寫在前面:防火墻是網絡安全產品最早和最成熟的產品之一了,近年由于各種新的網絡安全概念和產品頻出,大家對防火墻的關注少了很多,似乎這是一個落后的概念了,實際上,它仍在不斷發展,還是最有效的網絡安全產品。這個文檔主要讓大家看看當前主流的防火墻廠家和防火墻技術的發展方向。
2022年1月17日 ID G00740373
網絡防火墻是關鍵的網絡安全控制,他們不斷發展,覆蓋更多的用戶場景,如公有云、防火墻即服務、和分布式邊緣安全。安全和風險管理(SRM)領先者必須根據他們組織的使用情況,評估網絡防火墻的能力。
概述
關鍵發現
- 防火墻廠商正在擴大他們的產品種類,但這些新產品還沒有緊密集成到他們的平臺中。新產品經常要求多個管理控制臺及多個主機代理軟件,有時在組件之間缺少深度集成。
- 當轉向在家辦公,防火墻廠商使用他們強有力的云安全策略,提供基于云的安全服務,越來越讓客戶滿意。
- 云優先企業,更喜歡支持集成管理云原生防火墻的廠商。
- 隨著向混合工作方式轉移,終端用戶發現本地防火墻價值降低,從已有的廠商中尋找混合云安全廠商。
推薦
對基礎設施安全負有責任的安全和風險(SRM)領先者,評估防火墻廠商時應該:
- 基于組織的業務需求來比較廠商產品,而不是只關注單一廠商,要考察手邊多個可用選擇。例如,以數據中心為主、有很多分支機構的組織,也許會發現,同時具有最好的數據中心防火墻和防火墻即服務的廠商,會最大化組織的整體價值。
- 在集中管理和集成的基礎上,進行深度評測。
- 如果組織的主要目標是緩解云中的安全功能,關注防火墻即服務廠商,云訪問安全代理和云負載保護平臺。
戰略計劃假設
到2025年,30%的分布式分支機構防火墻將轉向防火墻即服務,而2021年不到10%。
到2025年底,最終用戶在網絡防火墻上的支出中,35%將來自單一供應商通過企業許可協議交付的大型安全協議,高于2021年的不到10%。
你需要知道
防火墻廠商目前關注改善高級威脅檢測和響應能力、物聯網(IoT)安全、和公有云集成,勒索軟件檢測和響應。作為對客戶越來越多在家辦公的回應,廠商關心成熟的防火墻即服務功能,提供更靈活和地址無關的網絡安全控制。防火墻市場最近已經發生幾個主要收購,特別在公有云行業,包括防火墻即服務、安全軟件定義WAN、(SD-WAN)和基于身份的隔離,也稱之為微隔離。一些提供這些功能的廠商正在被防火墻廠商收購。網絡防火墻廠商正在擴充他們的產品組合,滿足組織的需求,在單一廠商產品中整合他們的解決方案。
廠商
阿里巴巴云
阿里巴巴云提供公有云防火墻,叫作阿里巴巴云防火墻,只為阿里巴巴云客戶提供防火墻即服務和基于身份的隔離。阿里巴巴云安全中心實現防火墻和其他產品集中管理。而且,最新版的阿里巴巴云防火墻有自己的統一管理。除了防火墻,阿里巴巴云有多個安全產品,例如分布式拒絕服務(DDOS)緩解、Web應用防火墻、數據保護和加密、托管安全服務。
最近的更新已經引入網絡服務和多個網絡安全有關功能。亮點包括云安全訪問訪問(CSAS),具有應用訪問控制、URL控制、零信任訪問(ZTNA)內網訪問控制和日志功能,容器防火墻和虛擬補丁。
相比其他基礎設施即服務(IaaS)的安全廠商,阿里巴巴云得分更好,由于其支持更多的第三方云,及其出色的統一管理功能。然而,雖然阿里巴巴云在高級安全功能(高級威脅檢測和響應)方面優于其他IaaS廠商,但在這個領域,作為一個整體,位于市場的底部。
Amazon Web Service
Amazon Web Service是全球公共云提供商。給其公有云客戶提供許多網絡安全控制,包括Amazon 虛擬私有云(VPC)安全組合Amazon 虛擬私有云網絡訪問控制名單。本文評測的產品是Amazon 網絡防火墻,2020年11月發布。AWS 防火墻管理器統一管理所有Amazon Web Service 防火墻相關的產品,包括它的Web應用防火墻和DNS防火墻。
在去年,AWS已經擴展其AWS網絡防火墻到所有23個區域。
因為其地理覆蓋能力和按需擴展防火墻功能,AWS在擴展性方面得分很高。特別在基礎設施保護方面,由于易于使用而碾壓很多廠商。但在其他方面,AWS得分很低,如應用控制、入侵檢測和高級威脅檢測。雖然AWS防火墻提供和AWS平臺無縫集成,沒有提供保護其他云環境的網絡防火墻功能。
Barracuda(梭子魚)
Barracuda主要使用CloudGen 防火墻產品線,對分支辦公室和公有云提供保護。也通過安全防問服務邊緣(SASE)產品CloudGen WAN提供防火墻即服務。防火墻控制中心是集中防火墻管理器,Firewall Insights 報告工具。
最近的更新包括物聯網(IOT)、運維技術(OT)和云安全功能。亮點包括集成零信任網絡及增加CloudGen WAN的安全功能。Barracuda也宣布和Crosser達成合作關系,管理OT環境的防火墻配置變更。
Barracuda適合分支辦公室和基礎設施及服務防火墻場景。和防火墻市場其他競爭者相比,它的方案和原生AWS及Microsoft Azure 控制集成地非常好。但Barracuda還沒有提供容器防火墻或物理隔離。
Barracuda沒有提供基于云的防火墻集中管理器,這使它在管理易用性方面得分較低。
Cato Network
Cato Network 通過Cato SASE Cloud產品提供防火墻即服務。雖然有一個硬件的Cato Socket ,實現SD-WAN,這個組件要求Cato 云組件。沒有獨立的防火墻或虛擬設備防火墻。Cato Management Application管理Cato 所有的產品。
最近的更新集中在打造安全訪問服務邊緣(SASE)功能。零信任也能夠以無代理的形式提供,增加了用戶受眾,除了SD-WAN,還可以得到Cato SASE Cloud的保護。
Cato 只對分支辦公室和漫游用戶提供防火墻即服務、零信任和SD-WAN。然而廠商缺少數據中心和高帶寬企業邊界環境所需要的硬件。
Cato 提供無差異化的URL過濾功能,但缺少客戶端應用的細粒度控制及數據防泄漏功能。
Check Point Software Technologies
Check Point提供整體的安全產品系列,使用量子這個品牌,如最近發布的Maestro Hyperscale 產品線。Check Point 也提供虛擬設備和云安全產品,使用CLoudGuard 品牌,加上防火墻即服務產品,使用Harmony品牌,用于Check Point 安全訪問服務邊緣(SASE)方案。Check Point 提供本地(Quantum Security Managerment)和云的集中管理和監控產品。
過去的12個月,發布了新的Maestro 硬件和容器防火墻。軟件功能包括自治威脅阻止,配置更容易,傳輸層安全支持檢測假冒服務器名稱標識(SNI),和多個在管理和監控控制臺上的改善。
Check Point 的硬件防火墻得分很高,特別是企業邊界和數據中心用戶場景。 Check Point 在高級威脅阻止和防火墻統一管理方面得分也很高。
Check Point 不提供從本地或云數據防泄漏工具導入策略,也不支持SaaS應用中數據令牌化和解密。廠商沒有提供原生SD-WAN,而是使用合作伙伴的產品。因此,Check Point 在分支辦公室方面得分不高。
雖然許多防火墻廠商擴展云安全使用場景,Check Point 缺少一個基于代理軟件的根據身份進行隔離的產品,開發容器防火墻方面也有些落后。
Cisco
Cisco 提供多條防火墻產品線,包括Cisco Secure Firewall(以前的Firepower)、Cisco Secure Workload(以前的Tetration)、Meraki MX系列。此外,Cisco 提供Umbrella Secure Internet Gateway(SIG)實現防火墻即服務,工業防火墻(Secure Firewall Industrial Security Application系列)。Cisco Secure Firewall Management Center(管理本地設備)和Cisco Defense Orchestrator (基于云)是Cisco的集中管理產品。
在本次關鍵能力報告的評測時期,Cisco發布了六個Firepower Threat Defense(FTD)虛擬設備,一個容器防火墻和Cisco Managed Remote Access,托管VPN方案。其他重要的更新是多云管理和集成Secure Workload 和Secure Firewall的控制。
Cisco多種防火墻產品,幫助它在某些特定用戶場景,打分很高。然而,多樣性也影響了Cisco的易用性評分。
因為Cisco 提供集成的SD-WAN,特別是通過Meraki 產品線,能夠支持多個協議,對于高級網絡,打分很高。
Cisco 的 入侵檢測阻止(IPS)和高級威脅檢測功能,包含在所有的防火墻產品中,幫助它在企業用戶中得分很高。然而,由于在七層流量的應用控制粒度較低,相比別的競爭者,得分不高。
Forcepoint
Forcepoint防火墻設備內置SD-WAN功能。Forcepoint有好幾個虛擬設備型號。除了網絡防火墻,Forcepoint還有數據防泄漏(DLP)、云訪問安全代理(CASB)、安全Web 網關(SWG,Secure Web Gateway)產品線。
在測評時期,Forcepoint發布了幾個新的防火墻型號,特別是N60和N120WL低端產品。其他更新包括改善的SD-WAN性能,實現更快的SD-WAN邊緣連接,進一步改善和AWS及Azure集成,額外的IPS引擎,和Snort配合,實現開源特征功能。
Forcepoint防火墻主要適合分支辦公室場景,客戶在尋找成熟的威脅阻止功能。
Forcepoint 提供和AWS及Azure的公共云防火墻成熟集成。盡管其強大的安全Web網關功能,Forcepoint還沒有提供防火墻即服務,或基于云的集中管理。
Fortinet
Fortinet的FortiGate 防火墻產品線適合所有的防火墻部署場景。FortiGate也有適合AWS、Microsoft Azure、Google Cloud Platform(GCP)、VMware Cloud、Oracle Cloud Infrastructure(OCI)、IBM Cloud、阿里云等公有云平臺。在收購了OPAQ之后,Fortinet 最近發布了FortiGate 防火墻即服務,并命名為FortiSASE。FortiManager和FortiGate Cloud 是Fortinet的集中管理產品。FortiAnalyzer和FortiCloud是集中報告工具。除了防火墻,Fortinet 有很寬的產品線,如端點檢測和響應(EDR),Web應用防火墻/Web 應用和API保護(WAF/WAAP)、網絡訪問控制(NAC)、欺騙、身份和訪問管理(IAM)。所有這些功能集成到FortiGate,由同一個管理系統控制。
最近的發布包括安全運營中心(SOC)即服務、SASE和零信任產品。Fortinet 也提高了URL過濾和高級威脅檢測功能。此外,在Fabric Management Center中集成了網絡運營中心和安全運營中心。
由于差異化的硬件方法,Fortinet 非常容易擴展,在分支防火墻產品集成高級SD-WAN功能。Fortinet 的產品矩陣由于易用性得到很高評分。然而,Fortinet 還沒有集成基于身份的隔離產品,防火墻即服務還沒有完全集成到FortiSASE,提供了兩個還不成熟的防火墻即服務產品。
H3C
H3C提供全系列的防火墻產品,名字是SecPath,適用小、中、大規模環境。SecPath 也提供虛擬設備。H3C 的防火墻即服務叫作SeerEngine-DC。有三個集中管理方案:iMC Security Service Manager、SecCenter Security Management Platform、SecCenter Cybersecurity Sitouational Awareness Platform。
H3C 持續大力在安全和檢測能力上投資。最近增加了欺騙、用戶行為分析、網絡殺傷鏈一致的工作流、資產風險評估。增量改善包括web和DNS檢測,標記非法內容和弱口令。
相比其他本地競爭廠商,H3C的防火墻即服務產品有很好的云支持功能,在分支企業中得分較高。H3C 的應用控制評價很好。在公有云支持方面得分不高,缺乏對主要的IaaS支持。
山石(Hillstone Network)
山石提供多條防火墻產品線,滿足不同用戶需求。硬件防火墻分為A系列 NGFW、E系列NGFW、T系列NGFW、T系列NGFW、X系列數據NGFW。山石還有CloudEdge 虛擬防火墻、CloudHive 基于身份隔離、托管CloudPanno 防火墻即服務、容器化CloudArmour防火墻Hillstone Security Management(HSM)平臺是及防火墻管理平臺,Hillstone CloudView是基于云的安全管理系統。山石也提供專門的iSource XDR平臺。除了防火墻,山石有很寬的產品線,包括網絡安全、云安全和安全運營產品線。
最近的更新包括一個新的防火墻產品線,云數據庫湖和云威脅分析平臺。此外,山石在策略編排和IP 聲譽數據庫方面做了功能提高。
山石高級報告工具,如HAS,幫助它評分稍高,山石也支持一些全球公有云,幫助它在云支持場景方面,得到高分。
但山石缺乏直接的防火墻即服務產品。CloudPano是一個托管防火墻即服務,由托管安全服務提供商來提供,由于這點,山石在分布式企業方面得分不高。
華為(Huawei)
華為針對不同的用戶,提供不同的防火墻產品。USG和Eudemon是其硬件防火墻產品線。華為云防火墻適用虛擬和云防火墻場景。華為有不同的集中管理產品,eSight、iMaster NCE、SecoManager。Hisec LogAuditor是集中報告工具。
最近的更新提高了華為高級檢測和SD-WAN功能。亮點包括使用高端USG防火墻模塊改善的硬件性能,華為云防火墻功能提高。
華為防火墻的企業邊界和數據中心的高處理能力場景中的高性價比為其贏得了高分。但在云安全方面得分不高,只要因為只支持華為云,不支持AWS和Azure等公有云。
華為也缺少防火墻即服務,降低了在分支辦公方面的得分。華為還需要提高防火墻的應用控制,在中國之外提供覆蓋更多的應用。
Juniper
Juniper 防火墻產品是SRX系列的下一代防火墻,可以作為硬件設備、虛擬設備(vSRX)、容器(cSRX)提供。vSRX可以安裝客戶自己的虛擬機或運行在AWS、Microsoft Azure、GCP、IBM Cloud Platform、OCI。除了防火墻,Juniper 提供安全信息和事件管理(SIEM)、DDoS緩解和威脅情報(TI)。
最近的新產品包括對高級威脅檢測功能的提高,IoT安全,工業控制系統(ICS)和SCADA環境的合作。
Juniper 的Security Director 管理平臺因其集中管理和易用性得分很高,提高了對中小企業和數據中心用戶的適用性。容器化防火墻和全球公有云支持提高了云安全支持的得分。然而,Juniper 缺少高級數據防泄漏,降低了整體應用控制得分。
Microsoft
Microsoft Azure 防火墻產品有兩個分類:標準版和增強版。可以通過Azure Firewall Manager集中管理,使用Azure Monitor和Azure Sentinel集中監控。
最近微軟發布Firewall增強版,在網絡規則中,增加了完整域名(fully qualified domain name,FQDN)過濾;應用規則中,增加傳輸層安全(TLS) 解密。
微軟增加了一些新的安全改善,許多功能可能會提高整體安全態勢。微軟的防火墻即服務產品在Azure環境中很容易實施,在用戶中集中管理部分得分很高。然而,微軟缺少應用控制,高級入侵阻止和檢測,也不支持多云環境。
Palo Alto Networks
Palo Alto Networks 對不同的客戶提供不同的防火墻產品:硬件防火墻(PA 系列)、虛擬防火墻(VM 系列)、防火墻即服務(Prisma Access)、容器化防火墻(CN 系列)、基于身份隔離(Prisma Cloud)。防火墻集中管理是Panorama,可以作為硬件和虛擬設備提供。除了防火墻,Palo Alto Networks 提供端點安全、云安全和安全運營產品。
最近的更新包括一些防火墻功能的提高。亮點包括新的產品分類,有IoT安全,企業DLP,SaaS安全和高級URL過濾。其他關鍵功能包括IoT安全、IPS、和DNS的更新。
Palo Alto Networks 在高級威脅檢測方面得分很高,因為其威脅研究的質量和大量使用Wildfire的用戶。廠商提供成熟的防火墻即服務,覆蓋很多地區,DLP和SD-WAN功能在分支辦公室的使用,都增加了它的分數。Palo Alto Networks 的云防火墻產品支持大多數的云平臺,專門的身份隔離和容器防火墻在云防火墻場景得分很高。
然而,Palo Alto Networks 在集中管理方面得分很低,因為其當前只提供基于云的集中防火墻管理,叫Prisma Access。Prisma Cloud不安裝插件,無法被Panorama管理。
雖然Palo Alto Networks 已經通過最近發布的硬件,改善了它的性價比,在這方面仍然得到低分。這是由于其高的整體擁有成本(TCO),是其成為市場上最貴的防火墻產品。
深信服(Sangfor)
深信服提供多種產品,滿足從小到大的各種環境需求。下一代應用防火墻(NGFA)也可作為虛擬設備提供。深信服的防火墻即服務產品是Cloud Fortress Access,Sangfor Access是SASE方案。Sangfor CWPP是容器防火墻和身份隔離產品。Sangfor Central Manager 是本地集中管理方案,Sangfor Platform-X是基于云的集中管理產品。
最近的產品更新集中在更深的安全能力上,包括針對欺騙和用戶實體行為分析(UEBA)功能。Sangfor也提高了其威脅檢測能力。
相比本地的競爭者,Sangfor不只是一個面向7層的應用安全廠商,在大多數安全領域,得分都很高。防火墻即服務產品在本地和全球都很有影響。容器化防火墻提高了其云安全排名。然而,深信服缺少集中管理控制和云安全可視化,及軟件定義網絡環境,降低了集中管理得分。
SonicWall
SonicWall 有三個硬件防火墻產品線,包括TZ、NSa、NSsp系列,虛擬防火墻產品線,NSv系列。NSv系列能安裝在客戶自己的虛擬機或AWS和Microsoft Azure上。Network Security Manager 是SonicWall 集中管理和報告工具。除了防火墻,SonicWall 還有集成的EDR、SEZG、零信任、VPN、云訪問安全代理(CASB),沙盒技術,無線AP和交換機。
最近的更新包括集中管理、規則優化、SD-WAN工作流簡化分支辦公室上線。SonicWall 完整了整合Gen 7的防火墻產品線。廠商發布集中管理,可管理SonicWall 交換機、AP和SonicWall 下一代端點。
SonicWall 內置SD-WAN,和QOS功能,幫助它在高級網絡方面得分較高。也有一個完整的防火墻即服務產品。然而,SonicWall 在大多數重要共有云中,除了AWS,缺少認證,影響了公有云支持排名。
Sophos
Sophos 防火墻產品線包括Sophos Firewall(前XG)。Sophos 對當前的中小客戶,也繼續支持SG UTM 產品線。提供云安全態勢管理(CSPM;Cloud Optix)和集中管理門戶(Sophos Central)。InterceptX是其端點和服務器保護(包括云負載)品牌名稱。Sophos 也提供其他安全產品線,如端點安全、電子郵件安全,和托管檢測和響應服務。
最近的更新包括硬件的變化(XGS系列和SD-RED)。Sophos 持續改善和IaaS平臺的基礎及集中管理和監控門戶。其他功能包括VPN性能和高可用性提高,重新定義的TLS認證管理。
Sophos為防火墻和端點層,提供單一管理和威脅關聯門戶,有助于提高易用性排名。然而,Sophos缺少云交付的防火墻即服務,在這個領域得到低分。Sophos不提供基于身份的隔離或容器防火墻,影響了其公有云支持的打分。
Versa Networks
Versa網絡的主要防火墻產品是防火墻即服務產品,來自其SASE產品線。作為一個成熟的網絡廠商,Versa 在它Versa Secure SD-WAN設備中,也提供本地防火墻。Versa Concerto 是公司集中管理和報告門戶。
最近的更新包括加入云訪問安全代理(CASB)、數據防泄漏、高級威脅檢測(ATP)、Versa SASE產品提供主機信息概述服務。
Versa 的能力是提供較低的每用戶成本基礎上,提供較小延時。多租戶防火墻及服務門戶幫助得到高分。Versa不提供云環境中Kubernetes 標簽或態勢管理功能,降低了公有云支持部分的得分。
WatchGuard
WatchGuard提供防火墻滿足中小企業和分支辦公室的場景。防火墻產品線的品牌名稱是WatchGuard Firebox。WatchGuard 也為AWS、Azure和虛擬化環境提供虛擬防火墻。WatchGuard Cloud和WatchGuard System Manager(本地/虛擬環境)是廠商防火墻集中管理平臺。WatchGuard Cloud Visibility 和Dimension 是集中報告工具。
最近更新包括SD-WAN 和VPN的本地及云管理,直接集成到AuthPoint 和端點產品,移動VPN 的端點完整性強制。
WatchGuard的威脅檢測無縫集成到大量的第三方端點保護產品,明顯影響WatchGuard 的易用性評分。然而,WatchGuard只支持AWS和Microsoft Azure公有云。沒有任何公有云認證,降低了公有云支持打分。
一顆小胡椒
安全內參
E安全
一顆小胡椒
數世咨詢
CNCERT國家工程研究中心
啟明星辰集團
黑白之道
中國網絡空間安全協會
D1Net
中國信息安全
中國信息安全
