虽然下一代防火墙已经在中华大地上开满希望之花,但是对于这个概念的缔造者之一以及先驱者PaloAltoNetworks却在国内很少有媒体提及。有鉴于此,网界网对PaloAltoNetworks产品及市场总监ChrisKing进行了独家专访,为大家打开一扇通往这个著名有神秘的公司之门。
笔者:您认为NGFW和UTM的区别是什么?
Chris:UTM和NGFW最根本的区别在于他们解决问题的方式。UTM通过将已有的网络安全功能固化到一个盒子中,例如状态检测防火墙,IPS,AV,URL地址过滤,从而达到让网络安全更廉价的目的而设计。我们认为NGFW的不同之处是在于我们不是将网络安全变得更价廉,而是将网络安全做的更好。我们并没有将很多的网络安全功能集成到一个盒子中,而是重新定义了防火墙应该有的核心特性。市面上所有的UTM中的防火墙功能都是基于状态检测防火墙的。而状态检测是checkpoint在90年代早期发明的。我们的防火墙的核心,不是状态检测,而是我们说的App-ID。通过应用识别和用户识别取代以前的通过端口和IP地址的识别来进行访问控制。
笔者:PaloAltoNetworks是如何解决价格和产品之间的矛盾的?
Chris:我们的很多客户以前都是用UTM,现在都转过来用我们的产品了。他们选择我们的原因不是因为我们更便宜,而是他们更喜欢具有可视化和洞察力的对于网络流量的管理控制。UTM中的功能都是一个接一个完成的,而我们的产品是一次通过的,单一检测技术是我们的核心竞争力。当你对机密信息进行内容检测时,你知道这个内容是由什么应用哪位用户产生的。别的产品都不是高度集成的。我们的产品对于网络流量只做一次扫描,而不像其他产品一样做几次,很大的降低了延迟,提高了流量通过的速度。我们的硬件平台分为数据处理平台和管理平台,这样很大程度上提升了可靠性。尤其是我们将网络流量,安全,以及内容扫描分开来做。通过NP和SP等专用处理芯片来进行数据平台的处理,在分析和应用识别以及调度方面充分发挥Intel处理器的专长。这样最大限度地发挥硬件性能。
笔者:您认为NGFW的发展方向会怎样?
Chris:我认为未来是将NGFW使用到更多的地方。防火墙一开始部署在互联网网关,然后一步步扩展到分支机构和数据中心等地方。我们的发展也是遵循这个路线。我2007年加入公司,那段时间我们只把我们的产品应用在网关处。我们保护终端用户的安全,尤其是防御对于各种应用带来的威胁。现在我们的设备已经部署在了数据中心,并且还在企业中用来保护移动设备的安全。因此,NGFW的发展方向将是在各个节点上取代传统防火墙。
笔者:NGFW是否已经成熟到可以在数据中心部署了呢?
Chris:世界范围内我们有11,000家数据中心用户使用我们的产品来保护数据中心安全。我们的PA-5000系列产品在企业级和数据中心市场上是很成功的。最高级别的设备具备20Gbps的吞吐,已经满足一般数据中心的使用。
笔者:什么样的NGFW可以被称为真正意义上的NGFW?
Chris:当我和客户进行沟通的时候,发现用户还是处于一个学习的过程。举个例子,在数据中心环境,用户表示,他们知道数据中心内部运行着什么应用程序,然而,很多用户都忘记了用来管理数据中心业务的一些应用,比如系统管理工具,备份和恢复软件,SSH,FTP等等。当问及这些应用的时候,客户会恍然大悟说忘记考虑这些应用了。所以,当NGFW用在数据中心环境时候,不是仅仅控制那些常规的共享应用,或者一些生产应用,而且还会控制一些管理应用,比如我允许SSH,但是只把权限开放给IT管理人员,或者负责管理设备的部门。
笔者:应用层识别是否应该是默认打开的?
Chris:这正是我们产品的样子,我们出场的时候都是所有端口上应用识别默认打开的。没有基于安全考虑的理由去关闭应用层识别。每一次关闭应用层识别功能,安全性就会降低。公平地说,你可以创建传统防火墙的规则,我们大多数的客户都知道可以关闭应用识别功能,但是他们并没有那么做。
笔者:如何平衡互联网发展速度与开发周期?
Chris:两件事需要考虑。由于互联网的发展速度非常快,所以对于我们的研发团队要求很高。我们专注研发App-ID的团队,时刻监视着网络上最新的应用,以及与客户联系,希望可以用户可以将自己开发的应用也呈报给我们。幸运的是,底层的变化不是很快,所以让我们硬件的研发有时间追赶最新的技术,提供高效并且非常稳定的硬件平台。我们做软件层面的研发团队也专注于APP-ID的研发,并且速度很快,得益于我们在研发上的大力度投入。最新的财报显示,我们有20%的人力(969人)是研发人员,并且研发资金的投入占总收入的16%。
笔者:贵公司的产品在NSSLabsSVM表现并不好,怎么回事?
Chris:我认为NSSLabs主要测试状态检测防火墙和IPS。如果你看看他们怎么测应用层的,可以看看他们的测试方法,用户和应用测试只有一页。他们对于每个厂商提供的产品测出来应用防护都是100%。不可否认他们在状态检测防火墙和IPS测试上的专业性。我也认为他们在NGFW的测试上很优秀,我们认为应用的测试应该专注于通过所有端口的所有应用。我们与他们合作很多,而他们也确实很优秀,但是需要注意的是,他们著名的原因是在IPS测试上的成绩。在与他们的沟通中,我们发现他们在NGFW特性的测试范围很有限,更多地还是关注于传统状态检测防火墙和IPS的功能。当你看UTM的时候,你会知道UTM是在为了让网络安全更便宜而做努力,然而我们的NGFW是为了让网络安全更好,更健壮,所以我们的价格会有些高。尽管价格是客户采购时需要考虑的,但不是重点。在我们的角度讲,安全和性能是首要考虑的问题,价格次之。然而其他的厂商把价格放在了首位。
笔者:PA成长如此快速的原因是什么?
Chris:原因是我想我们拥有一些特殊的且唯一的东西,还有我们在安全领域所作出的很多努力,并且客户看到了这些东西的价值。他们拥有了对于网络流量可视的能力,这个能力是他们以前没有的,并且他们可以控制那些流量,这也是他们以前所不能的。另外一个原因我想是我们非常以客户为中心,以客户需求为导向。我们很乐意去解决客户们遇到的安全问题,在Gartner最新的企业级防火墙MQ中可以看到Gartner对我们的评价,我们拥有一大群忠实且充满热情的客户。所以我向我们成长快速的原因就是两点,极大的研发投入和客户为导向的服务。
笔者:PaloAlto起初的两年是不是很艰苦?毕竟用新产品改变客户固有的思想是很难的事情。
Chris:回溯到2007年我加入公司的时候,公司非常非常艰难去开发客户,现在是很容易做了。当我加入公司的时候,可能都不到11个客户,但是现在我们有11,000客户。6年的时间,PA的用户数量增加了1000倍。最近一年来,每个季度PA的用户数量都增加至少1000。
笔者:您对Gartner将一些UTM产品划分为NGFW有什么看法?
Chris:诚实得说,Gartner企业防火墙魔力象限中的产品指的是网络防火墙,并没有特指是下一代防火墙。Gartner还是认为UTM和NGFW有很大的区别。他们认为UTM缺乏整合性,更适合于中小企业或者价格敏感的地点。NGFW则是更高的整合性,更适合大企业的解决方案。我们认为,UTM还是为了价格因素在致力于将大量的功能放进一个盒子中。这一点来说UTM很难声称为NGFW。我们并不是尽可能往一个盒子里多放功能,我们是对防火墙进行创新。即使有人说UTM可以被用来当做NGFW来使用,但是我不那么认为。而NGFW也不见得可以替代UTM,得看看UTM干了什么事,比如我们不做反垃圾邮件,不做防钓鱼等等。有很多网络安全的事情我们都没有做。我们做的是重新创造了你在网络安全中需要的东西,不是将你知道的所有功能放在一个盒子里。
笔者:为什么不把反垃圾邮件什么的功能集成到你们的NGFW中?
Chris:你可以看看我们所做的事情,我们专注于做的产品是提供高安全性和高性能。你不需要快速的反垃圾邮件或者邮件保护什么的功能,我们只专注于难以解决的问题。
笔者:安全网关的未来发展趋势是All-in-one吗?
Chris:这个目标并不能说错。只是现在很多的防火墙和UTM厂商,他们不愿意重新来过。而我们进入市场的时候是从零开始的。所以我们创造一种新的以应用,用户和内容为主体代替状态检测的防火墙的产品,我们没有历史包袱。如果我们在2007年开始做的时候也是做状态检测防火墙,那我们不会有现在这样的成功。我们不得不做一些不一样而且更好的东西。
