近日,全球知名技术与市场咨询机构Forrester发布《Now Tech: Enterprise Firewalls, Q1 2020》报告,本次报告共对全球18家主流的企业级防火墙品牌进行了技术及市场分析,中国品牌奇安信入选。
该报告是Forrester针对企业级防火墙的技术观察,通过对产品技术演进、运用场景及主要厂商情况的研究分析,为客户在选择产品及厂商时提供建议。在全球18家入选的厂商中,仅有四家中国厂商入选。
广泛运用,防火墙成企业安全“瑞士军刀”
防火墙是扼守网络边界的关键安全产品,几乎是众多安全产品中运用历史最为悠久的产品,时至今日,依然在企业安全体系中扮演着重要角色。
伴随企业数字化转型,业务上云已成为信息化建设中的通行做法,企业网络的防护的边界已由传统的互联网边界、企业网边界延展至公有云、混合云、分支机构、远程用户等更广泛的范围。
与之对应的,企业级防火墙在环境适应性方面再次面临全面升级,其应在保留内容级的“下一代”安全能力前提下,与云基础设施充分集成,支持丰富的“云交付”形态。Forrester认为,当前的企业级防火墙在形态上已经演进至“第四代”,无论是企业网络中部署的防火墙硬件、还是运行于企业云设施内的虚拟化防火墙,应作为一个统一的控制平面,继续为企业提供必不可少的业务流量隔离及管控服务。
Forrester还指出,得益于“下一代防火墙(NGFW)”技术在企业级防火墙中的普遍采用,安全管理人员可以运用其对网络应用、用户的识别能力,深入洞察并精细控制业务流量,缓解网络用户因非法访问而遭受攻击的风险。
同时,管理者还可以利用防火墙深度集成的高级安全功能,依靠内置的签名或与外部系统联动,在企业网络中构建能够持续识别威胁的“检测区”,确保业务流量安全。
专家分析,尽管防火墙提供的是最为基本的控制和防护能力,但其良好的环境适应性,使其能够将安全能力进一步覆盖至企业的业务网络、云端及广域网,而当前企业级防火墙所提供的可视化、精细控制、深度检测能力,使其正如“瑞士军刀”一般,成为企业确保安全的必备全能工具。
三大分类,选择产品应基于场景辨需求
据悉,Forrester针对成熟的安全产品定期发布Now Tech报告,通过对技术、运用及市场的研究分析,为客户选择产品提供指导建议则是该项报告的一项重要初衷。为此,Forrester针对入选报告的厂商,则分别从市场表现和产品功能分类两方面进行评估。
市场表现方面,Forrester主要参考厂商过去一年的企业级防火墙销售数字、市场所覆盖的区域及行业进行评估。而在产品功能方面,Forrester则基于当前企业级防火墙的使用场景,将其进一步细分为下一代防火墙(NGFW)、高性能四层防火墙(指“传输层”)及虚拟化防火墙三个大类。
下一代防火墙,是指在传统防火墙基础之上,具备用户及应用识别能力,同时深度集成入侵防御(IPS)功能的硬件防火墙。正如上面分析的那样,此类产品常部署于企业互联网、业务网等关键的出口,集精细化访问控制和深度安全检测能力于一体为企业镇守第一道防线;
高性能四层防火墙,特指那些依然工作于传输层,基于IP地址、端口和协议进行访问控制的传统防火墙,同样为硬件形态。此类产品尽管看似技术陈旧、濒临淘汰,但在一些大流量的运营商级骨干网络中,依靠其具有的高密度接口配置、较高的网络层转发性能,依然被作为一款纯隔离设备而普遍运用;
虚拟化防火墙,可在公有云或私有云环境下部署,或作为重要组件被集成入虚拟化的安全栈中,主要对云内的东西向流量及工作负载进行防护。
Forrester认为,用户选择产品前应参考上述分类,明确产品的使用场景及自身需求。奇安信产品专家表示,上述三类防火墙在功能、性能及形态上均不可同日而语,但却真实客观体现了当前防火墙的几个主流部署场景。
本次报告显示,Forrester观察到奇安信在下一代防火墙、高性能四层防火墙方面均有较为深厚的产品技术储备及市场运用。奇安信专家对此表示,不同用户基于自身的业务需求不同,会对防火墙产生不同的功能预期。企业网络为了对抗形式多样的威胁,并尽可能控制投入成本,青睐集成病毒防护、入侵防御等多种高级功能的下一代防火墙,而一部分习惯通过部署独立安全产品实现全面防护能力的用户,或以满足合规基线要求为出发点的用户,通常仅会使用防火墙的基础能力。
持续精进,应使防火墙安全价值最大化
报告最后部分,Forrester建议用户充分运用企业级防火墙的各项功能,在网络边界对加密流量进行解密、保护SD-WAN网络、实现安全策略的自动化梳理及消冗、持续分析用户行为以判别风险、在网络中启用DLP策略、与安全运营中心联动进行快速响应处置,以此将“检测区”扩展至更广泛的范围,以最大化的发挥其在网络中的安全价值。
专家指出,近年来全球网络安全攻击呈现广泛化、多样化、隐蔽化、智慧化的特征,个人隐私泄露、勒索攻击频发、APT攻击水平不断增强,与之对应的,防火墙在企业边界的防护、检测及响应能力需进一步增强。
“单点防护不大可能解决所有安全问题,而满足当前安全需求的方案也绝非产品的物理堆叠”,奇安信产品负责人表示,单个安全产品所发挥的安全价值,体现在其在整体安全方案中的运行效果,而并不是其自身的技术指标。
据悉,作为“协同联动”理念的先行者,奇安信在产品规划研发过程中持续思考并实践如何更好的借助“集体的力量”,奇安信产品体系覆盖终端安全、网络安全、云安全、数据安全等多领域,包括数十种具体的安全产品,在协同防御方面具有得天独厚的基础和优势。以新一代智慧防火墙为例,通过“边界+云+终端+大数据”多维一体的协同防御体系构建,使得用户的防护体系在安全有效性、防御实时性等多方面与传统方案不可同日而语。
“借助云端的威胁情报,能够帮助智慧防火墙更高效的识别并阻断突发威胁。通过与终端安全管理系统的联动,能够实现终端与边界的协防,打破了传统体系割裂的不利局面。同时,智慧防火墙与高级威胁检测系统协同,能够实时接收平台向防火墙下发的处置策略,缩短响应处置的时间”,奇安信产品负责人表示,“协同联动”已成为奇安信新一代智慧防火墙的显著技术特征,而该产品则通过与整体安全方案的融合实现了安全价值的持续放大。