Gartner:企業(yè)防火墻市場概述
近日,著名研究分析機構Gartner發(fā)表了其最新研究成果,Gartner 2012年企業(yè)防火墻市場魔力象限報告。本文為該報告最后一部分,市場概述。為用戶解讀了最近的市場動態(tài)以及產品替換的規(guī)律。
作為外部威脅與企業(yè)網絡之間的第一道防線,防火墻需要不斷進化以保持其執(zhí)行效率與響應效果,進而應對日益變化的安全威脅以及企業(yè)網絡在速度與復雜性方面的改變。防火墻市場的固有區(qū)劃已經逐步向大規(guī)模(北美與西歐)延展,這意味著為了保護安裝基礎的萬全,供應商必須帶來更先進的安全功能與更完善的性能表現,否則就會受到創(chuàng)新型競爭者或低售價供應商的雙重阻擊。防火墻策略管理(簡稱FPM)產品已經被越來越多地用于復雜性管理工作。
下一代防火墻
防火墻領域的一大關鍵性革新在于Gartner公司于2009年所提出的新概念,即“下一代防火墻”功能——換言之,它集成了深度包檢測入侵測試、應用識別與精細控制。在這一領域最大的差異主要是IPS(即入侵防御系統(tǒng))的實際效果,第三方在真實威脅與網絡狀況下進行的檢測以及排名前25的頂級商務應用中的策略執(zhí)行效果已經充分證明了這一點。基于身份的策略方案或將策略推廣到成千上萬套應用當中的能力雖然大受追捧,但卻很少被真正用到。
由于防火墻市場已經發(fā)生高度融合,這類產品開始像其它項目一樣由更新周期所驅動。在企業(yè)級防火墻市場中,我們發(fā)現了幾種常見的方案模式——一般一套防火墻的使用周期為三到五年,并由IPS進行評估及更換:
企業(yè)目前并未完全利用IPS向下一代防火墻開展遷移,這就導致先進安全功能的使用率相當低。
擁有防火墻及獨立IPS的企業(yè)主要通過檢測模式(使用最低限度的簽名集)利用內置IPS功能進行遷移。
擁有防火墻及獨立IPS的企業(yè)利用擁有大量簽名集與一些定制簽名的主動防護機制進行下一代防火墻遷移,但仍然繼續(xù)使用獨立IPS。
高度安全環(huán)境將防火墻升級為下一代防火墻,并將IPS升級為下一代IPS(簡稱NGIPS)。
虛擬防火墻
隨著數據中心虛擬化的廣泛普及,由虛擬裝置帶來的支持需求自然也有所增加。通過一套單獨的集成化管理控制臺對獨立裝置或虛擬裝置進行防火墻策略管理時,其提供的性能與功能存在巨大差異。Gartner分析公司還沒有在虛擬平臺上發(fā)現防火墻類功能,被視為傳統(tǒng)防火墻供應商競爭對手的VMware則通過職責劃分給出了自己的方案——對基礎設施采取不信任態(tài)度,進而保護基礎設施。包括Xen及Hyper-V在內的其它虛擬化平臺在發(fā)展趨勢下相時而動、管理多元化虛擬防火墻的舉措將帶來新挑戰(zhàn)。性能仍然是虛擬防火墻廣泛普及的首要障礙;幾乎所有的網絡防火墻都只能在專用裝置上部署,因為作為業(yè)務處理的主體服務器根本不能容忍性能資源被防火墻大肆吞噬。幾乎所有防火墻裝置中的操作系統(tǒng)都經過特殊調整,并受到來自第三方的嚴格安全評估。安全觀念較強的企業(yè)當然會對處于威脅與防火墻之間的管理程序持懷疑態(tài)度,運行其中的防火墻也不能例外。
防火墻市場新成員
在我們開展評估工作的同時收購活動仍在繼續(xù),防火墻市場也因此迎來了不少新成員。戴爾收購了SonicWALL,Cassidian CyberSecurity(一家從屬于歐洲宇航防備集團的公司)收購了Netasq。Palo Alto網絡于2012年7月進行了首輪公開募股。Sourcefire公司于2011年12月公布了一款防火墻產品,而F5公司也于2012年1月推出了Big-IP數據中心網絡防火墻并得到ICSA(即國際計算機安全協(xié)會)的認證。以華為為首的亞洲供應商同樣不甘示弱,開始將目光投向故鄉(xiāng)之外的廣闊市場——其初步市場目標為中東及東歐。
在評估期間,防火墻市場2011年的總銷售額上升至63億美元。這一結果與我們之前預計的魔力象限圖基本一致。2012年,Gartner公司估計防火墻市場將繼續(xù)增長10%,總銷售額達到69.3億美元。而2013年,Gartner認為企業(yè)級防火墻市場將擴大11%,達到77億美元的全局營收數額。我們預計,這一市場在2016年之前將始終保持10%的年增長率。
在三類不同產品中混淆“應用”與“防火墻”的概念與適用范圍
過度使用術語及充滿迷惑性的營銷手段往往令我們對應用程序控制、WAF(即Web應用防護系統(tǒng))以及應用交付控制器(簡稱ADC)防火墻三個概念混淆不清。目前大多數下一代防火墻供應商都開始提供防火墻應用控制方案,例如CheckPoint、Fortinet、Palo Alto網絡以及戴爾SonicWALL。這類方案的目的一般是為了控制外部應用程序,例如Facebook以及點對點文件共享等。
WAF則有所不同:WAF的主要活動環(huán)境是數據中心當中的Web服務器。專注于WAF這項業(yè)務的企業(yè)包括Imperva等,那些將WAF技術整合在ADC當中的數據中心基礎設施供應商也從事內部Web應用定制工作。
盡管以F5為代表的一些ADC供應商目前正試圖將網絡防火墻功能納入ADC當中,但Gartner公司仍然沒有看到下一代防火墻與WAF兩項技術真正出現融合——這是因為二者在任務目的與工作方式方面差異很大。正如Gartner公司向客戶提出的建議,大多數企業(yè)都在利用同一品牌的網絡防火墻打理各領域的安全問題,包括互聯網交互、虛擬化、數據中心以及分支機構。這些數據中心防火墻面臨著巨大的競爭挑戰(zhàn)——除非能真正為企業(yè)全局提供優(yōu)秀的防火功能,否則它們很難在市場上拿下理想的份額。但從另一個角度看,這些方案也有機會通過利基市場尋得獨特的生存空間——例如當數據中心本身就是一家獨立的企業(yè),且擁有屬于自己的防火墻操作人員的情況。
注:本文為Gartner 2012年企業(yè)防火墻市場魔力象限報告最后一部分
