当前位置:首页 > 网络安全 > 正文

下一代防火墙比较:没有完美的产品

2014-06-18 TechTarget中国 编辑:邹铮

  在几年前,供应商称他们能在一台设备中提供多种安全功能(包括入侵防御系统功能和应用控制),随后,我们看到了下一代防火墙开始崛起。

  在对现在的下一代防火墙(NGFW)市场研究中,专家称并不是每个NGFW都提供每家企业想要的功能,并且,在某些情况下,太多功能也可能并不是好事。

  IT分析公司Gartner在4月份发布了企业网络防火墙魔力象限报告,报告显示,来自Check Point和Palo Alto公司的NGFW产品是当之无愧的市场领导者。而Fortinet、思科和瞻博网络的NGFW设备都被Gartner评为挑战者,同时十多家供应商被视为利基供应商。

  Gartner公司研究副总裁同时也是防火墙魔力象限报告的作者之一Greg Young表示,Check Point和Palo Alto在众多竞争对手中脱颖而出,因为他们提供广泛的产品功能,并能够在大规模企业环境有效地扩展,这是很多利基供应商存在的问题。

  尽管有这些竞争优势,但这些领先的NGFW也绝非十全十美。他指出,Check Point和Palo Alto的NGFW价格高昂,让人难以接受,而且企业甚至不能充分利用其提供的所有安全功能。

  举例来说,在其魔力象限报告中,Gartner称,大多数Check Point客户只需要该供应商的软件刀片订阅服务就可以激活典型的NGFW功能,包括IPS、应用控制和用户身份功能,但电子邮件安全和数据丢失防护等功能就无法选择。

  在很多情况下,Young表示,除了这两个顶级供应商,一些鲜为人知的NGFW供应商通常可以提供更具成本效益的产品,这些产品仅提供企业需要的功能,让企业根据其需求做出最好的选择。

  “没有放之四海而皆准的产品,不同的产品适合不同的使用情况,”Young表示,“不要只关注顶级供应商,这就像你买车时,不应该只看哪个厂家生产的车最快。”

  更多功能,更多问题

  虽然有很多功能的NGFW对于某些企业来说更具吸引力,但Young警告说,启用所有这些功能可能会导致性能降低。

  Young指出,最近一些下一代防火墙供应商新增了web反恶意软件作为其卖点。然而,启用这个功能会影响NGFW设备的性能,并且,杀毒软件更适合保护web网关或除NGFW外的其他安全产品。

  “单一控制台视图当然很好,但并不是所有功能都应该在一个设备中,”Young表示,“很多下一代防火墙具有杀毒功能,但我们发现大多数企业并无法很好地享受这个功能。”

  独立IT测试公司Miercom首席执行官Robert Smithers表示,很多NGFW产品在开启额外的功能时,性能会下降。Smithers表示其公司测试了十几款下一代防火墙,发现在开启所有相关功能时,Sophos公司的产品具有最佳性能,英特尔的McAfee公司的产品也表现不错。

  Smithers建议目前在评估NGFW的企业应该考虑哪些功能将会在其环境中使用,并研究当开启所有所需功能时产品的表现如何。

  “当你开启所有这些功能,一切都会慢下来。10Gbps的产品变成3Gbps的产品,”Smithers指出,与NGFW相比,统一威胁管理设备(UTM)更加适用于中小企业,尽管他很少看到在大型企业环境部署UTM。

  “我看到下一代防火墙供应商试图拥有一切功能,他们在说,‘等一下,你不需要杀毒软件,’”Smithers继续说道,“我不确定告诉你们真相是否是正确的做法。”

  NGFW是你的正确选择吗?

  Young表示,对于想要购买NGFW设备的企业,价格、功能和性能似乎是最重要的因素,很多企业不会花足够的时间来考虑他们是否能够有效地部署下一代防火墙。

  例如,应用控制是NGFW超越传统防火墙的主要特征之一,但如果企业没有部署正确的政策,这个功能并不会很有用。

  有些企业开启NGFW功能只是因为它们是可用的,但想要充分利用这些产品,企业需要内部专家来调整设备。在一些实例中,企业可能需要特定专家。例如,Smithers指出,Check Point系统必须由Check Point专家部署,这可能让一些企业迟疑。

  在部署NGFW之前,企业还必须考虑部署的网络类型,因为这种产品通常会在平面网络产生大量的警报。

“我们确实看到人们淹没在警报信息之中,”Young表示,“因此,如果你不能应对大量的警报,这意味着,你可能还不适合部署NGFW设备。”

大家都爱看
查看更多热点新闻