雖然下一代防火墻已經(jīng)在中華大地上開滿希望之花，但是對于這個概念的締造者之一以及先驅(qū)者PaloAltoNetworks卻在國內(nèi)很少有媒體提及。有鑒于此，網(wǎng)界網(wǎng)對PaloAltoNetworks產(chǎn)品及市場總監(jiān)ChrisKing進(jìn)行了獨家專訪，為大家打開一扇通往這個著名有神秘的公司之門。

筆者：您認(rèn)為NGFW和UTM的區(qū)別是什么?

Chris：UTM和NGFW最根本的區(qū)別在于他們解決問題的方式。UTM通過將已有的網(wǎng)絡(luò)安全功能固化到一個盒子中，例如狀態(tài)檢測防火墻,IPS,AV,URL地址過濾，從而達(dá)到讓網(wǎng)絡(luò)安全更廉價的目的而設(shè)計。我們認(rèn)為NGFW的不同之處是在于我們不是將網(wǎng)絡(luò)安全變得更價廉，而是將網(wǎng)絡(luò)安全做的更好。我們并沒有將很多的網(wǎng)絡(luò)安全功能集成到一個盒子中，而是重新定義了防火墻應(yīng)該有的核心特性。市面上所有的UTM中的防火墻功能都是基于狀態(tài)檢測防火墻的。而狀態(tài)檢測是checkpoint在90年代早期發(fā)明的。我們的防火墻的核心，不是狀態(tài)檢測，而是我們說的App-ID。通過應(yīng)用識別和用戶識別取代以前的通過端口和IP地址的識別來進(jìn)行訪問控制。

筆者：PaloAltoNetworks是如何解決價格和產(chǎn)品之間的矛盾的?

Chris：我們的很多客戶以前都是用UTM，現(xiàn)在都轉(zhuǎn)過來用我們的產(chǎn)品了。他們選擇我們的原因不是因為我們更便宜，而是他們更喜歡具有可視化和洞察力的對于網(wǎng)絡(luò)流量的管理控制。UTM中的功能都是一個接一個完成的，而我們的產(chǎn)品是一次通過的，單一檢測技術(shù)是我們的核心競爭力。當(dāng)你對機(jī)密信息進(jìn)行內(nèi)容檢測時，你知道這個內(nèi)容是由什么應(yīng)用哪位用戶產(chǎn)生的。別的產(chǎn)品都不是高度集成的。我們的產(chǎn)品對于網(wǎng)絡(luò)流量只做一次掃描，而不像其他產(chǎn)品一樣做幾次，很大的降低了延遲，提高了流量通過的速度。我們的硬件平臺分為數(shù)據(jù)處理平臺和管理平臺，這樣很大程度上提升了可靠性。尤其是我們將網(wǎng)絡(luò)流量，安全，以及內(nèi)容掃描分開來做。通過NP和SP等專用處理芯片來進(jìn)行數(shù)據(jù)平臺的處理，在分析和應(yīng)用識別以及調(diào)度方面充分發(fā)揮Intel處理器的專長。這樣最大限度地發(fā)揮硬件性能。

筆者：您認(rèn)為NGFW的發(fā)展方向會怎樣?

Chris：我認(rèn)為未來是將NGFW使用到更多的地方。防火墻一開始部署在互聯(lián)網(wǎng)網(wǎng)關(guān)，然后一步步擴(kuò)展到分支機(jī)構(gòu)和數(shù)據(jù)中心等地方。我們的發(fā)展也是遵循這個路線。我2007年加入公司，那段時間我們只把我們的產(chǎn)品應(yīng)用在網(wǎng)關(guān)處。我們保護(hù)終端用戶的安全，尤其是防御對于各種應(yīng)用帶來的威脅。現(xiàn)在我們的設(shè)備已經(jīng)部署在了數(shù)據(jù)中心，并且還在企業(yè)中用來保護(hù)移動設(shè)備的安全。因此，NGFW的發(fā)展方向?qū)⑹窃诟鱾€節(jié)點上取代傳統(tǒng)防火墻。

筆者：NGFW是否已經(jīng)成熟到可以在數(shù)據(jù)中心部署了呢?

Chris：世界范圍內(nèi)我們有11,000家數(shù)據(jù)中心用戶使用我們的產(chǎn)品來保護(hù)數(shù)據(jù)中心安全。我們的PA-5000系列產(chǎn)品在企業(yè)級和數(shù)據(jù)中心市場上是很成功的。最高級別的設(shè)備具備20Gbps的吞吐，已經(jīng)滿足一般數(shù)據(jù)中心的使用。

筆者：什么樣的NGFW可以被稱為真正意義上的NGFW?

Chris：當(dāng)我和客戶進(jìn)行溝通的時候，發(fā)現(xiàn)用戶還是處于一個學(xué)習(xí)的過程。舉個例子，在數(shù)據(jù)中心環(huán)境，用戶表示，他們知道數(shù)據(jù)中心內(nèi)部運行著什么應(yīng)用程序，然而，很多用戶都忘記了用來管理數(shù)據(jù)中心業(yè)務(wù)的一些應(yīng)用，比如系統(tǒng)管理工具，備份和恢復(fù)軟件，SSH,FTP等等。當(dāng)問及這些應(yīng)用的時候，客戶會恍然大悟說忘記考慮這些應(yīng)用了。所以，當(dāng)NGFW用在數(shù)據(jù)中心環(huán)境時候，不是僅僅控制那些常規(guī)的共享應(yīng)用，或者一些生產(chǎn)應(yīng)用，而且還會控制一些管理應(yīng)用，比如我允許SSH，但是只把權(quán)限開放給IT管理人員，或者負(fù)責(zé)管理設(shè)備的部門。

筆者：應(yīng)用層識別是否應(yīng)該是默認(rèn)打開的?

Chris：這正是我們產(chǎn)品的樣子，我們出場的時候都是所有端口上應(yīng)用識別默認(rèn)打開的。沒有基于安全考慮的理由去關(guān)閉應(yīng)用層識別。每一次關(guān)閉應(yīng)用層識別功能，安全性就會降低。公平地說，你可以創(chuàng)建傳統(tǒng)防火墻的規(guī)則，我們大多數(shù)的客戶都知道可以關(guān)閉應(yīng)用識別功能，但是他們并沒有那么做。

筆者：如何平衡互聯(lián)網(wǎng)發(fā)展速度與開發(fā)周期?

Chris：兩件事需要考慮。由于互聯(lián)網(wǎng)的發(fā)展速度非?？?，所以對于我們的研發(fā)團(tuán)隊要求很高。我們專注研發(fā)App-ID的團(tuán)隊，時刻監(jiān)視著網(wǎng)絡(luò)上最新的應(yīng)用，以及與客戶聯(lián)系，希望可以用戶可以將自己開發(fā)的應(yīng)用也呈報給我們。幸運的是，底層的變化不是很快，所以讓我們硬件的研發(fā)有時間追趕最新的技術(shù)，提供高效并且非常穩(wěn)定的硬件平臺。我們做軟件層面的研發(fā)團(tuán)隊也專注于APP-ID的研發(fā)，并且速度很快，得益于我們在研發(fā)上的大力度投入。最新的財報顯示，我們有20%的人力(969人)是研發(fā)人員，并且研發(fā)資金的投入占總收入的16%。

筆者：貴公司的產(chǎn)品在NSSLabsSVM表現(xiàn)并不好，怎么回事?

Chris：我認(rèn)為NSSLabs主要測試狀態(tài)檢測防火墻和IPS。如果你看看他們怎么測應(yīng)用層的，可以看看他們的測試方法，用戶和應(yīng)用測試只有一頁。他們對于每個廠商提供的產(chǎn)品測出來應(yīng)用防護(hù)都是100%。不可否認(rèn)他們在狀態(tài)檢測防火墻和IPS測試上的專業(yè)性。我也認(rèn)為他們在NGFW的測試上很優(yōu)秀，我們認(rèn)為應(yīng)用的測試應(yīng)該專注于通過所有端口的所有應(yīng)用。我們與他們合作很多，而他們也確實很優(yōu)秀，但是需要注意的是，他們著名的原因是在IPS測試上的成績。在與他們的溝通中，我們發(fā)現(xiàn)他們在NGFW特性的測試范圍很有限，更多地還是關(guān)注于傳統(tǒng)狀態(tài)檢測防火墻和IPS的功能。當(dāng)你看UTM的時候，你會知道UTM是在為了讓網(wǎng)絡(luò)安全更便宜而做努力，然而我們的NGFW是為了讓網(wǎng)絡(luò)安全更好，更健壯，所以我們的價格會有些高。盡管價格是客戶采購時需要考慮的，但不是重點。在我們的角度講，安全和性能是首要考慮的問題，價格次之。然而其他的廠商把價格放在了首位。

筆者：PA成長如此快速的原因是什么?

Chris：原因是我想我們擁有一些特殊的且唯一的東西，還有我們在安全領(lǐng)域所作出的很多努力，并且客戶看到了這些東西的價值。他們擁有了對于網(wǎng)絡(luò)流量可視的能力，這個能力是他們以前沒有的，并且他們可以控制那些流量，這也是他們以前所不能的。另外一個原因我想是我們非常以客戶為中心，以客戶需求為導(dǎo)向。我們很樂意去解決客戶們遇到的安全問題，在Gartner最新的企業(yè)級防火墻MQ中可以看到Gartner對我們的評價，我們擁有一大群忠實且充滿熱情的客戶。所以我向我們成長快速的原因就是兩點，極大的研發(fā)投入和客戶為導(dǎo)向的服務(wù)。

筆者：PaloAlto起初的兩年是不是很艱苦?畢竟用新產(chǎn)品改變客戶固有的思想是很難的事情。

Chris：回溯到2007年我加入公司的時候，公司非常非常艱難去開發(fā)客戶，現(xiàn)在是很容易做了。當(dāng)我加入公司的時候，可能都不到11個客戶，但是現(xiàn)在我們有11,000客戶。6年的時間，PA的用戶數(shù)量增加了1000倍。最近一年來，每個季度PA的用戶數(shù)量都增加至少1000。

筆者：您對Gartner將一些UTM產(chǎn)品劃分為NGFW有什么看法?

Chris：誠實得說，Gartner企業(yè)防火墻魔力象限中的產(chǎn)品指的是網(wǎng)絡(luò)防火墻，并沒有特指是下一代防火墻。Gartner還是認(rèn)為UTM和NGFW有很大的區(qū)別。他們認(rèn)為UTM缺乏整合性，更適合于中小企業(yè)或者價格敏感的地點。NGFW則是更高的整合性，更適合大企業(yè)的解決方案。我們認(rèn)為，UTM還是為了價格因素在致力于將大量的功能放進(jìn)一個盒子中。這一點來說UTM很難聲稱為NGFW。我們并不是盡可能往一個盒子里多放功能，我們是對防火墻進(jìn)行創(chuàng)新。即使有人說UTM可以被用來當(dāng)做NGFW來使用，但是我不那么認(rèn)為。而NGFW也不見得可以替代UTM，得看看UTM干了什么事，比如我們不做反垃圾郵件，不做防釣魚等等。有很多網(wǎng)絡(luò)安全的事情我們都沒有做。我們做的是重新創(chuàng)造了你在網(wǎng)絡(luò)安全中需要的東西，不是將你知道的所有功能放在一個盒子里。

筆者：為什么不把反垃圾郵件什么的功能集成到你們的NGFW中?

Chris:你可以看看我們所做的事情，我們專注于做的產(chǎn)品是提供高安全性和高性能。你不需要快速的反垃圾郵件或者郵件保護(hù)什么的功能，我們只專注于難以解決的問題。

筆者：安全網(wǎng)關(guān)的未來發(fā)展趨勢是All-in-one嗎?

Chris:這個目標(biāo)并不能說錯。只是現(xiàn)在很多的防火墻和UTM廠商，他們不愿意重新來過。而我們進(jìn)入市場的時候是從零開始的。所以我們創(chuàng)造一種新的以應(yīng)用，用戶和內(nèi)容為主體代替狀態(tài)檢測的防火墻的產(chǎn)品，我們沒有歷史包袱。如果我們在2007年開始做的時候也是做狀態(tài)檢測防火墻，那我們不會有現(xiàn)在這樣的成功。我們不得不做一些不一樣而且更好的東西。