂商表示个别细节值得商榷,但终归没有明确的反对意见出现。可以认为,Gartner所定义的NGFW标准是对用户需求的高度抽象,是防火墙发展到一个历史阶段的自然产物。除了定义中明确要求必须具有的基础特性,各厂商基本是从自身所擅长的技术领域,以及目标客户需求的视角,来定义NGFW应具有的其他功能。例如:有独立组网能力的H3C与瞻博网络重点提到了超高性能、扩展性、虚拟化、抗DDoS等特性,而传统意义上的信息安全厂商则更关注网关防病毒、内容管理、网络准入控制乃至报表与人机交互功能的集成实现。
对于NGFW产品在国内的市场前景,受访厂商也普遍表示看好。虽然不少厂商认为NGFW与UTM现阶段存在竞争,但必将逐渐替代防火墙、IPS、UTM,成为阶段性的终结者。启明星辰还提到了上网行为管理产品,认为NGFW的发展会对这类产品的市场产生冲击。绿盟科技的观点则更加明确,认为NGFW短期内不会有独立市场,中期来看将从行业用户处开始普及,最终会成为综合网关市场的核心产品。而华为赛门铁克则认为,有中国特色的NGFW必将成为市场的宠儿。
可以看出,业界对NGFW的产品形态和市场前景都趋于认同。也正基于此,13个受访厂商中的5家已明确表示有NGFW产品研发计划,今明两年内我们很可能看到至少4款来自不同厂商的NGFW产品出现在市场上。迪普科技、山石网科则表示现有产品已符合NGFW标准规范,只是未进行过有针对性的包装推广。瞻博网络声称,其2008年发布的SRX系列防火墙是NGFW的代表作,但在该公司官方网站及互联网上我们暂时没有找到相关信息。
如何看待Gartner定义的NGFW标准?
NGFW标准是对用户需求的高度抽象,是防火墙发展到一个历史阶段的自然产物。在我们的采访中,绝大多数厂商都对Gartner定义的NGFW产品形态表示充分认同,也有一些厂商认为个别细节值得商榷。
H3C安全产品部部长马前祖称,Gartner提倡的下一代防火墙产品很类似于UTM,都是尽可能将传统的单一防火墙功能扩充到安全中。“与部分厂商解读的‘NGFW就是将所有的安全功能尽量集中于一体’不同,H3C更注重从网络安全整体的角度看安全产品。Gartner提倡的解决方案是从纯安全的角度去看安全的产品,而H3C更提倡系统化安全。”据介绍,H3C不仅要把防火墙和IPS做成高性能或者互动,同时还要把交换机、路由器与管理中心、桌面控制平台联合到一起,这样可以从各个层面来完善整网的安全解决方案。
“基于应用的流量识别与控制,给客户带来投资减少和管理方便是显而易见的。但它们受制于软、硬件设计和处理能力以及深度安全防御的专业程度限制,因此产品形态缺乏标准,指标随意。”马前祖说。
传统防火墙厂商天融信对NGFW的概念有所保留。“随着业务、应用、需求的变化,防火墙的定义和功能也一直在变化,总体趋势是做一个功能更加丰富、性能更高的网关或防火墙。Gartner定义的NGFW标准在一定程度上反映了产业发展的状况,但还存在一些不足。首先精确性有待探讨,实际上,业界各个厂家也有各自的理解,定义还缺乏广泛性和权威性。”北京天融信公司总工程师吴亚飚表示。
吴亚飚认为,Gartner的定义对当前防火墙发展的理解存在片面性,比较适合企业级客户对应用的控制,并不适合大型IDC数据中心的业务。
“根据Gartner的定义,NGFW不是UTM和现有防火墙的简单升级,而是提供了更全面的应用、用户识别机制,更灵活的控制机制,以及更全面的安全防御。NGFW主要对以下方面进行了大的改进:What, NGFW采用基于DPI/DFI技术的检测,能够深入到应用层报文,通过签名、行为特征识别技术,将应用或威胁进一步区分出来,便于制定不同的控制策略;Who,NGFW改变了传统防火墙/UTM依赖于物理设备地址(MAC/IP)和用户身份对应的机制,结合身份认证机制和深度挖掘,更主动和更精准地关联用户的实际身份;Where,在一些应用场合,特别是远程应用,NGFW可以准确判定用户的位置;How,灵活的控制策略和丰富的可视化内容。” 汉柏科技战略产品中心总经理时培昕认为。
NGFW应具备哪些其他功能?
除了Gartner定义的NGFW标准中明确要求必须具有的基础特性之外,各厂商还根据自身擅长的技术领域,以及目标客户的需求,定义了NGFW应具有的其他功能。
“具备多种安全防护功能是下一代防火墙需具备的特点之一,但与此同时,我们注意到目前IT界两大发展趋势:一是带宽越来越宽,以太网标准开始由万兆向40G、100G迈进;二是云计算风生水起,已成为众多企业CIO的关注焦点。NGFW要跻身这个市场,在具有融合的安全防护功能同时,还必须满足以下两个基本要求:高吞吐和高并发的性能弹性匹配,云计算环境中虚拟化技术带来的安全虚拟化需求。”H3C安全产品部部长马前祖认为。
“Gartner定义的NGFW标准主要强调了在应用层抗攻击的重要性,从技术层面上看,我公司认为NGFW需要在应用层实现丰富的审查与控制功能,例如实现应用层的流量分析与过滤、应用层QoS,以及对应用层DDoS攻击的防护,都是下一代防火墙的重要特征。在产品层面,下一代防火墙需要在高可扩展性方面做出更多革新,通过在软件和硬件层面的模块化设计,实现功能、接口数量、处理能力的即插即用式可全面升级,才能够使下一代防火墙具有更长的生命周期。因此,具有长远的技术前瞻性,架构设计优秀的产品才能够作为下一代防火墙的代表。”瞻博网络系统工程师侯志昂表示。
侯志昂认为,NGFW应该实现控制、转发、抗攻击三方面的硬件模块化分离设计。由于下一代防火墙需要在高性能网络中承担应用层审查和攻击抵御的责任,其转发平面势必面临比传统防火墙更为繁重的压力。把控制层面独立出来,在高速安全处理的同时保证管理层面的畅通无阻是提升防火墙的稳定性和可靠性的保障。下一代防火墙中,在高端产品线引入交换矩阵是非常重要的理念,只有通过交换矩阵的方式才能突破跨板卡流量性能的瓶颈,真正实现无阻塞转发。下一代防火墙需要能够实现性能、接口的零配置平滑升级,而决不能是简单的多台独立防火墙堆砌式升级。另外,高可管理性也是下一代防火墙实现的目标。
与具有独立组网能力的H3C和瞻博网络相比,传统意义上的安全厂商则更关注防数据泄露、立体防护、终端接入控制等功能的集成实现。
“就NGFW的定义来看,我公司觉得还需要补充以下两方面内容:一是在Gartner的定义中对威胁关注点是由‘外’向‘内’(或称之为攻击),对内部的数据安全考虑较少,面对日益严重的数据泄漏问题,有必要在网络边界处增加对内部数据安全的解决方案;二是以用户为访问控制的策略上,需要考虑终端与边界防护的立体防护方案,在终端的接入上进行必要的控制。”北京安氏领信科技发展有限公司研发总监杜永峰表示。
山石网科技术市场经理任磊则认为,NGFW应打破传统的单一功能叠加,实现基于应用的综合控制,其中只拆一次包和并行处理是关键。在识别应用的基础上,应能够对协议中的行为做深层次的可视、管理和安全控制。“除去安全功能外,在网络技术发展的今天,应用的变化不仅使数据流量增加,更高的并发连接和更多的会话一直困扰着传统设备;另外,当把多项功能集中于一台设备上的时候,软硬件的高可靠设计也是至关重要的。软件方面,AA、集群等可以通过软件算法实现多台设备之间的互备;而硬件方面,多控制冗余、多处理冗余、多进程冗余、多电源冗余等设计可以帮助设备在根本上提高稳定性。”
NGFW在国内的市场前景如何?
对于NGFW产品在国内的市场前景,受访厂商普遍看好。虽然不少厂商认为NGFW与UTM现阶段存在竞争,但其必将逐渐替代防火墙、IPS、UTM,成为阶段性的终结者。
“短期内NGFW在国内不会形成独立的市场,将会与传统的防火墙、UTM,甚至IPS、上网行为等网关类产品形成直接竞争。中期内,由于国内各类用户对新产品的认可度不同,NGFW产品将会先在大型企业、金融、电信等中高端领域被用户接受。长期看,由于NGFW代表了未来综合安全网关的发展方向,国内其他防火墙、UTM厂商会逐渐改进现有产品线以符合NGFW方向。最终,NGFW会成为综合网关市场最核心的产品形态。”绿盟科技产品管理中心总监王伟认为。
“NGFW代表着防火墙产品发展的一种趋势,在数据处理模式和效率方面有质的提升,这种提升已经与国内网络发展的需求相匹配,理应成为未来用户解决网络安全问题的主流选择。而随着云计算环境下安全的需求和虚拟化技术的不断普及,在安全方面针对应用的高性能深层防护将出现井喷式需求,市场潜力是巨大的。” 山石网科技术市场经理任磊表示。
“尽管目前NGFW在整体安全市场上的占有率不足1%,但我们对其未来的发展充满信心,尤其是在中小企业市场。很多人都会拿UTM来与NGFW进行比较,权且不论国际市场如何,就国内情况来看,UTM大而全、性能低下、没有整体防御逻辑的诟病较难被国内用户接受,NGFW全新的产品理念在迎合企业管理需求上能很好地弥补UTM的不足,市场前景看好。”北京安氏领信科技发展有限公司研发总监杜永峰认为。
北京启明星辰信息安全技术有限公司产品管理中心产品部副经理任平特别提到了NGFW对上网行为管理市场的冲击:“NGFW在国内最可能首先冲击上网行为管理市场,最终替代上网行为管理产品,与防火墙、UTM和IPS产品形成新的市场布局,并形成相对长期的竞争态势,相互功能也会不断融合。”任平认为,NGFW的出现是紧跟应用安全需求的产物,市场发展前景相对比较乐观,但会在经历一个爆发期后,与各种形态的网关产品市场形成比较理性的布局。“NGFW在性能方面的追求对硬件平台的专业化提出了更高的要求,国内安全厂商对专用硬件平台的驾驭能力会在一定程度上影响NGFW产品在国内市场的发展。在没有颠覆性软硬件技术革新网关商用模式的前提下,UTM、NGFW之间还难以形成替代关系。而两者差异的存在,使其在部署上反而会存在一定的互补性,满足用户的多维度需求。”
网御神州副总裁王刚则认为,NGFW会带动整个防火墙市场实现突破:“防火墙产品作为边界安全第一道防线,仍是安全市场的需求热点,且仍会占据安全市场的最大份额。NGFW作为防火墙产品中的一员,自然会在这个市场中占有一席之地。短期来看,用户接受NGFW还需要一个过程;长期来看,NGFW能更好地解决部分现有防火墙难解决的问题,市场增长速度会超过防火墙整体市场增长速度。当国内厂商积极引导客户的需求,一致推出NGFW产品时,会掀起市场的热潮,不仅NGFW市场需求会扩大,而且整个防火墙市场也会受益、获得更大的突破。”
计划何时推出NGFW产品?
在13家受访厂商中,有3家厂商宣称已有符合NGFW标准规范的产品推出,只是没有按照NGFW的提法进行包装;有5家明确表示已有NGFW产品研发计划,今明两年内将推出产品。总体来说,厂商对NGFW产品的态度比较积极。
瞻博网络认为,其2008年发布的SRX系列防火墙就是NGFW的代表作。
山石网科也声称,从产品功能来看,该公司产品早在2008年就具备了Gartner定义的NGFW特征。
迪普科技产品部副部长孙晓明认为,其现有的FW1000和UTM2000都可以归入NGFW类中。“其中FW1000应用防火墙除具有基本防火墙功能以外,还具有对四层攻击、拒绝服务攻击的抵御能力,可以对P2P、网络游戏、炒股软件等各种应用协议进行识别并进行限流或者阻断,可以基于自带的1000万条的URL库进行URL过滤等功能。而UTM2000系列产品在FW1000应用防火墙产品的基础上还增加了IPS、防病毒、应用控制、关键字过滤、行为审计等功能。无论是FW1000还是UTM2000,都是采用‘一次解析、多次匹配’、单引擎+多库合一(协议库、漏洞库、病毒库、URL库)的模式,使产品在设计上具有非常好的伸缩性。” 孙晓明表示。
“网御星云早在2010年初就已立项启动下一代智能感控防火墙的研发,当前正在最后试验阶段,产品功能包括所有NGFW的特性,并融合了网御星云的云防御理念,预计将于2011年下半年全面上市。”网御星云副总裁、CTO毕学尧说。
东软集团股份有限公司网络安全产品营销中心产品策划部部长王军民的态度则相对比较冷静:“对新技术的跟踪,我公司一直以来都是非常关注的,但产品化要看市场的成熟度,上市太早没有销量,投资的资金压力会很大,而上市太晚又会失去很多市场机会。如何拿捏好产品上市的尺度,是需要进行周密考虑的。总体上看,未来两年将是NGFW产品发展的高速上升期。”
华为赛门铁克科技有限公司安全市场与产品行销部部长武鹏表示,该公司早就开始研究下一代网络安全产品技术、并积累了大量的经验,今年全面整合研发资源、研发下一代网络安全产品。“目前我们的挑战是如何设计一个高效率的新的体系架构。我们致力于为中国客户提供下一代的网络安全产品,一体化的安全防御、更高的性能、更丰富的策略、更简便的管理,全系列产品都将向下一代产品演进,这对客户是个很好的消息。”
本报记者 韩勖 李智鹏
……
此次采访围绕着NGFW的产品形态和市场前景两大主题进行。从13份答复中可以看出,绝大多数厂商都对Gartner所定义的NGFW产品形态表示充分认同,虽然也有厂商表示个别细节值得商榷,但终归没有明确的反对意见出现。可以认为,Gartner所定义的NGFW标准是对用户需求的高度抽象,是防火墙发展到一个历史阶段的自然产物。除了定义中明确要求必须具有的基础特性,各厂商基本是从自身所擅长的技术领域,以及目标客户需求的视角,来定义NGFW应具有的其他功能。例如:有独立组网能力的H3C与瞻博网络重点提到了超高性能、扩展性、虚拟化、抗DDoS等特性,而传统意义上的信息安全厂商则更关注网关防病毒、内容管理、网络准入控制乃至报表与人机交互功能的集成实现。
对于NGFW产品在国内的市场前景,受访厂商也普遍表示看好。虽然不少厂商认为NGFW与UTM现阶段存在竞争,但必将逐渐替代防火墙、IPS、UTM,成为阶段性的终结者。启明星辰还提到了上网行为管理产品,认为NGFW的发展会对这类产品的市场产生冲击。绿盟科技的观点则更加明确,认为NGFW短期内不会有独立市场,中期来看将从行业用户处开始普及,最终会成为综合网关市场的核心产品。而华为赛门铁克则认为,有中国特色的NGFW必将成为市场的宠儿。
可以看出,业界对NGFW的产品形态和市场前景都趋于认同。也正基于此,13个受访厂商中的5家已明确表示有NGFW产品研发计划,今明两年内我们很可能看到至少4款来自不同厂商的NGFW产品出现在市场上。迪普科技、山石网科则表示现有产品已符合NGFW标准规范,只是未进行过有针对性的包装推广。瞻博网络声称,其2008年发布的SRX系列防火墙是NGFW的代表作,但在该公司官方网站及互联网上我们暂时没有找到相关信息。
如何看待Gartner定义的NGFW标准?
NGFW标准是对用户需求的高度抽象,是防火墙发展到一个历史阶段的自然产物。在我们的采访中,绝大多数厂商都对Gartner定义的NGFW产品形态表示充分认同,也有一些厂商认为个别细节值得商榷。
H3C安全产品部部长马前祖称,Gartner提倡的下一代防火墙产品很类似于UTM,都是尽可能将传统的单一防火墙功能扩充到安全中。“与部分厂商解读的‘NGFW就是将所有的安全功能尽量集中于一体’不同,H3C更注重从网络安全整体的角度看安全产品。Gartner提倡的解决方案是从纯安全的角度去看安全的产品,而H3C更提倡系统化安全。”据介绍,H3C不仅要把防火墙和IPS做成高性能或者互动,同时还要把交换机、路由器与管理中心、桌面控制平台联合到一起,这样可以从各个层面来完善整网的安全解决方案。
“基于应用的流量识别与控制,给客户带来投资减少和管理方便是显而易见的。但它们受制于软、硬件设计和处理能力以及深度安全防御的专业程度限制,因此产品形态缺乏标准,指标随意。”马前祖说。
传统防火墙厂商天融信对NGFW的概念有所保留。“随着业务、应用、需求的变化,防火墙的定义和功能也一直在变化,总体趋势是做一个功能更加丰富、性能更高的网关或防火墙。Gartner定义的NGFW标准在一定程度上反映了产业发展的状况,但还存在一些不足。首先精确性有待探讨,实际上,业界各个厂家也有各自的理解,定义还缺乏广泛性和权威性。”北京天融信公司总工程师吴亚飚表示。
吴亚飚认为,Gartner的定义对当前防火墙发展的理解存在片面性,比较适合企业级客户对应用的控制,并不适合大型IDC数据中心的业务。
“根据Gartner的定义,NGFW不是UTM和现有防火墙的简单升级,而是提供了更全面的应用、用户识别机制,更灵活的控制机制,以及更全面的安全防御。NGFW主要对以下方面进行了大的改进:What, NGFW采用基于DPI/DFI技术的检测,能够深入到应用层报文,通过签名、行为特征识别技术,将应用或威胁进一步区分出来,便于制定不同的控制策略;Who,NGFW改变了传统防火墙/UTM依赖于物理设备地址(MAC/IP)和用户身份对应的机制,结合身份认证机制和深度挖掘,更主动和更精准地关联用户的实际身份;Where,在一些应用场合,特别是远程应用,NGFW可以准确判定用户的位置;How,灵活的控制策略和丰富的可视化内容。” 汉柏科技战略产品中心总经理时培昕认为。
NGFW应具备哪些其他功能?
除了Gartner定义的NGFW标准中明确要求必须具有的基础特性之外,各厂商还根据自身擅长的技术领域,以及目标客户的需求,定义了NGFW应具有的其他功能。
“具备多种安全防护功能是下一代防火墙需具备的特点之一,但与此同时,我们注意到目前IT界两大发展趋势:一是带宽越来越宽,以太网标准开始由万兆向40G、100G迈进;二是云计算风生水起,已成为众多企业CIO的关注焦点。NGFW要跻身这个市场,在具有融合的安全防护功能同时,还必须满足以下两个基本要求:高吞吐和高并发的性能弹性匹配,云计算环境中虚拟化技术带来的安全虚拟化需求。”H3C安全产品部部长马前祖认为。
“Gartner定义的NGFW标准主要强调了在应用层抗攻击的重要性,从技术层面上看,我公司认为NGFW需要在应用层实现丰富的审查与控制功能,例如实现应用层的流量分析与过滤、应用层QoS,以及对应用层DDoS攻击的防护,都是下一代防火墙的重要特征。在产品层面,下一代防火墙需要在高可扩展性方面做出更多革新,通过在软件和硬件层面的模块化设计,实现功能、接口数量、处理能力的即插即用式可全面升级,才能够使下一代防火墙具有更长的生命周期。因此,具有长远的技术前瞻性,架构设计优秀的产品才能够作为下一代防火墙的代表。”瞻博网络系统工程师侯志昂表示。
侯志昂认为,NGFW应该实现控制、转发、抗攻击三方面的硬件模块化分离设计。由于下一代防火墙需要在高性能网络中承担应用层审查和攻击抵御的责任,其转发平面势必面临比传统防火墙更为繁重的压力。把控制层面独立出来,在高速安全处理的同时保证管理层面的畅通无阻是提升防火墙的稳定性和可靠性的保障。下一代防火墙中,在高端产品线引入交换矩阵是非常重要的理念,只有通过交换矩阵的方式才能突破跨板卡流量性能的瓶颈,真正实现无阻塞转发。下一代防火墙需要能够实现性能、接口的零配置平滑升级,而决不能是简单的多台独立防火墙堆砌式升级。另外,高可管理性也是下一代防火墙实现的目标。
与具有独立组网能力的H3C和瞻博网络相比,传统意义上的安全厂商则更关注防数据泄露、立体防护、终端接入控制等功能的集成实现。
“就NGFW的定义来看,我公司觉得还需要补充以下两方面内容:一是在Gartner的定义中对威胁关注点是由‘外’向‘内’(或称之为攻击),对内部的数据安全考虑较少,面对日益严重的数据泄漏问题,有必要在网络边界处增加对内部数据安全的解决方案;二是以用户为访问控制的策略上,需要考虑终端与边界防护的立体防护方案,在终端的接入上进行必要的控制。”北京安氏领信科技发展有限公司研发总监杜永峰表示。
山石网科技术市场经理任磊则认为,NGFW应打破传统的单一功能叠加,实现基于应用的综合控制,其中只拆一次包和并行处理是关键。在识别应用的基础上,应能够对协议中的行为做深层次的可视、管理和安全控制。“除去安全功能外,在网络技术发展的今天,应用的变化不仅使数据流量增加,更高的并发连接和更多的会话一直困扰着传统设备;另外,当把多项功能集中于一台设备上的时候,软硬件的高可靠设计也是至关重要的。软件方面,AA、集群等可以通过软件算法实现多台设备之间的互备;而硬件方面,多控制冗余、多处理冗余、多进程冗余、多电源冗余等设计可以帮助设备在根本上提高稳定性。”
NGFW在国内的市场前景如何?
对于NGFW产品在国内的市场前景,受访厂商普遍看好。虽然不少厂商认为NGFW与UTM现阶段存在竞争,但其必将逐渐替代防火墙、IPS、UTM,成为阶段性的终结者。
“短期内NGFW在国内不会形成独立的市场,将会与传统的防火墙、UTM,甚至IPS、上网行为等网关类产品形成直接竞争。中期内,由于国内各类用户对新产品的认可度不同,NGFW产品将会先在大型企业、金融、电信等中高端领域被用户接受。长期看,由于NGFW代表了未来综合安全网关的发展方向,国内其他防火墙、UTM厂商会逐渐改进现有产品线以符合NGFW方向。最终,NGFW会成为综合网关市场最核心的产品形态。”绿盟科技产品管理中心总监王伟认为。
“NGFW代表着防火墙产品发展的一种趋势,在数据处理模式和效率方面有质的提升,这种提升已经与国内网络发展的需求相匹配,理应成为未来用户解决网络安全问题的主流选择。而随着云计算环境下安全的需求和虚拟化技术的不断普及,在安全方面针对应用的高性能深层防护将出现井喷式需求,市场潜力是巨大的。” 山石网科技术市场经理任磊表示。
“尽管目前NGFW在整体安全市场上的占有率不足1%,但我们对其未来的发展充满信心,尤其是在中小企业市场。很多人都会拿UTM来与NGFW进行比较,权且不论国际市场如何,就国内情况来看,UTM大而全、性能低下、没有整体防御逻辑的诟病较难被国内用户接受,NGFW全新的产品理念在迎合企业管理需求上能很好地弥补UTM的不足,市场前景看好。”北京安氏领信科技发展有限公司研发总监杜永峰认为。
北京启明星辰信息安全技术有限公司产品管理中心产品部副经理任平特别提到了NGFW对上网行为管理市场的冲击:“NGFW在国内最可能首先冲击上网行为管理市场,最终替代上网行为管理产品,与防火墙、UTM和IPS产品形成新的市场布局,并形成相对长期的竞争态势,相互功能也会不断融合。”任平认为,NGFW的出现是紧跟应用安全需求的产物,市场发展前景相对比较乐观,但会在经历一个爆发期后,与各种形态的网关产品市场形成比较理性的布局。“NGFW在性能方面的追求对硬件平台的专业化提出了更高的要求,国内安全厂商对专用硬件平台的驾驭能力会在一定程度上影响NGFW产品在国内市场的发展。在没有颠覆性软硬件技术革新网关商用模式的前提下,UTM、NGFW之间还难以形成替代关系。而两者差异的存在,使其在部署上反而会存在一定的互补性,满足用户的多维度需求。”
网御神州副总裁王刚则认为,NGFW会带动整个防火墙市场实现突破:“防火墙产品作为边界安全第一道防线,仍是安全市场的需求热点,且仍会占据安全市场的最大份额。NGFW作为防火墙产品中的一员,自然会在这个市场中占有一席之地。短期来看,用户接受NGFW还需要一个过程;长期来看,NGFW能更好地解决部分现有防火墙难解决的问题,市场增长速度会超过防火墙整体市场增长速度。当国内厂商积极引导客户的需求,一致推出NGFW产品时,会掀起市场的热潮,不仅NGFW市场需求会扩大,而且整个防火墙市场也会受益、获得更大的突破。”
计划何时推出NGFW产品?
在13家受访厂商中,有3家厂商宣称已有符合NGFW标准规范的产品推出,只是没有按照NGFW的提法进行包装;有5家明确表示已有NGFW产品研发计划,今明两年内将推出产品。总体来说,厂商对NGFW产品的态度比较积极。
瞻博网络认为,其2008年发布的SRX系列防火墙就是NGFW的代表作。
山石网科也声称,从产品功能来看,该公司产品早在2008年就具备了Gartner定义的NGFW特征。
迪普科技产品部副部长孙晓明认为,其现有的FW1000和UTM2000都可以归入NGFW类中。“其中FW1000应用防火墙除具有基本防火墙功能以外,还具有对四层攻击、拒绝服务攻击的抵御能力,可以对P2P、网络游戏、炒股软件等各种应用协议进行识别并进行限流或者阻断,可以基于自带的1000万条的URL库进行URL过滤等功能。而UTM2000系列产品在FW1000应用防火墙产品的基础上还增加了IPS、防病毒、应用控制、关键字过滤、行为审计等功能。无论是FW1000还是UTM2000,都是采用‘一次解析、多次匹配’、单引擎+多库合一(协议库、漏洞库、病毒库、URL库)的模式,使产品在设计上具有非常好的伸缩性。” 孙晓明表示。
“网御星云早在2010年初就已立项启动下一代智能感控防火墙的研发,当前正在最后试验阶段,产品功能包括所有NGFW的特性,并融合了网御星云的云防御理念,预计将于2011年下半年全面上市。”网御星云副总裁、CTO毕学尧说。
东软集团股份有限公司网络安全产品营销中心产品策划部部长王军民的态度则相对比较冷静:“对新技术的跟踪,我公司一直以来都是非常关注的,但产品化要看市场的成熟度,上市太早没有销量,投资的资金压力会很大,而上市太晚又会失去很多市场机会。如何拿捏好产品上市的尺度,是需要进行周密考虑的。总体上看,未来两年将是NGFW产品发展的高速上升期。”
华为赛门铁克科技有限公司安全市场与产品行销部部长武鹏表示,该公司早就开始研究下一代网络安全产品技术、并积累了大量的经验,今年全面整合研发资源、研发下一代网络安全产品。“目前我们的挑战是如何设计一个高效率的新的体系架构。我们致力于为中国客户提供下一代的网络安全产品,一体化的安全防御、更高的性能、更丰富的策略、更简便的管理,全系列产品都将向下一代产品演进,这对客户是个很好的消息。”
本报记者 韩勖 李智鹏
关注读览天下微信,
100万篇深度好文,
等你来看……