5大厂商市售NGFW产品评析
- 来源:计算机世界
- 关键字:厂商,NGFW,产品,评析
- 发布时间:2011-07-14 15:49
目前我们可以确定共有5个厂商在国内正式发售了NGFW产品,其中4个国外厂商均在Gartner最新一期的《企业网络防火墙魔力象限报告》(Magic Quadrant for Enterprise Network Firewalls,2010)中占有一席之地;深信服是惟一发布了NGFW产品的本土厂商,我们相信会有越来越多的本土厂商杀入这一领域。
在产品资料收集的过程中,我们发现了一个很有意思的现象:之前无UTM产品的厂商为我们提供的产品文档中,都统一使用了NGFW的概念与宣传口径,且官方网站上的资料也是如此;而之前有UTM产品的厂商虽然宣称拥有NGFW产品线,却暂时没能提供与之相关的资料,在产品归属的态度上显得十分模糊。前者意图很明显,就是要避开竞争激烈的防火墙/UTM市场,抢占新的蓝海;后者大多拥有一定的资本和技术积累,为稳固市场地位需要拉动产业升级,却担心在市场上面临“自己打自己”的窘境。无论如何,随着NGFW概念逐步被用户理解、接受,目前市场上的混乱局面必将变得明朗,其前景值得看好。
Palo Alto
Palo Alto是近几年发展非常迅猛的一家安全企业,在业内负有盛名。该公司旗下仅拥有NGFW一类产品,被看做NGFW时代的先行者。经过充分的准备,Palo Alto于2011年年初在国内设立了办事处。据了解,诸如应用特征库、WebUI和报表管理系统的本土化工作已初见成效。
Palo Alto将用户识别、应用识别和内容识别并列为产品的3大核心功能,使用户权限和策略设定变得像自然语言般简单易懂,同时让报表的可读性更强。内容识别基于防火墙、IPS、反恶意软件、URL过滤乃至DLP等多种安全功能,可以为用户提供全面的安全保障。在业务处理方面,其产品采用了单数据流并行处理体系结构,保证了高性能、低延迟。有业内人士认为,Palo Alto产品中关于一体化的处理引擎和一体化的策略框架是最关键的设计理念,在保证高性能的同时提高了易用性。
产品规格方面,Palo Alto面向不同规模用户推出了从最低端的PA-500到最高端的PA-5060在内的多款产品。其最低端产品PA-500拥有250Mbps的防火墙处理能力、100Mbps的攻击防护能力和50Mbps的IPSec VPN性能,最高端的PA-5060则将这3个指标推向20Gbps/10Gbps/4Gbps。Palo Alto公司创始人、首席架构师毛宇明在接受我们采访时特别指出,该公司在官方网站公布了所有产品的性能指标,其中攻击防护能力一项均为开启应用识别及所有安全模块后的数据,并且即便用户没有选购任何安全功能的许可,也可以使用不受任何限制的应用识别与控制功能。
Palo Alto在Gartner最新一期的《企业网络防火墙魔力象限报告》中处于“有远见者”(visionaries)象限,并且在前瞻性(completeness of vision)坐标中处于最领先的位置。就目前的情况看,我们认为该公司在未来报告中的排名会继续进步。
SonicWALL
作为资深的信息安全解决方案提供商,SonicWALL在国内外市场都有着不小的知名度。该公司在上海设有规模庞大的研发中心,负责核心产品的研发和部分本土化工作。SonicWALL中国研发中心总经理陈中在接受采访时特别提到,目前该公司产品每次系统版本更新后1~2个月内即可提供中文版,并且有专人负责国内应用特征的添加与维护,达到平时每周1次、紧急情况下1天响应的更新频率。
SonicWALL对NGFW概念的跟进非常迅速,旗下已有SuperMassive E10000、E-Class NSA、NSA以及TZ210四大系列多款产品。实际上,得益于比较完备的软件平台和模块化的安全业务部署模式,该公司的NGFW产品和UTM产品使用了基本一致的软硬件平台,只在功能模块的配置上有所区别。在交付时,可以根据用户需求进行相应的授权,灵活满足NGFW或UTM的功能侧重。SonicWALL一直在为其NGFW产品增加更多的功能特性,该公司在一周前刚刚宣布将广域网加速功能集成到NGFW,为用户提供更好的网络使用效率。
SonicWALL旗下NGFW产品规格非常丰富,最低端的TZ210拥有200Mbps的防火墙处理能力、50Mbps的UTM处理能力和75Mbps的IPSec VPN性能,此外还可以提供3G/Wi-Fi无线接入特性。在最高端,SuperMassive E10000系列使用了多节点业务智能分摊的设计理念,最多可支持8个业务节点共96个处理器内核同时工作,提供最大30Gbps的应用识别与控制能力、30Gbps的IPS处理能力、12Gbps的反恶意软件处理能力和20Gbps的IPSec VPN性能,无愧于当今顶级NGFW产品的称号。
SonicWALL在Gartner最新一期的《企业网络防火墙魔力象限报告》中处于“特定领域参与者”(niche players)象限。不过在Gartner同期的《UTM魔力象限报告》(Magic Quadrant for Unified Threat Management)中,该公司则处于“领导者”象限,综合排名仅次于Fortinet。
Check Point
Check Point是历史最悠久的信息安全解决方案提供商,也是最早一批进入国内市场的安全厂商。该公司的防火墙产品在业内拥有极高的知名度,并且始终处于技术发展的最前沿。Check Point首创了软件刀片的概念,通过在统一的系统平台上部署不同功能的软件刀片来实现多种安全业务。在得到了NOKIA的硬件产品线后,该公司拥有了堪称业界最全面的硬件平台方案,具备了多形态的交付能力。
有了这样的支撑,Check Point发布NGFW产品可谓水到渠成。该公司在2010年推出了可以对应用进行识别、控制的应用控制刀片,并整合了允许员工参与到决策进程的UserCheck技术。Check Point还利用独有的应用程序库AppWiki为用户提供更深入的可视性,该程序库内置了5万多种Web 2.0专用界面工具信息和包含社交应用、即时通信和流媒体在内的4500多种互联网应用特征。
虽然不是最早发布NGFW产品的厂商,Check Point却在NSSLabs进行的业界第一次NGFW产品测试中拔得头筹,成为业界首个获得NGFW产品“推荐”级别的厂商。我们在官方测试报告中看到,该公司送测的次高端产品Check Point Power-1 11065在防火墙、身份识别以及应用程序控制执行的各项评测中取得100%的有效率,IPS功能的成功拦截率也达到97.3%;性能方面,该产品在混合多种协议的“真实流量”(Real World)测试中达到最高3800Mbps的处理能力,在传统的UDP性能测试中则有着12050Mbps的最大吞吐量。
Check Point在Gartner最新一期的《企业网络防火墙魔力象限报告》中处于“领导者”(leaders)象限,并且在前瞻性(completeness of vision)、执行力(ability to execute)坐标中均处于第二名的位置。在Gartner同期的《UTM魔力象限报告》中,该公司也处于“领导者”象限,综合排名第三位。
梭子鱼
梭子鱼是近年来表现比较活跃的信息安全解决方案提供商,目前已有超过10款不同类型的产品在国内市场进行销售。该公司十分善于整合吸收外来的产品技术,在国际范围内有多次成功的并购案例。梭子鱼现有的NGFW产品线来自于2009年收购的安全厂商phion,其产品在欧洲地区已经有许多大规模部署的案例。
也许是因为之前旗下没有防火墙/UTM产品线,梭子鱼坚定地成为NGFW时代的先行者之一。该公司在产品上以应用与身份控制、内容安全和网络层安全为核心,在满足NGFW定义要求的基础上提供了比较全面的安全特性。目前,梭子鱼仍在致力于管理特性、其他安全特性的开发和更为彻底的本土化整合工作,该公司中国区技术总监谷新在接受采访时特别提到,NGFW产品的集中管理平台目前已经可以管理维护多达数千台设备,并有实际部署案例。该平台还结合图形化管理维护技术,利用业界独特的“梭子鱼NG地球”特性,使分布网络的管理变得简单高效。
产品规格方面,梭子鱼也针对不同层面用户的需求提供了覆盖高中低端的全系列产品,其中多款具有Wi-Fi及3G接入的能力。根据该公司公布的数据,其最低端的F10拥有150Mbps的防火墙处理能力和85Mbps的VPN性能,最高端的F900则将这两个指标推向21Gbps和3.78Gbps。而该公司提供的另一份文档也表明,梭子鱼的NGFW产品可在开启所有安全功能后达到8~10Gbps的最高性能。我们还注意到,梭子鱼在产品线中提供了目前惟一的虚拟环境部署方案,对有类似需求的用户来说无疑是很好的选择。
phion在Gartner最新一期的《企业网络防火墙魔力象限报告》中处于“特定领域参与者”(niche players)象限。有了梭子鱼丰富的产品线及全球化的销售/维护体系作为支撑,该产品的未来值得看好。
深信服科技
作为近年来崛起势头最为迅猛的本土信息安全解决方案提供商,深信服科技长期坚持专攻应用与内容安全领域的发展策略,在市场上有着广泛的认同度。就在NGFW大潮在国内方兴未艾之际,该公司于近期发布了NGAF系列下一代防火墙,成为首家推出NGFW产品的国内厂商。
深信服NGAF系列下一代防火墙提供了以传统基础网络安全、应用识别与控制、应用威胁防护为核心的多种安全功能,覆盖了NGFW定义中要求必备的所有特性。有国内市场上最成功的上网行为管理产品为基础,深信服科技的NGFW产品在应用识别与控制能力方面显然有着先天优势。该公司还将WAF产品的主要功能集成到NGFW产品中,结合应用识别与控制功能,为数据中心用户提供了新的安全防护接入思路。
对于我们采访中问到的“之前没有防火墙/UTM产品,在状态检测技术和入侵防御技术方面是否有足够积累”的问题,深信服科技市场行销部技术总监殷浩也没有回避。据介绍,该公司在保持应用与内容安全领域技术领先的同时,也一直都在跟踪其他各类安全技术的发展。例如成为微软MAPP计划合作伙伴,可以第一时间获得漏洞资料,提高IPS的防护效果和响应速度。NGFW产品的应用威胁防护功能将反恶意软件、漏洞利用、Web入侵等威胁视为一个整体进行统一防护,正是技术积累的一次集中体现。
产品规格方面,深信服科技的NGFW产品线中包含了多达11款产品,覆盖了几乎所有用户群体。其最低端AF-1100系列产品标称提供200Mbps的防火墙处理能力(按照深信服对产品的定义,应用识别与控制功能都默认开启,后同),最高端的AF-8000系列则将该指标推向10Gbps。由于深信服科技NGAF系列产品刚推出不久,我们还未能拿到更多的性能参数。但从厂商测试中得到的最新数据来看,其中端AF-1700系列产品的防火墙吞吐量达到600Mbps;在此基础上开启IPS和WAF功能,依然可以达到520Mbps的处理能力。
计算机世界实验室 韩勖
……
在产品资料收集的过程中,我们发现了一个很有意思的现象:之前无UTM产品的厂商为我们提供的产品文档中,都统一使用了NGFW的概念与宣传口径,且官方网站上的资料也是如此;而之前有UTM产品的厂商虽然宣称拥有NGFW产品线,却暂时没能提供与之相关的资料,在产品归属的态度上显得十分模糊。前者意图很明显,就是要避开竞争激烈的防火墙/UTM市场,抢占新的蓝海;后者大多拥有一定的资本和技术积累,为稳固市场地位需要拉动产业升级,却担心在市场上面临“自己打自己”的窘境。无论如何,随着NGFW概念逐步被用户理解、接受,目前市场上的混乱局面必将变得明朗,其前景值得看好。
Palo Alto
Palo Alto是近几年发展非常迅猛的一家安全企业,在业内负有盛名。该公司旗下仅拥有NGFW一类产品,被看做NGFW时代的先行者。经过充分的准备,Palo Alto于2011年年初在国内设立了办事处。据了解,诸如应用特征库、WebUI和报表管理系统的本土化工作已初见成效。
Palo Alto将用户识别、应用识别和内容识别并列为产品的3大核心功能,使用户权限和策略设定变得像自然语言般简单易懂,同时让报表的可读性更强。内容识别基于防火墙、IPS、反恶意软件、URL过滤乃至DLP等多种安全功能,可以为用户提供全面的安全保障。在业务处理方面,其产品采用了单数据流并行处理体系结构,保证了高性能、低延迟。有业内人士认为,Palo Alto产品中关于一体化的处理引擎和一体化的策略框架是最关键的设计理念,在保证高性能的同时提高了易用性。
产品规格方面,Palo Alto面向不同规模用户推出了从最低端的PA-500到最高端的PA-5060在内的多款产品。其最低端产品PA-500拥有250Mbps的防火墙处理能力、100Mbps的攻击防护能力和50Mbps的IPSec VPN性能,最高端的PA-5060则将这3个指标推向20Gbps/10Gbps/4Gbps。Palo Alto公司创始人、首席架构师毛宇明在接受我们采访时特别指出,该公司在官方网站公布了所有产品的性能指标,其中攻击防护能力一项均为开启应用识别及所有安全模块后的数据,并且即便用户没有选购任何安全功能的许可,也可以使用不受任何限制的应用识别与控制功能。
Palo Alto在Gartner最新一期的《企业网络防火墙魔力象限报告》中处于“有远见者”(visionaries)象限,并且在前瞻性(completeness of vision)坐标中处于最领先的位置。就目前的情况看,我们认为该公司在未来报告中的排名会继续进步。
SonicWALL
作为资深的信息安全解决方案提供商,SonicWALL在国内外市场都有着不小的知名度。该公司在上海设有规模庞大的研发中心,负责核心产品的研发和部分本土化工作。SonicWALL中国研发中心总经理陈中在接受采访时特别提到,目前该公司产品每次系统版本更新后1~2个月内即可提供中文版,并且有专人负责国内应用特征的添加与维护,达到平时每周1次、紧急情况下1天响应的更新频率。
SonicWALL对NGFW概念的跟进非常迅速,旗下已有SuperMassive E10000、E-Class NSA、NSA以及TZ210四大系列多款产品。实际上,得益于比较完备的软件平台和模块化的安全业务部署模式,该公司的NGFW产品和UTM产品使用了基本一致的软硬件平台,只在功能模块的配置上有所区别。在交付时,可以根据用户需求进行相应的授权,灵活满足NGFW或UTM的功能侧重。SonicWALL一直在为其NGFW产品增加更多的功能特性,该公司在一周前刚刚宣布将广域网加速功能集成到NGFW,为用户提供更好的网络使用效率。
SonicWALL旗下NGFW产品规格非常丰富,最低端的TZ210拥有200Mbps的防火墙处理能力、50Mbps的UTM处理能力和75Mbps的IPSec VPN性能,此外还可以提供3G/Wi-Fi无线接入特性。在最高端,SuperMassive E10000系列使用了多节点业务智能分摊的设计理念,最多可支持8个业务节点共96个处理器内核同时工作,提供最大30Gbps的应用识别与控制能力、30Gbps的IPS处理能力、12Gbps的反恶意软件处理能力和20Gbps的IPSec VPN性能,无愧于当今顶级NGFW产品的称号。
SonicWALL在Gartner最新一期的《企业网络防火墙魔力象限报告》中处于“特定领域参与者”(niche players)象限。不过在Gartner同期的《UTM魔力象限报告》(Magic Quadrant for Unified Threat Management)中,该公司则处于“领导者”象限,综合排名仅次于Fortinet。
Check Point
Check Point是历史最悠久的信息安全解决方案提供商,也是最早一批进入国内市场的安全厂商。该公司的防火墙产品在业内拥有极高的知名度,并且始终处于技术发展的最前沿。Check Point首创了软件刀片的概念,通过在统一的系统平台上部署不同功能的软件刀片来实现多种安全业务。在得到了NOKIA的硬件产品线后,该公司拥有了堪称业界最全面的硬件平台方案,具备了多形态的交付能力。
有了这样的支撑,Check Point发布NGFW产品可谓水到渠成。该公司在2010年推出了可以对应用进行识别、控制的应用控制刀片,并整合了允许员工参与到决策进程的UserCheck技术。Check Point还利用独有的应用程序库AppWiki为用户提供更深入的可视性,该程序库内置了5万多种Web 2.0专用界面工具信息和包含社交应用、即时通信和流媒体在内的4500多种互联网应用特征。
虽然不是最早发布NGFW产品的厂商,Check Point却在NSSLabs进行的业界第一次NGFW产品测试中拔得头筹,成为业界首个获得NGFW产品“推荐”级别的厂商。我们在官方测试报告中看到,该公司送测的次高端产品Check Point Power-1 11065在防火墙、身份识别以及应用程序控制执行的各项评测中取得100%的有效率,IPS功能的成功拦截率也达到97.3%;性能方面,该产品在混合多种协议的“真实流量”(Real World)测试中达到最高3800Mbps的处理能力,在传统的UDP性能测试中则有着12050Mbps的最大吞吐量。
Check Point在Gartner最新一期的《企业网络防火墙魔力象限报告》中处于“领导者”(leaders)象限,并且在前瞻性(completeness of vision)、执行力(ability to execute)坐标中均处于第二名的位置。在Gartner同期的《UTM魔力象限报告》中,该公司也处于“领导者”象限,综合排名第三位。
梭子鱼
梭子鱼是近年来表现比较活跃的信息安全解决方案提供商,目前已有超过10款不同类型的产品在国内市场进行销售。该公司十分善于整合吸收外来的产品技术,在国际范围内有多次成功的并购案例。梭子鱼现有的NGFW产品线来自于2009年收购的安全厂商phion,其产品在欧洲地区已经有许多大规模部署的案例。
也许是因为之前旗下没有防火墙/UTM产品线,梭子鱼坚定地成为NGFW时代的先行者之一。该公司在产品上以应用与身份控制、内容安全和网络层安全为核心,在满足NGFW定义要求的基础上提供了比较全面的安全特性。目前,梭子鱼仍在致力于管理特性、其他安全特性的开发和更为彻底的本土化整合工作,该公司中国区技术总监谷新在接受采访时特别提到,NGFW产品的集中管理平台目前已经可以管理维护多达数千台设备,并有实际部署案例。该平台还结合图形化管理维护技术,利用业界独特的“梭子鱼NG地球”特性,使分布网络的管理变得简单高效。
产品规格方面,梭子鱼也针对不同层面用户的需求提供了覆盖高中低端的全系列产品,其中多款具有Wi-Fi及3G接入的能力。根据该公司公布的数据,其最低端的F10拥有150Mbps的防火墙处理能力和85Mbps的VPN性能,最高端的F900则将这两个指标推向21Gbps和3.78Gbps。而该公司提供的另一份文档也表明,梭子鱼的NGFW产品可在开启所有安全功能后达到8~10Gbps的最高性能。我们还注意到,梭子鱼在产品线中提供了目前惟一的虚拟环境部署方案,对有类似需求的用户来说无疑是很好的选择。
phion在Gartner最新一期的《企业网络防火墙魔力象限报告》中处于“特定领域参与者”(niche players)象限。有了梭子鱼丰富的产品线及全球化的销售/维护体系作为支撑,该产品的未来值得看好。
深信服科技
作为近年来崛起势头最为迅猛的本土信息安全解决方案提供商,深信服科技长期坚持专攻应用与内容安全领域的发展策略,在市场上有着广泛的认同度。就在NGFW大潮在国内方兴未艾之际,该公司于近期发布了NGAF系列下一代防火墙,成为首家推出NGFW产品的国内厂商。
深信服NGAF系列下一代防火墙提供了以传统基础网络安全、应用识别与控制、应用威胁防护为核心的多种安全功能,覆盖了NGFW定义中要求必备的所有特性。有国内市场上最成功的上网行为管理产品为基础,深信服科技的NGFW产品在应用识别与控制能力方面显然有着先天优势。该公司还将WAF产品的主要功能集成到NGFW产品中,结合应用识别与控制功能,为数据中心用户提供了新的安全防护接入思路。
对于我们采访中问到的“之前没有防火墙/UTM产品,在状态检测技术和入侵防御技术方面是否有足够积累”的问题,深信服科技市场行销部技术总监殷浩也没有回避。据介绍,该公司在保持应用与内容安全领域技术领先的同时,也一直都在跟踪其他各类安全技术的发展。例如成为微软MAPP计划合作伙伴,可以第一时间获得漏洞资料,提高IPS的防护效果和响应速度。NGFW产品的应用威胁防护功能将反恶意软件、漏洞利用、Web入侵等威胁视为一个整体进行统一防护,正是技术积累的一次集中体现。
产品规格方面,深信服科技的NGFW产品线中包含了多达11款产品,覆盖了几乎所有用户群体。其最低端AF-1100系列产品标称提供200Mbps的防火墙处理能力(按照深信服对产品的定义,应用识别与控制功能都默认开启,后同),最高端的AF-8000系列则将该指标推向10Gbps。由于深信服科技NGAF系列产品刚推出不久,我们还未能拿到更多的性能参数。但从厂商测试中得到的最新数据来看,其中端AF-1700系列产品的防火墙吞吐量达到600Mbps;在此基础上开启IPS和WAF功能,依然可以达到520Mbps的处理能力。
计算机世界实验室 韩勖
关注读览天下微信,
100万篇深度好文,
等你来看……