2008年,测试山石网科SA-5180、SR-550
2009年,测试山石网科SA-2001、SG-6000-G5150
2010年,测试山石网科SG-6000-X6150
如果不是决定试用山石网科T5060智能下一代防火墙,我基本忘了在遥远的从前还测过那么多山石网科的产品。从传统墙到UTM,再到下一代防火墙,山石网科貌似一直按照自己的思路和节奏打造着一款又一款的经典产品。乱花渐欲迷人眼,在市场过度包装、李逵李鬼同场竞技的情况下,山石网科的T系列智能下一代防火墙,又会有怎样的表现?
温故而知新,我们有必要先把产品定义正本清源。
不管是过去的传统防火墙,还是现在的下一代防火墙,还是未来的下n代防火墙,干得其实都是数通网关、访问控制、安全防护这三件事。它们的区别,仅仅是在不同时期、不同技术水平、不同需求的情况下,三件事干得多点少点、深点浅点的区别罢了。
比如传统墙,基于状态检测机制(SPI),能做三层交换、路由、NAT,能做基于五元组的访问控制,能做2-4层的安全防护。虽然它面对的主要是些简单粗暴的攻击,却足以在Web 1.0时代缔造辉煌了。曾经测试过的SA-5180,在那个时代就有着上佳表现。
再比如下一代防火墙(NGFW),传统墙能做的它都能做,其进步在于使用了深度状态检测(DPI)机制,主打基于应用的访问控制,同时加入IPS将安全防护范围从4层上升到7层。可以看到这一切都是Web 2.0时代的刚性需求,所以下一代墙的概念一经推出就受到热捧,到今天仍然是安全市场的宠儿。这个时代,山石网科从中端的SG-6000-G5150到高端的SG-6000-X6150,亦做了完整布局。
不过即便下一代墙,也是2008年的概念了。时至今日,互联网对各行各业的渗透改造逐步深入,用户业务形态和对安全的需求都发生了巨大的变化,防火墙又如何与时俱进?这个问题,我在试用山石网科T5060的过程中逐渐看到了答案。