WatchGuard:精致布局国内市场

提到ASIC架构的防火墙,很多人马上会想起NetScreen,而提起UTM,更会本能地想到Fortinet。然而还有另一家公司,1996年成立之初便发布了第一款硬件防火墙,2000年又发布了ASIC架构的防火墙,2003年进一步推出了UTM——它,就是WatchGuard。

1

1996年,位于美国西雅图的两个安全实验室Mazama与Seattle合并成立了WatchGuard公司。该公司致力于防火墙和VPN整合型产品的开发,并尽可能在一个平台内提供更多的安全防护功能。从这一点来看,WatchGuard和Fortinet一样,是一家从创立之初便定位于多功能安全网关市场的老牌安全厂商。

虽然在国外地位尊崇,很早就进入国内市场的WatchGuard却遭遇水土不服,长期缺乏醒目表现。(原因肯定不在产品技术层面,一个能进入Gartner的UTM领导者象限的厂商,其产品技术也绝不会差到哪去。)不过这种情况在逐渐改变,从该公司2013年在国内发布的新产品解决方案来看,WatchGuard对市场需求的把握还是蛮准确的,其针对成长型企业的轻结构无线安全解决方案、面向行业用户的NGFW和面向数据中心场景的虚拟化交付方案无不戳中用户痛点,有望打个漂亮的翻身仗。

下一代NGFW来了吗?

六年,从声名鹊起到走向大众,下一代防火墙纵有落户千万家之势,却仍难逃争议。

六年过去了,NGFW已成大势,但市场中对其解读方式却越来越多,也愈发复杂。随着时间的流逝,越来越多的厂商举起了NGFW的大旗,也让这个市场变得更加混乱。而这些混乱,一方面源自产品质量的参差不齐,另一个很重要的方面则是对于Gartner经典定义的“发扬光大”,对于NGFW中应该包括和不该包括的功能,众厂商均持有不同意见。2004年IDC定义了UTM,时隔5年Gartner定义了NGFW。到明年,NGFW的定义就满5年了,是否会有新的定义出来、下一代的新产品叫什么名字,笔者看不清也无从知晓。(从命名角度来讲,IDC显然比Gartner要高明的多。Gartner也憋坏了众多想给产品起个好名字的厂商。下一代防火墙一出,新产品如何命名?身为文字工作者的笔者也被摆了一道。)但是从时间上看,“下一代防火墙”的下一代是不是快来了?

title

今年又有几家国内厂商陆续发布了NGFW产品,它们也是国内知名网络安全厂商中最后发布NGFW产品的了。至此,国内网络安全厂商全面拥抱NGFW。而在之前发布NGFW的厂商,也不断向其产品中添加新的功能(比如Web安全或DLP相关)。且不论其是否符合NGFW的发展方向,至少在创新这一点上比拉大旗扯虎皮者强得多。

随着硬件性能的逐年增加,今年NGFW产品的性能应该比前几年有不小的提升,也许之前为了规格好看而虚高的性能指标能够实现了。Gartner定义的NGFW部署在对延迟敏感的大型企业网络环境中,这是区别于用在SMB的UTM的一个因素,但是却有个别厂商将NGFW产品主要定位于中小企业市场。笔者认为,若是能够做出性价比很高的产品,对于价格敏感的中小企业也是个福音,还能促使NGFW更加普及,使其成为防火墙的真正替代者,而不只是部分替代。其实不论是大企业还是中小企业,都是在乎TCO的。如果NGFW能够有效地降低部署成本,同时又可以提升安全性,那么何乐而不为呢。

NGFW新解

在昨天发出的《进行中:PaloAlto Networks-PA200》一文中,我坦白现在已经看不懂NGFW了,并且最近一直为此感到困惑。正好今天中午有机会和PaloAlto Networks的毛总吃了顿饭,席间就请教了两个问题:1.在产品层面,UTM和NGFW到底有啥不同?2.贵司如何用简单易懂的方式告诉用户NGFW的作用?

毛总是这样回答的:

NGFW和UTM所面对的问题是一样的,但体系结构使它们在有效性、可用性和可管理性上的表现大不一样。UTM要赶上,必须做很大改进来满足Gartner对NGFW的要求。NGFW在功能细粒度和深度上的要求是明显高于UTM产品的。举个例子,用户使用Google Service,入口是Gmail,那UTM通常只识别成WebMail-Gmail,后续的安全防护手段也随之确定。但在实际应用中,同一个连接承载的业务是不唯一的,也许Gmail转变成Gtalk,然后又变成共享应用,需要对应到不同的安全防护手段。所以现实要求应用识别不能基于一个点,必须时时刻刻都在进行,否则会在管理和安全防护方面留下漏洞。而这,只有NGFW才能做到。

我个人比较认同这个解读。面对错综复杂的互联网应用发展趋势,NGFW必须更智能、更精准,才能让用户更省心、更安全。不过显然不是所有号称NGFW的产品都能做到这一点,有的甚至没有满足最基本的定义,让用户对NGFW印象不佳。毛总提到的这个应用场景很经典,也许用户在评估NGFW的时候可以借鉴。

PaloAlto Networks对用户的宣导方式很简单,就是从业务而非产品本身入手。举个例子,现在邮件安全的解决方案比较成熟,可以基于信誉,可以基于算法判别,也可以做病毒扫描等等,是多层立体的安全防护体系。PaloAlto Networks的NGFW产品做了拓展,能为用户提供全业务的立体防护,可以让用户在Web浏览、即时通信、文件传输等主流应用中享受到与邮件一样的全面安全防护。因为涉及到的业务场景多种多样,不同的NGFW产品在细节上会体现出差异。

Triple ID

这个角度很有新意,从业务入手可以让用户少关注技术实现,多关注实用效果,把选型从攀比规格的怪圈中解放出来。以前总觉得NGFW比UTM多了应用识别和控制,对应到产品形态上就是加入应用防火墙或流控功能,却没想到DPI对安全业务的整体支撑。PaloAlto Networks是否真能基于App-ID和Content-ID做到全面立体的安全防护,在PA200测试中要好好验证下。