虽然防火墙已经是保护网络安全的首选设备,但对大多数人来讲,包括一些公司内号称防火墙专家的技术人员,也很难对防火墙进行统一的功能定义。这并不是说,防火墙产品没有统一的技术标准(目前,在全球,几乎所有的防火墙厂商均采用了“状态监测”技术对进出网络的数据包进行规则限定,这一由Check Point公司首创的技术已经成为全球防火墙事实上的技术标准)而是在于处于应用层的防火墙可以有多种表现形式,有软件形态的,有硬件形态的;有功能单一的,也有整合了多种安全技术的,如整合进VPN、杀毒、IDS等功能的。
那么,很多用户糊涂了,防火墙究竟应该以什么功能为主?各类防火墙是否具有可比性?哪类防火墙将成为未来的主流?
目前,国际防火墙市场上分两大流派,以Check Point为代表的软件防火墙,在IDC的市场报告中份额高达60%以上;以NetScreen公司为代表的ASIC硬件防火墙同样不甘示弱,夺得了市场第三的宝座。这两类防火墙各有千秋,它们的产品发展方向,能说明未来防火墙的发展。
2月17日,Check Point公司全球总裁吉瑞?安格曼先生来到中国,记者就防火墙的未来发展与其进行了交流。
功能越发复杂
“三年前,我们专注于防火墙与VPN上,三年后的今天,防火墙产品的功能已经发生了翻天覆地的变化,我们的防火墙中,增加了Smart Defense、Web Service、Application Intelligence等功能,不仅能起防火墙的作用,还能抵御一些已知的攻击,比如,帮助我们的客户成功抵御了今年1月25日的Slammer病毒攻击。三年之后,我想,我们的防火墙还会具备更多的功能,防火墙应该重新进行定义了。”他说。
那么,就像很多厂商打出的安全整体解决方案大旗,这是否意味着,以后的防火墙将会整合进多种其他的安全功能,如防病毒、IDS等功能呢?他回答:“也是也不是”。比如,Smart Defense是部分IDS的功能,但并非全部IDS功能,为什么要将这一功能放进防火墙?是因为它能对已知的攻击进行防护,这应该是防火墙的基本功能。当然,更加专业的入侵检测还必须依靠专业的IDS产品来做,比如,ISS是全球最大的入侵检测公司,但ISS在全球的客户只有6万多个,而Check Point的全球客户有12.5万,增加了这一功能,将使这么多的客户能增加自我防护能力,这对用户来说,将是一个节省成本的方法。
其他新增的功能也一样,都是未来将在防火墙里大显身手的防护手段。
硬件将是主流
虽然Check Point是软件厂商,但吉瑞?安格曼不否认硬件将是未来防火墙的主流形式。正因为如此,Check Point一直在寻求与主流的硬件厂商合作的方式推广防火墙,目前,有20多家硬件厂商已经成为他的合作伙伴,其中包括IBM、HP、SUN、Nokia、Nortel等国际著名厂商,而这些硬件厂商推出的防火墙产品,有基于ASIC硬件技术的,也有基于PC架构、交换机架构的。
“我们只是专注于防火墙产品功能的开发,而产品的硬化和市场推广,将更多地依赖合作伙伴。另外,如果用户愿意选择软件防火墙,我们不是给用户新增了一个选择吗?”他说。“Check Point在全球如此高的市场份额,合作伙伴做出了非常大的贡献。”
至此,我们的疑惑逐渐消除。关于防火墙技术和产品的未来发展,吉瑞?安格曼先生的一席谈是否给产业内的用户和其他防火墙厂商指明了一条方向呢?
