近日，著名研究分析機構(gòu)Gartner發(fā)表了其最新研究成果，Gartner 2012年企業(yè)防火墻市場魔力象限報告。本文為該報告最后一部分，市場概述。為用戶解讀了最近的市場動態(tài)以及產(chǎn)品替換的規(guī)律。

作為外部威脅與企業(yè)網(wǎng)絡(luò)之間的第一道防線，防火墻需要不斷進化以保持其執(zhí)行效率與響應(yīng)效果，進而應(yīng)對日益變化的安全威脅以及企業(yè)網(wǎng)絡(luò)在速度與復(fù)雜性方面的改變。防火墻市場的固有區(qū)劃已經(jīng)逐步向大規(guī)模(北美與西歐)延展，這意味著為了保護安裝基礎(chǔ)的萬全，供應(yīng)商必須帶來更先進的安全功能與更完善的性能表現(xiàn)，否則就會受到創(chuàng)新型競爭者或低售價供應(yīng)商的雙重阻擊。防火墻策略管理(簡稱FPM)產(chǎn)品已經(jīng)被越來越多地用于復(fù)雜性管理工作。

下一代防火墻

防火墻領(lǐng)域的一大關(guān)鍵性革新在于Gartner公司于2009年所提出的新概念，即“下一代防火墻”功能——換言之，它集成了深度包檢測入侵測試、應(yīng)用識別與精細控制。在這一領(lǐng)域最大的差異主要是IPS(即入侵防御系統(tǒng))的實際效果，第三方在真實威脅與網(wǎng)絡(luò)狀況下進行的檢測以及排名前25的頂級商務(wù)應(yīng)用中的策略執(zhí)行效果已經(jīng)充分證明了這一點。基于身份的策略方案或?qū)⒉呗酝茝V到成千上萬套應(yīng)用當中的能力雖然大受追捧，但卻很少被真正用到。

由于防火墻市場已經(jīng)發(fā)生高度融合，這類產(chǎn)品開始像其它項目一樣由更新周期所驅(qū)動。在企業(yè)級防火墻市場中，我們發(fā)現(xiàn)了幾種常見的方案模式——一般一套防火墻的使用周期為三到五年，并由IPS進行評估及更換：

企業(yè)目前并未完全利用IPS向下一代防火墻開展遷移，這就導(dǎo)致先進安全功能的使用率相當?shù)汀?/p>

擁有防火墻及獨立IPS的企業(yè)主要通過檢測模式(使用最低限度的簽名集)利用內(nèi)置IPS功能進行遷移。

擁有防火墻及獨立IPS的企業(yè)利用擁有大量簽名集與一些定制簽名的主動防護機制進行下一代防火墻遷移，但仍然繼續(xù)使用獨立IPS。

高度安全環(huán)境將防火墻升級為下一代防火墻，并將IPS升級為下一代IPS(簡稱NGIPS)。

虛擬防火墻

隨著數(shù)據(jù)中心虛擬化的廣泛普及，由虛擬裝置帶來的支持需求自然也有所增加。通過一套單獨的集成化管理控制臺對獨立裝置或虛擬裝置進行防火墻策略管理時，其提供的性能與功能存在巨大差異。Gartner分析公司還沒有在虛擬平臺上發(fā)現(xiàn)防火墻類功能，被視為傳統(tǒng)防火墻供應(yīng)商競爭對手的VMware則通過職責劃分給出了自己的方案——對基礎(chǔ)設(shè)施采取不信任態(tài)度，進而保護基礎(chǔ)設(shè)施。包括Xen及Hyper-V在內(nèi)的其它虛擬化平臺在發(fā)展趨勢下相時而動、管理多元化虛擬防火墻的舉措將帶來新挑戰(zhàn)。性能仍然是虛擬防火墻廣泛普及的首要障礙;幾乎所有的網(wǎng)絡(luò)防火墻都只能在專用裝置上部署，因為作為業(yè)務(wù)處理的主體服務(wù)器根本不能容忍性能資源被防火墻大肆吞噬。幾乎所有防火墻裝置中的操作系統(tǒng)都經(jīng)過特殊調(diào)整，并受到來自第三方的嚴格安全評估。安全觀念較強的企業(yè)當然會對處于威脅與防火墻之間的管理程序持懷疑態(tài)度，運行其中的防火墻也不能例外。

防火墻市場新成員

在我們開展評估工作的同時收購活動仍在繼續(xù)，防火墻市場也因此迎來了不少新成員。戴爾收購了SonicWALL，Cassidian CyberSecurity(一家從屬于歐洲宇航防備集團的公司)收購了Netasq。Palo Alto網(wǎng)絡(luò)于2012年7月進行了首輪公開募股。Sourcefire公司于2011年12月公布了一款防火墻產(chǎn)品，而F5公司也于2012年1月推出了Big-IP數(shù)據(jù)中心網(wǎng)絡(luò)防火墻并得到ICSA(即國際計算機安全協(xié)會)的認證。以華為為首的亞洲供應(yīng)商同樣不甘示弱，開始將目光投向故鄉(xiāng)之外的廣闊市場——其初步市場目標為中東及東歐。

在評估期間，防火墻市場2011年的總銷售額上升至63億美元。這一結(jié)果與我們之前預(yù)計的魔力象限圖基本一致。2012年，Gartner公司估計防火墻市場將繼續(xù)增長10%，總銷售額達到69.3億美元。而2013年，Gartner認為企業(yè)級防火墻市場將擴大11%，達到77億美元的全局營收數(shù)額。我們預(yù)計，這一市場在2016年之前將始終保持10%的年增長率。

在三類不同產(chǎn)品中混淆“應(yīng)用”與“防火墻”的概念與適用范圍

過度使用術(shù)語及充滿迷惑性的營銷手段往往令我們對應(yīng)用程序控制、WAF(即Web應(yīng)用防護系統(tǒng))以及應(yīng)用交付控制器(簡稱ADC)防火墻三個概念混淆不清。目前大多數(shù)下一代防火墻供應(yīng)商都開始提供防火墻應(yīng)用控制方案，例如CheckPoint、Fortinet、Palo Alto網(wǎng)絡(luò)以及戴爾SonicWALL。這類方案的目的一般是為了控制外部應(yīng)用程序，例如Facebook以及點對點文件共享等。

WAF則有所不同：WAF的主要活動環(huán)境是數(shù)據(jù)中心當中的Web服務(wù)器。專注于WAF這項業(yè)務(wù)的企業(yè)包括Imperva等，那些將WAF技術(shù)整合在ADC當中的數(shù)據(jù)中心基礎(chǔ)設(shè)施供應(yīng)商也從事內(nèi)部Web應(yīng)用定制工作。

盡管以F5為代表的一些ADC供應(yīng)商目前正試圖將網(wǎng)絡(luò)防火墻功能納入ADC當中，但Gartner公司仍然沒有看到下一代防火墻與WAF兩項技術(shù)真正出現(xiàn)融合——這是因為二者在任務(wù)目的與工作方式方面差異很大。正如Gartner公司向客戶提出的建議，大多數(shù)企業(yè)都在利用同一品牌的網(wǎng)絡(luò)防火墻打理各領(lǐng)域的安全問題，包括互聯(lián)網(wǎng)交互、虛擬化、數(shù)據(jù)中心以及分支機構(gòu)。這些數(shù)據(jù)中心防火墻面臨著巨大的競爭挑戰(zhàn)——除非能真正為企業(yè)全局提供優(yōu)秀的防火功能，否則它們很難在市場上拿下理想的份額。但從另一個角度看，這些方案也有機會通過利基市場尋得獨特的生存空間——例如當數(shù)據(jù)中心本身就是一家獨立的企業(yè)，且擁有屬于自己的防火墻操作人員的情況。

注：本文為Gartner 2012年企業(yè)防火墻市場魔力象限報告最后一部分