近日，著名研究分析機(jī)構(gòu)Gartner發(fā)表了其最新研究成果，Gartner 2012年企業(yè)防火墻市場(chǎng)魔力象限報(bào)告。本文為該報(bào)告最后一部分，市場(chǎng)概述。為用戶解讀了最近的市場(chǎng)動(dòng)態(tài)以及產(chǎn)品替換的規(guī)律。

作為外部威脅與企業(yè)網(wǎng)絡(luò)之間的第一道防線，防火墻需要不斷進(jìn)化以保持其執(zhí)行效率與響應(yīng)效果，進(jìn)而應(yīng)對(duì)日益變化的安全威脅以及企業(yè)網(wǎng)絡(luò)在速度與復(fù)雜性方面的改變。防火墻市場(chǎng)的固有區(qū)劃已經(jīng)逐步向大規(guī)模(北美與西歐)延展，這意味著為了保護(hù)安裝基礎(chǔ)的萬(wàn)全，供應(yīng)商必須帶來(lái)更先進(jìn)的安全功能與更完善的性能表現(xiàn)，否則就會(huì)受到創(chuàng)新型競(jìng)爭(zhēng)者或低售價(jià)供應(yīng)商的雙重阻擊。防火墻策略管理(簡(jiǎn)稱FPM)產(chǎn)品已經(jīng)被越來(lái)越多地用于復(fù)雜性管理工作。

下一代防火墻

防火墻領(lǐng)域的一大關(guān)鍵性革新在于Gartner公司于2009年所提出的新概念，即“下一代防火墻”功能——換言之，它集成了深度包檢測(cè)入侵測(cè)試、應(yīng)用識(shí)別與精細(xì)控制。在這一領(lǐng)域最大的差異主要是IPS(即入侵防御系統(tǒng))的實(shí)際效果，第三方在真實(shí)威脅與網(wǎng)絡(luò)狀況下進(jìn)行的檢測(cè)以及排名前25的頂級(jí)商務(wù)應(yīng)用中的策略執(zhí)行效果已經(jīng)充分證明了這一點(diǎn)?；谏矸莸牟呗苑桨富?qū)⒉呗酝茝V到成千上萬(wàn)套應(yīng)用當(dāng)中的能力雖然大受追捧，但卻很少被真正用到。

由于防火墻市場(chǎng)已經(jīng)發(fā)生高度融合，這類產(chǎn)品開(kāi)始像其它項(xiàng)目一樣由更新周期所驅(qū)動(dòng)。在企業(yè)級(jí)防火墻市場(chǎng)中，我們發(fā)現(xiàn)了幾種常見(jiàn)的方案模式——一般一套防火墻的使用周期為三到五年，并由IPS進(jìn)行評(píng)估及更換：

企業(yè)目前并未完全利用IPS向下一代防火墻開(kāi)展遷移，這就導(dǎo)致先進(jìn)安全功能的使用率相當(dāng)?shù)汀?/p>

擁有防火墻及獨(dú)立IPS的企業(yè)主要通過(guò)檢測(cè)模式(使用最低限度的簽名集)利用內(nèi)置IPS功能進(jìn)行遷移。

擁有防火墻及獨(dú)立IPS的企業(yè)利用擁有大量簽名集與一些定制簽名的主動(dòng)防護(hù)機(jī)制進(jìn)行下一代防火墻遷移，但仍然繼續(xù)使用獨(dú)立IPS。

高度安全環(huán)境將防火墻升級(jí)為下一代防火墻，并將IPS升級(jí)為下一代IPS(簡(jiǎn)稱NGIPS)。

虛擬防火墻

隨著數(shù)據(jù)中心虛擬化的廣泛普及，由虛擬裝置帶來(lái)的支持需求自然也有所增加。通過(guò)一套單獨(dú)的集成化管理控制臺(tái)對(duì)獨(dú)立裝置或虛擬裝置進(jìn)行防火墻策略管理時(shí)，其提供的性能與功能存在巨大差異。Gartner分析公司還沒(méi)有在虛擬平臺(tái)上發(fā)現(xiàn)防火墻類功能，被視為傳統(tǒng)防火墻供應(yīng)商競(jìng)爭(zhēng)對(duì)手的VMware則通過(guò)職責(zé)劃分給出了自己的方案——對(duì)基礎(chǔ)設(shè)施采取不信任態(tài)度，進(jìn)而保護(hù)基礎(chǔ)設(shè)施。包括Xen及Hyper-V在內(nèi)的其它虛擬化平臺(tái)在發(fā)展趨勢(shì)下相時(shí)而動(dòng)、管理多元化虛擬防火墻的舉措將帶來(lái)新挑戰(zhàn)。性能仍然是虛擬防火墻廣泛普及的首要障礙;幾乎所有的網(wǎng)絡(luò)防火墻都只能在專用裝置上部署，因?yàn)樽鳛闃I(yè)務(wù)處理的主體服務(wù)器根本不能容忍性能資源被防火墻大肆吞噬。幾乎所有防火墻裝置中的操作系統(tǒng)都經(jīng)過(guò)特殊調(diào)整，并受到來(lái)自第三方的嚴(yán)格安全評(píng)估。安全觀念較強(qiáng)的企業(yè)當(dāng)然會(huì)對(duì)處于威脅與防火墻之間的管理程序持懷疑態(tài)度，運(yùn)行其中的防火墻也不能例外。

防火墻市場(chǎng)新成員

在我們開(kāi)展評(píng)估工作的同時(shí)收購(gòu)活動(dòng)仍在繼續(xù)，防火墻市場(chǎng)也因此迎來(lái)了不少新成員。戴爾收購(gòu)了SonicWALL，Cassidian CyberSecurity(一家從屬于歐洲宇航防備集團(tuán)的公司)收購(gòu)了Netasq。Palo Alto網(wǎng)絡(luò)于2012年7月進(jìn)行了首輪公開(kāi)募股。Sourcefire公司于2011年12月公布了一款防火墻產(chǎn)品，而F5公司也于2012年1月推出了Big-IP數(shù)據(jù)中心網(wǎng)絡(luò)防火墻并得到ICSA(即國(guó)際計(jì)算機(jī)安全協(xié)會(huì))的認(rèn)證。以華為為首的亞洲供應(yīng)商同樣不甘示弱，開(kāi)始將目光投向故鄉(xiāng)之外的廣闊市場(chǎng)——其初步市場(chǎng)目標(biāo)為中東及東歐。

在評(píng)估期間，防火墻市場(chǎng)2011年的總銷售額上升至63億美元。這一結(jié)果與我們之前預(yù)計(jì)的魔力象限圖基本一致。2012年，Gartner公司估計(jì)防火墻市場(chǎng)將繼續(xù)增長(zhǎng)10%，總銷售額達(dá)到69.3億美元。而2013年，Gartner認(rèn)為企業(yè)級(jí)防火墻市場(chǎng)將擴(kuò)大11%，達(dá)到77億美元的全局營(yíng)收數(shù)額。我們預(yù)計(jì)，這一市場(chǎng)在2016年之前將始終保持10%的年增長(zhǎng)率。

在三類不同產(chǎn)品中混淆“應(yīng)用”與“防火墻”的概念與適用范圍

過(guò)度使用術(shù)語(yǔ)及充滿迷惑性的營(yíng)銷手段往往令我們對(duì)應(yīng)用程序控制、WAF(即Web應(yīng)用防護(hù)系統(tǒng))以及應(yīng)用交付控制器(簡(jiǎn)稱ADC)防火墻三個(gè)概念混淆不清。目前大多數(shù)下一代防火墻供應(yīng)商都開(kāi)始提供防火墻應(yīng)用控制方案，例如CheckPoint、Fortinet、Palo Alto網(wǎng)絡(luò)以及戴爾SonicWALL。這類方案的目的一般是為了控制外部應(yīng)用程序，例如Facebook以及點(diǎn)對(duì)點(diǎn)文件共享等。

WAF則有所不同：WAF的主要活動(dòng)環(huán)境是數(shù)據(jù)中心當(dāng)中的Web服務(wù)器。專注于WAF這項(xiàng)業(yè)務(wù)的企業(yè)包括Imperva等，那些將WAF技術(shù)整合在ADC當(dāng)中的數(shù)據(jù)中心基礎(chǔ)設(shè)施供應(yīng)商也從事內(nèi)部Web應(yīng)用定制工作。

盡管以F5為代表的一些ADC供應(yīng)商目前正試圖將網(wǎng)絡(luò)防火墻功能納入ADC當(dāng)中，但Gartner公司仍然沒(méi)有看到下一代防火墻與WAF兩項(xiàng)技術(shù)真正出現(xiàn)融合——這是因?yàn)槎咴谌蝿?wù)目的與工作方式方面差異很大。正如Gartner公司向客戶提出的建議，大多數(shù)企業(yè)都在利用同一品牌的網(wǎng)絡(luò)防火墻打理各領(lǐng)域的安全問(wèn)題，包括互聯(lián)網(wǎng)交互、虛擬化、數(shù)據(jù)中心以及分支機(jī)構(gòu)。這些數(shù)據(jù)中心防火墻面臨著巨大的競(jìng)爭(zhēng)挑戰(zhàn)——除非能真正為企業(yè)全局提供優(yōu)秀的防火功能，否則它們很難在市場(chǎng)上拿下理想的份額。但從另一個(gè)角度看，這些方案也有機(jī)會(huì)通過(guò)利基市場(chǎng)尋得獨(dú)特的生存空間——例如當(dāng)數(shù)據(jù)中心本身就是一家獨(dú)立的企業(yè)，且擁有屬于自己的防火墻操作人員的情況。

注：本文為Gartner 2012年企業(yè)防火墻市場(chǎng)魔力象限報(bào)告最后一部分