防火墙魔力象限下一代防火墙将成为主流

Gartner的研究结果表明,基于端口和协议作出决策的有状态防火墙现在已经变成一种落后技术,企业正在大规模评估和安装下一代防火墙。

有了Gartner的新防火墙魔力象限,关于下一代防火墙的争论终将结束。现在,随着更多的企业部署了这项新技术,所有的问题都将迎刃而解。

新罕布什尔州首都地区医疗和协和医院的CTO Mark Starry说:“我认为传统防火墙并没能防御攻击公司网络的大多数威胁。每个月我都会接到电话通知,告诉我医院网络感染一些病毒,而他们只使用了一个有某种IPS(入侵防御系统)的标准防火墙。”

两年前,Starry将原来的Check Point Software和Juniper防火墙更换为Palo Alto Networks的下一代防火墙。今年,他发现新罕布什尔州所有大型医院都转而采用Palo Alto的产品。他说:“有一家医院曾经因为病毒感染而停止营业三天,现在这家医院正在考虑用Palo Alto的产品。”

防火墙魔力象限:下一代防火墙规则

下一代防火墙,也称为感知应用程序的防火墙,通常也具备有状态防火墙传统的端口和协议分析功能,但是它们还能够根据产生网络数据包的应用程序进行流量检测。在最近几年,Web应用程序呈现爆炸性增长,这个功能也因此变得至关重要,因为大多数有状态防火墙只能够识别80端口的HTTP流量。

多年来,分析公司Gartner一直认为下一代防火墙是防火墙行业的未来,而在它最新发布的企业防火墙魔力象限中,它认为这个趋势变得比以前更为清晰。Gartner推荐了Palo Alto网络公司,这家公司的技术在过去几年获得行业认可,与Check Point Software一起成为市场领跑者。

同时,作为长期占据Gartner魔力象限领军位置的Juniper,仍然位列于传统的有状态防火墙,现在也已经落入挑战者象限,与思科、 McAfee和Fortinet处于相同的状态。思科的防火墙也只有有限的下一代功能。魔力象限定义的挑战者,是指那些拥有执行解决方案的销售与支持团队、但缺乏强有力技术计划的公司。

Gartner公司的研究副总裁Greg Young说:“我们一直在等待防火墙供应商进入下一代防火墙市场。但是他们继续迷信IPS。而这些IPSec的质量却非常差。它们无法与这些独立的下一代防火墙竞争。这些独立产品越来越多,而传统防火墙供应商仍然忽视这部分市场。最终,客户需求超过了这个领域所有供应商所能够提供的产品。因此,我们调整了魔力象限的标准,规定领导市场的必须是那些拥有下一代防火墙产品的公司。”

Young指出,在他接到Gartner咨询客户关于防火墙的所有咨询电话中,大多数是关于下一代防火墙的。他们或者希望购买这些产品,或者多了解相关的信息。“我认为,几年前客户对下一代防火墙持怀疑态度是合理的,但是现在市场上已经出现了可用产品和大量竞争。客户的想法已经开始转变。”

下一代防火墙:潜在的实现问题

根据Gartner公司Young的观点,下一代防火墙执行的应用层分析极耗费计算能力,所以企业在部署这些新型设备时必须仔细斟酌。例如,许多统一威胁管理(UTM)供应商将他们的设备称为下一代防火墙,但是企业很快发现这些设备更适合小型公司使用。当他们开启全部特性,包括应用程序检测,UTM设备就会成为严重的瓶颈。

Young说:“我们已经发现规模问题,大多数都是因为开启了那些不是面向企业设计的特性。我们急需面向企业的UTM。下一代防火墙还有许多其他的性能问题未得到解决。如果只是硬件整合,将大量的元件强加到一个设备上,那么这就是问题的根源,它的性能会很差。”

但是,Young强调,许多防火墙供应商现在已经有强大的企业级下一代防火墙产品。各个供应商相互争论,认为的产品是最好的,但防火墙用户必须自己评估这些产品,寻找最适合他们环境的产品。

下一代防火墙还给运营团队带来一个文化转变。防火墙管理员长年都在规定处理端口和IP地址的规则,下一代防火墙将迫使他们离开自己经营多年的乐土。

首都地区医院的Starry说:“它植入了防火墙概念。您编写的是基于应用程序的规则,而非基于端口和IP地址的。防火墙管理员适应基于应用程序的规则有一定的难度。但是,您能够掌握这两种方法,也必须掌握这两种方法。”

下一代防火墙:不要局限于精细应用程序管理

加州大学欧文分校的系统管理员Steve Gilmer指出,应用程序可见性是很重要的,但是在选择下一代防火墙时,这并非是他唯一的关注点。

Gilmer在大学安装WatchGuard防火墙,以保护课堂网络。他介绍说,他曾经认真地研究每个下一代防火墙是如何进行HTTPS流量解密和检测。他认为HTTPS是一个重要的恶意软件威胁目标,但是大多数防火墙供应商不推荐对HTTPS进行解密和检测。相反,他们认为他们的产品能够检测出所有在网络内部发起攻击的恶意软件,允许网络安全管理员在网络中隔离感染病毒的机器。

Gilmer说:“显然,恶意软件已经进入网络,这就是问题所在。”所以Gilmer研究了各个防火墙供应商是如何检测恶意软件的。许多供应商都通过第三方供应商产品来实现这个功能,但是很难评估每一个供应商的优劣。