Gartner:2016年企业网络防火墙魔力象限|「云头条」
作者:Adam Hils、Jeremy D'Hoinne、Rajpreet Kaur和Greg Young
网络防火墙市场上的主流产品都获得了“下一代”功能,诸多厂商纷纷在功能强项上突出差异化优势。买家须在最佳功能与成本之间作一权衡或取舍。
防火墙发展编年史
下一代防火墙(NGFW)增添了新功能,以便更有效地执行策略(应用程序和用户控制),或更有效地检测新威胁(入侵预防系统[IPS]、沙盒和威胁情报源)。NGFW继续在慢慢取代企业边缘的独立式网络IPS设备。虽然如今出现了这一幕,但一些企业会继续决定使用同类中最佳的下一代IPS(NGIPS)。最近,许多企业已开始求助于防火墙厂商,希望它们提供基于云的恶意软件检测实例,帮助自己做好高级威胁检测工作,这种经济高效的方案可以替代独立式沙盒解决方案。
然而,下一代防火墙不会包括所有网络安全功能。一体化或统一威胁管理(UTM)方案适合中小企业,但并不适合企业市场的其他组织。
2013年企业网络防火墙魔力象限
2014年企业网络防火墙魔力象限
2015年企业网络防火墙魔力象限
2016年企业网络防火墙魔力象限
处于技术前沿的客户在规划、有时落实软件定义网络(SDN)和东西向微分段的原则。这些客户希望厂商对SDN提供一定的支持,而且拥有高瞻远瞩的SDN路线图。
厂商强项和注意事项
安博士
安博士总部位于韩国,是一家网络和端点安全厂商。这家老牌的端点安全厂商自2007年以来就销售TrusGuard产品系列品牌的防火墙。它为中小企业和大企业提供11种款式的统一威胁管理(UTM)和防火墙。安博士产品系列包括:防火墙、高级威胁防御、分布式拒绝服务(DDoS)攻击缓解和端点安全解决方案。它还提供托管安全服务、取证分析和事件响应服务。
Ahnlab TrusGuard UTM
防火墙是符合通用评估准则(Common Criteria)的EAL4,并通过TTA IPv6认证,这是韩国认证,但没有其他的第三方评估(比如ICSA实验室、NSS实验室或FIPS PUB 140-2)。
安博士的市场势力主要在韩国,还遍布许多东亚国家(比如印尼、泰国和越南),客户群主要是中小企业。它还试图将业务扩大到拉美。
安博士之所以被评为特定领域者,是由于其市场主要局限于亚洲,除了在韩国外,其市场势力不是很强大。签下的防火墙单子大多作为端点安全解决方案的一部分。安博士防火墙缺乏对企业客户来说很要紧的一些重要功能,比如支持SDN、支持多个虚拟防火墙和支持公共云部署,而其他厂商的防火墙大多提供这些功能。
强项:
安博士是韩国的老牌端点和网络安全厂商,有强大的本地销售和支持网络。因此,如果客户在韩国,想找一家提供地区支持和服务的本地厂商,安博士是很好的选择。
安博士是少数几家拥有本地认证的东亚厂商之一,而在韩国拥有认证很重要。
安博士网络安全解决方案为现有的端点安全客户提供了单一厂商这种选择,保持现有的厂商关系,并缓解管理多家厂商的难题。
注意事项:
在韩国之外的市场,TrusGuard防火墙并不出现在Gartner客户的最终名单上。安博士并没有被我们调查的任何厂商列为是重大的企业竞争威胁。
TrusGuard防火墙不支持SDN,也不支持公共云部署。其他防火墙厂商大多提供这两项功能,包括主要的亚洲本地厂商。
安博士不提供虚拟防火墙款式。
梭子鱼网络
梭子鱼网络总部位于加州坎贝尔,这是一家老牌的安全和存储厂商,特别适合中小企业市场。产品组合包括存储和应用交付解决方案,以及一系列广泛的安全解决方案,包括电子邮件安全、安全Web网关(SWG)、Web应用防火墙(WAF)、防火墙和SSL VPN。
梭子鱼企业防火墙产品是下一代防火墙(NGF)F系列,有11种款式,而下一代防火墙X针对中小企业。梭子鱼还销售用NGF S系列连接远程操作设备(比如ATM和信息亭)的防火墙。梭子鱼经常被认为是一款部署在微软Azure公共云环境中的防火墙。
梭子鱼与Lastline合作,为客户提供基于云的沙盒高级威胁检测这一选择。NGF虚拟防火墙为AWS、微软Azure和VMware vCloud Air提供支持。梭子鱼下一代防火墙已获得ICSA实验室和虚拟专用网联盟(VPNC)的认证,通过了NSS实验室的评估,但没有其他的第三方认证,比如通用评估准则实验室或FIPS PUB 140-2。
梭子鱼被评为是特定领域者,因为其市场主要在西欧、中欧和北美,在其他地区势力较弱。此外,该公司缺乏强大的企业渠道。
强项:
梭子鱼下一代防火墙很适合已经拥有其他梭子鱼产品的客户,可以避免复杂的多厂商关系。
在注重易用性的情形下,梭子鱼管理控制台的得分很高。由于易于建立VPN连接并监控连接,NGF的图形化VPN同样得分很高。
在价格是重要选择标准的情形下,梭子鱼NGF是有力竞争者。梭子鱼的客户表示,高可用性和集群功能也是他们选择NGF的两大原因。
梭子鱼已在公共云部署方面确立了明显的先行优势,尤其是在微软Azure环境。
注意事项
梭子鱼的客户主要是中小企业,在西欧和中欧之外的市场,这家厂商还没有强大的企业网络安全渠道或支持。
梭子鱼NGF不支持SDN系统。
我们调查的厂商没有一家将梭子鱼列为重大的企业竞争威胁。虽然我们在中小企业单子中看到梭子鱼防火墙,但梭子鱼在Gartner企业客户的防火墙最终名单上名次很低(一些地区除外,主要是德国和奥地利)。兴趣主要来自拥有其他梭子鱼产品的老客户。
Check Point软件技术
Check Point软件技术公司的总部在以色列特拉维夫和加州圣卡洛斯,这家大型安全厂商提供一系列解决方案,包括下一代防火墙、端点及移动安全解决方案。该厂商最近还为其云安全产品增添了一项基于云的恶意软件检测服务,该服务可以在SaaS电子邮件产品前面集成起来。Check Point提供了增强其防火墙网关的众多订购服务(比如Software Blades),包括高级恶意软件保护(Threat Emulation和Threat Extraction),以及诸多威胁情报源(ThreatCloud IntelliStore和Anti-Bot)。Check Point提供基于AWS和微软Azure的防火墙,支持公共云,并与VMware NSX和思科以应用为中心的基础设施(ACI)集成起来,支持SDN使用场合。
2015年初,Check Point宣布了R80主要版本,并启动了为期一年的测试计划,直到2016年第一季度末。
Check Point被企业评为是领导者,原因是它一贯出现在Gartner的企业最终名单上,在现有客户群当中续约率很高,而且在面向企业的路线图方面有强大执行力。该厂商还在已经很强大的管理和报告功能方面继续创新,因而,它常常是复杂的防火墙策略环境的首选防火墙。它还在安全方面有所创新,拥有威胁提取(Threat Extraction)等新功能。
强项:
Check Point继续受到大量Gartner客户的青睐,既有愿意在使用其技术的基础上添加新功能的现有客户,也有部署复杂环境或寻求高安全性的潜在客户。
在针对管理功能的竞争力评估期间,这家厂商的得分常常高于其他厂商,尤其是支持复杂部署环境、超大企业的部署环境,以及需要正式审批流程或拥有庞大运营团队的企业。由于它是老牌提供商,其功能很少被其他厂商取代。Check Point品牌的卓越声誉也吸引寻求成熟解决方案的保守的大客户。
Check Point的研发实力强大,可以推出新的独特功能,比如Threat Extraction,并且继续加强现有的优势,比如R80包含最近全面翻新的防火墙策略管理功能。Check Point并不总是率先进入市场,但每次发布新功能,它常常比竞争对手的第一个版本来得深入。
全面的产品组合包括广泛支持被认为对许多竞争对手来说过于小众的使用场合,包括满足工业控制系统(ICS)要求的加固型防火墙,支持许多监视控制和数据采集(SCADA)协议,一个专用软件选项为许多合规标准提供了详细报告,并支持多个软件定义网络(SDN)平台标准。Check Point有一个非常成熟的第三方生态系统,面向安全信息和事件管理(SIEM)、威胁情报和防火墙策略管理。
注意事项:
Check Point的政策是,客户购买新设备时,它免费附送Software Blades的一年订购服务,客户在续约时对此颇有抱怨,尽管从理论上来说,该政策是这家厂商让客户试用新订购服务的一个好办法。这常常导致续约成本异常高,让客户措手不及,那是由于分销合作伙伴没有讲清楚第一年的软件折扣。
Gartner的分析师经常发现,尽管有一款在线选型工具,但分销商方案中提交的硬件平台往往选型更准确,可以视之为控制总成本的一个策略。在客户反映的一些情况下,选型过小显然是导致性能问题的一个原因,并且导致不必要的来回讨论,以获得合适的款式。
Gartner听到有客户反映支持问题,主要集中于逐级上报所花的时间。Gartner的分析师认识到,对这等规模的厂商来说这种情况免不了,但特别指出:近来,问题频次略高于直接竞争对手。Check Point最近增加了它关注的支持质量度量标准,应对这个问题、关注进度。
Check Point一直将防火墙与移动安全套件(Check Point Capsule)集成起来,2016年2月与威胁防御端点(SandBlast代理)集成起来,但Gartner并没有看到其防火墙客户有购买这任何一种解决方案的强烈兴趣。同样,采用Check Point基于云的沙盒选项不如直接竞争对手的云沙盒来得积极。
Gartner认为,Check Point在市场营销和品牌知名度方面表现欠佳。虽然Check Point的老客户对它耳熟能详,但是新客户很少知道Check Point产品名称,接受Gartner采访时也很少认识到Check Point有某些功能,不过同样这些客户熟悉竞争对手的功能和产品名称。
思科
思科总部位于加州圣何塞,其广泛的网络安全产品系列涵盖防火墙/ IPS、Web安全、电子邮件安全、端点安全及其他安全层。企业防火墙产品主要通过自适应安全设备(ASA)品牌来销售。提供FirePOWER服务的ASA其实是ASA添加了Sourcefire IPS、高级恶意软件防护(AMP)以及应用程序可视性和控制性。思科的虚拟防火墙系列包括自适应安全网关(ASAv)和虚拟安全网关(VSG)。
FireSIGHT是新的管理平台,旨在取代思科安全管理器(CSM)。一些服务内的ASA设备并不支持FireSIGHT的全面管理,所以一些客户不得不将CSM作为整个防火墙更换生命周期的一部分来加以维护。
Gartner认为,思科赢得防火墙单子主要归功于销售/渠道方面的执行力――客户通常已经与思科拥有密切的思科网络关系,或者出现在垂直领域客户的最终名单上,它们注重总体拥有成本,或者有许多分布式办事处。Gartner的客户经常提到面向网络的思科高级恶意软件防护(AMP)。
思科被企业评为是挑战者。Gartner认为从愿景或功能来看,它常常无法取代领导者;在Gartner看来,领导者并没有被迫应对思科在防火墙方面的创新。
强项:
一些思科企业客户在从事多年的部署工作,希望保持时间表和产品灵活性,针对安全软硬件的企业许可协议(ELA)为它们增添了价值。
Gartner客户一向评价思科支持网络很优秀,这也是忠于思科安全产品的最常提到的原因。这家厂商有强大的渠道,广泛的地域支持,并提供品种繁多的其他安全产品。受访的思科防火墙客户一再提到,思科网络里面其他产品的可用性和普及率是它们选择这家厂商的最重要因素。
Sourcefire IPS添加到ASA里面以及面向防火墙和ISP的单一管理控制台是一大利好,对老客户来说更是如此。
不像一些竞争对手,思科凭借其ASAv支持非常异构的云环境,包括VMware、基于内核的虚拟机(KVM)、微软Hyper-V和亚马逊网络服务。
注意事项:
防火墙产品被添加到思科的安全基础设施后,Gartner客户更常选择思科的防火墙产品。
Gartner客户喜欢FireSight安全功能,但常常表示,防火墙管理仍需要改进。
一些ASA设备仍然迫使客户使用思科安全管理器来管理它们,第二个管理平台增添了复杂性。
在发给企业防火墙厂商的调查表中,思科的产品是第二经常被厂商提到更换最多的一种产品。然而,它在今年也被认为是竞争威胁第二大的厂商。
戴尔SonicWALL
戴尔总部在得克萨斯州朗德罗克,它拥有广泛的计算机、网络设备和服务产品。自2012年收购SonicWALL以来,戴尔销售打有戴尔SonicWALL品牌的企业防火墙。戴尔SonicWALL防火墙产品组合包括:面向小型办公室和分支机构的TZ系列;针对中级市场客户的NSA系列;以及针对大企业和数据中心部署环境的SuperMassive系列。戴尔SonicWALL防火墙还与该品牌的无线接入点、广域网优化产品和戴尔X系列交换机集成起来。
戴尔SonicWALL被企业评为是特定领域者,原因是它在竞争力评估中通常并不受到大企业和大型数据中心客户的青睐,而且在企业最终名单上的名次比较低,尤其是美国之外的市场。
强项:
受访客户常常提到戴尔SonicWALL产品能够满足预算和性能方面的要求。他们还对这家厂商的支持质量给予了好评。
Gartner客户发现,GMS版本8改进了可管理性。
戴尔SonicWALL最近发布了测试版的基于云的沙盒订购服务,该服务可并行利用多引擎,并支持Mac OS。
戴尔SonicWALL最近全面更新了TZ系列,提升了性能。它不再需要客户订购才能获得SSL解密功能。
注意事项:
由于戴尔宣布收购EMC,并将戴尔SecureWorks上市,Gartner认为,戴尔可能不再重视SonicWALL。虽然不久前SonicWALL这家企业是独立实体,但是Gartner提醒道,通常来说,深入的组织变化会减慢厂商的开发进程,会让渠道和销售团队分心。
戴尔SonicWALL云安全不如主要的竞争对手来得成熟,尤其是在这项功能方面:检查JavaScript,提供SaaS使用方面的可见性情况。
戴尔SonicWALL缺乏SDN集成,提供的与基础设施即服务(IaaS)平台之间的互操作性有限。因而,这家厂商并未出现在Gartner的客户最终名单上,也没有出现在软件定义边界这种使用场合上。
Forcepoint
2015年,Raytheon和Vista Equity Partners成立了Forcepoint这家合资企业,它结合了Websense和Raytheon Cyber Products(以及最近从英特尔/迈克菲收购的防火墙业务)。 Forcepoint的产品包括SWG、数据丢失防护(DLP)、安全电子邮件网关、网络沙盒、用户及实体行为分析(UEBA)和安全分析工具。该产品组合辅以通用的威胁情报平台。Forcepoint Stonesoft NGFW这个防火墙品牌之前隶属Stonesoft,后来隶属英特尔/迈克菲。防火墙产品有一系列广泛的款式(可扩展至120 Gbps),包括虚拟化版本,在第三方测试中表现不俗。
此外,Forcepoint有另一个系列的防火墙:Forcepoint Sidewinder,它面向美国联邦政府。该防火墙的开发和支持独立于Stonesoft。
Forcepoint Stonesoft NGFW被企业评为是特定领域者。这是一款很好的NGFW,在Forcepoint的领导下,有望进入稳定期;然而Gartner认为,一连串收购和品牌更名延缓了产品的进展。Gartner认为,Forcepoint Stonesoft NGFW将主要与Forcepoint的其他安全产品搭售,而不是击败最终名单上的其他领导者。
强项:
对注重单一厂商关系的现有Forcepoint SWG客户来说,Stonesoft防火墙是不错的选择。我们预计,未来这种定位会更明显,产品之间会有一些集成。
Stonesoft防火墙长期以来是高可用性技术方面的领导者,它有很可靠的集群和主动/主动配置,而且拥有高吞吐量的SSL /传输层安全(TLS)终结。
Stonesoft很早就专注于反规避技术;随着攻击花样百出,它加入了防火墙和深层检查功能,可有效地保护客户。
由于研发力量主要在欧洲,防火墙对欧洲中东非洲地区的企业和政府来说是很好的选择。
注意事项:
Gartner认为,Forcepoint可能比竞争对手更专注于美国联邦政府的单子,但在欧洲开发的一款防火墙不会在目前的Forcepoint /Raytheon客户群当中得到良好的反响。
虽然公司已换品牌,但它与Raytheon的关系可能会让美国之外的一些客户不敢积极选择Forcepoint Stonesoft。
Forcepoint与英特尔安全部门合作,开发重要功能,比如威胁情报(Threat Intelligence Exchange)和基于云的高级威胁检测(Advanced Threat Defense)。Gartner劝告Forcepoint客户要密切关注这些功能,确保这些功能仍然与Forcepoint防火墙全面集成,发挥用处。
Forcepoint是成熟市场中的一个新的品牌名,很少出现在Gartner的客户网络防火墙最终名单上。
飞塔
飞塔是家网络安全厂商,总部位于加州桑尼维尔。FortiGate是主要产品系列,为企业的服务提供商和中小企业充当防火墙。产品组合还包括端点防护、Web应用防火墙和无线接入点。飞塔充分利用硬件设计方面的专长,不断改进定制的防火墙设备,结合了加快数据包处理的第六代网络处理器(NP6)、用于深层数据包检查的第九代内容处理器(CP9)以及现成处理器。
飞塔在所有地区都有强大的市场势力,有非常庞大的渠道,长期深耕中小企业领域。飞塔在企业防火墙市场迅速获得市场份额,增长率只输给Palo Alto Networks。就企业部署而言,飞塔不再局限于分布式组织和数据中心这两种使用场合。它经常被Gartner客户群列在企业防火墙最终名单上。
飞塔被为是挑战者,因为最常提到的取代其主要竞争对手的原因是其更实惠的价格。飞塔还在努力说服企业客户相信其愿景,因为它专注于性价比方面的强项,而不是由于独特的愿景:满足企业防火墙客户在未来的要求,开发新功能。
强项:
飞塔屡屡赢得客户,是由于它提供与竞争对手相似的功能,但是性能更胜一筹,同时满足预算方面的预期要求。
Gartner客户盛赞飞塔的硬件质量,经常提到良好的渠道支持是与飞塔续约的决定性原因。
飞塔在几个垂直领域赢得企业单子,这有助于建立一个更庞大的企业同行引荐基础,尤其是在欧洲中东非洲和亚太区;在这些地区,飞塔更常出现在防火墙最终名单上。
该厂商的FortiSandbox设备提供了一种经济高效的方案,可替代沙盒订购服务,该设备可以跨分支防火墙共享,并被飞塔的其他产品所使用。
FortiView是飞塔报告解决方案的最新升级版,它包括一些大有前景的功能,很容易深入钻研,从顶层视图直到详细事件,还能够大规模构建自定义报告。
注意事项:
受访客户在升级固件时,经常提到问题或用户体验方面的意外变化。他们还报告,新功能具有不相称的质量。
在竞争力评估中,飞塔的沙盒订购服务因检测率而受到Gartner客户好坏不一的评价。
尽管FortiManager设备能够大规模运营,最近还增添了支持策略工作流的功能,但还是未能因易用性而博得声誉。
飞塔无法充分利用其SDN及其他软件部署使用场合(比如IaaS)中的专用硬件带来的优势。这也许可以解释,为什么它在侧重于这些使用场合的竞争力评估中名次很低。
虽然飞塔的营销组合在2014年已变得极其注重企业,而且保持这种专注度,但之前面向UTM的营销在一些企业安全买家当中造成了挥之不去的品牌劣势。
山石网科
山石网科的总部位于北京和加州桑尼维尔,这是家纯粹的安全厂商。山石网科的防火墙产品组合在全球市场销售23款,在中国销售47款,包括三大产品系列:T系列(智能下一代防火墙)、E系列(下一代防火墙)和X系列(数据中心防火墙),防火墙吞吐量从1Gbps到360 Gbps不等。山石网科为防火墙增加了网络行为异常检测功能,现在提供虚拟版本的CloudEdge,支持虚拟数据中心和公共云,还提供CloudHive,这是一款虚拟东/西向微分段解决方案。
虽然山石网科扩大了全球合作伙伴生态系统,为在更多地区增加销售额奠定了一些基础,但它被评为特定领域者,原因是它只在一个地区是重要玩家,销售额的大部分来自中国市场。
强项:
山石网科在中国市场有强大的势力,为这个市场提供专用防火墙款式。中国的受访客户对厂商的直接支持给予了好评。
中国客户表示,他们喜欢山石网科提供实用的虚拟防火墙,这跟许多区域竞争对手不一样。
山石网科最近发布了CloudHive东西向云微分段解决方案,这表明它有向企业防火墙市场引入进一步创新的动机。
山石网科与FireMon和AlgoSec策略管理软件集成起来,方便愿意在亚太区找本地厂商的跨国公司做出采购决定。
注意事项:
山石网科的防火墙还没有出现在亚太区之外的Gartner客户群当中的企业选择范围。Gartner还发现,山石网科在中国面临来自本地和区域厂商的日益激烈的竞争。
虽然受访客户喜欢山石网科有一款虚拟防火墙,但他们表示,其功能与物理防火墙没法相提并论。
受访用户仍提到管理界面是需要改进的一个方面。
华为
华为总部位于深圳,交付防火墙产品的历史已超过十年,提供其他各种网络安全设备,包括反DDoS和IPS。防火墙设备款式繁多,尤其是吞吐量更高的选项,适合已经拥有华为产品的客户。统一安全网关(USG)是主要的企业系列,Eudemon是面向运营商和服务提供商的系列。华为USG防火墙已通过ICSA的认证,达到通用评估准则的评估保证级别(EAL)4+,通过NSS实验室的认证。防火墙及相关安全服务可通过实施虚拟多租户分离的USG6000V虚拟服务网关来使用。
NGFW定义
华为在评估期间被企业评为是特定领域者,因为我们发现它主要针对狭窄的客户群,从愿景或功能来看,我们也没有看到它经常取代领导者或挑战者。
强项:
如果客户的网络主要基于华为基础设施产品,可能会添加华为防火墙,尤其是在销售主阵地:亚太区。华为的客户喜欢防火墙与华为的基础设施部件完美集成起来。
大多数款式的设备提供种类繁多的端口配置选项组合:包括千兆以太网(GbE)、万兆以太网和小型可插拔(SFP)。
华为防火墙系列的高端产品有很高的吞吐量,它在运营商和服务提供商的最终名单上。Gartner看到的华为防火墙部署环境大多是吞吐量较高的环境。
华为为获得防火墙认证投入了很大的精力。
注意事项
华为在亚太区之外的市场知名度有限;然而,它在欧洲中东非洲的竞争势力和增长率有了一定提升。
受访用户一直要求获得更好的报告功能。
华为采取了大量措施,解决其依赖中国开发的技术这方面的问题;然而,这个问题在一些市场仍然是安全销售方面的一大挑战,尤其是在北美。
华为没有嵌入式或基于云的高级威胁检测功能,也没有基于云的沙盒选项。
瞻博网络
瞻博网络总部位于加州桑尼维尔,其SRX系列防火墙产品包括28种不同的硬件款式和虚拟化版本的SRX(vSRX)。瞻博SRX安全服务网关提供路由作为一个基本的防火墙单元,运行与瞻博其他基础设施部件一样的Junos操作系统。Gartner认为,防火墙中的高级路由对一群很有限的客户会有吸引力。瞻博拥有面向应用控制性和可见性的AppSecure、集成式IPS、威胁情报源(名为Spotlight Secure),以及新的基于云的恶意软件沙盒(Sky ATP)。瞻博网络的Junos Space Security Director是目前的安全管理平台。虽然进入市场很晚,但瞻博最近还发布了防火墙系列的重大升级版,让其下一代防火墙功能不输给市场上的大多数厂商。
瞻博被企业评为是特定领域者,主要是由于我们发现它与瞻博的其他网络基础设施产品一同被选择,比竞争对手的其他同类产品来得便宜。此外,从愿景或功能来看,瞻博无法取代竞争对手,我们继续看到它在企业环境下更多时候被取代,而不是被选择。然而,瞻博在移动服务提供商部署和大企业数据中心部署环境下出现在了最终名单上及/或被选择,这主要是由于价格和最大设备具有高吞吐量。
强项:
如果客户的网络已经统一使用瞻博基于Junos的基础设施产品,有望得益于Space Security Director,因为它是Junos Space网络管理平台的一部分。
高吞吐量的专用设备方面有不错的选择,尤其是高端SRX款式,那是由于Gartner发现瞻博产品主要部署在大型数据中心。vSRX 2.0产品因相对其他虚拟防火墙具有的性能而受到好评。受访用户选择防火墙时常常将吞吐量作为一个很要紧的标准。
瞻博拥有一系列强大的分支防火墙来补充企业产品。这些分支防火墙包括广域网和蜂窝备用技术。
瞻博的SDN安全牢牢立足于vSRX和瞻博Contrail SDN框架。
瞻博提供的威胁情报服务还支持与第三方威胁情报源整合。现在,这与瞻博的Sky ATP基于云的恶意软件检测产品集成起来。这种集成会吸引这类企业:想要多个威胁情报源,帮助自己识别新兴威胁,同时能够充分利用在瞻博产品上的现有投入。
注意事项
Gartner指出,瞻博的各项安全功能和特性进入市场很晚;比如说,瞻博基于云的恶意软件沙盒解决方案到2015年才发布,远远落后于大多数防火墙厂商。
瞻博在公共云支持和VMware集成等方面也落后于竞争对手。因而,Gartner客户对瞻博的安全愿景缺乏信心。
Gartner认为,大多数企业希望其安全产品中的操作系统不同于基础设施部件中的操作系统。
瞻博在过去一年继续失去安全市场的份额,在这个不断增长的市场,收入却同比下滑,不过这种情况在2015年下半年趋稳。这家公司必须更有效地解决基本的销售和营销难题,证明它能够以更新颖的功能,重新赢得客户和市场份额。
Palo Alto Networks
Palo Alto Networks总部位于加州圣克拉拉,自2007年以来,这家纯粹的安全公司一直在交付企业防火墙。Palo Alto主要以应用控制方面的创新出名,可改进防火墙中的集成式IPS,并将基于云的恶意软件检测引入到下一代防火墙领域。防火墙产品系列包括19款,PA-7080的最高吞吐量是200 Gbps。收购Cyvera(改名为Traps)后,除了现有的GlobalProtect外,Palo Alto Networks现在提供第二款端点产品。Palo Alto的恶意软件分析环境WildFire是威胁情报云(Threat Intelligence Cloud)的一部分,在2015年继续备受新老客户的青睐。Palo Alto Networks还与VMware NSX合作,为客户将Palo Alto Networks产品部署到虚拟化数据中心提供了另一个选择。
Palo Alto Networks被评为领导者,主要是由于它关注下一代防火墙,而且一贯抢在竞争对手之前交付下一代防火墙功能,此外由于它在高级防火墙使用场合一向出现在Gartner的最终名单上,功能细粒度和深度方面经常击败竞争对手。
强项:
对Palo Alto Networks App-ID和IPS而言,质量和易用性是客户选择Palo Alto Networks而非其他竞争对手的最常提到的两个因素。
防火墙和IPS紧密集成,App-ID实施在防火墙里面和整个检查数据流中。这种“单趟”(single pass)被Gartner的客户评为是一种设计优势;相比之下,竞争产品按顺序处理流量时会出现不必要的检查时间。
在厂商调查中,Palo Alto Networks是最常被提到的最强大的竞争对手。Gartner发现,Palo Alto Networks一贯出现在大多数下一代防火墙竞争最终名单上。
路线图专注于将虚拟机服务器扩展到多个云和SDN框架,这表明了其在解决客户未来问题方面的领导地位。Palo Alto将方向转移到了东西向微分段上,而不是整个数据中心防火墙虚拟化,这是明智之举。
WildFire高级威胁云服务是一种备受Palo Alto Networks新老防火墙客户欢迎的附加服务,为他们提供了一种选项,而不是第三方高级威胁设备解决方案。
注意事项:
Palo Alto Networks在为微软Azure部署环境开发一款虚拟防火墙版本方面落后于其他领先厂商。
与拥有领先产品的其他厂商一样,Palo Alto Networks面临的挑战是在C类型企业(价格比安全功能更受到重视)赢得青睐。就任何企业防火墙厂商的保护吉比特而言,Palo Alto是价格最高的厂商之一。
Gartner客户特别指出需要更好地处理大规模日志,还要有更高效的主动/主动高可用性。Palo Alto管理被提到很好,胜过挑战者;然而,Gartner并没有看到Palo Alto在安全管理受到重视、需要实际上手评估的情况下胜过其他领导者。
Gartner还是没看到Palo Alto在端点市场取得与其在防火墙市场同样的成功。Gartner发现,使用Traps的客户不多,Traps的新单子也不多。端点通过Palo Alto的第三方生态系统得到更有效的解决。Gartner认为,Palo Alto专注于端点有时疏远了网络运营购买中心,只会给Palo Alto的核心业务:网络安全带来分心。
深信服
深信服总部位于深圳,创办于2000年,它提供广域网优化、访问管理和网络安全解决方案,包括防火墙、SSL VPN和互联网访问管理。深信服在2011年开始交付企业防火墙产品系列(下一代防火墙)。下一代防火墙集成了其企业防火墙中的WAF功能,以及下一代应用防火墙(NGAF)平台,这在接受评估的厂商当中是项独特功能。现在它有16种款式,防火墙吞吐量高达80 Gbps。深信服在2015年发布了几处新的产品改进,包括启发式反恶意软件、全面SSL检查、自动化威胁情报服务和虚拟下一代应用防火墙。
Sangfor支持AWS公共云,它有一些SDN功能。
Sangfor被评为是企业防火墙领域的特定领域者,因为它服务于一个狭窄的市场领域,主要在中国运营业务。
强项:
深信服客户喜欢易安装性、报告安全和高性能以及价格。
受访客户提到WAF的市场势力是选择下一代防火墙的主要标准。
基于云的沙盒和主动漏洞扫描功能出现在深信服的防火墙上,没有任何额外费用。
注意事项
Gartner没有看到深信服防火墙出现在中国之外的市场的最终名单上。Songfor防火墙产品系列的国际化进程仍在进行之中。
中国之外的潜在客户应该先核实有没有厂商支持,有没有介绍特定使用场合的产品说明文档,还可以要求厂商推荐同一地区的企业组织。
相比大多数竞争对手,Sangfor的企业防火墙是新品,几项功能仍有待验证,不过部署的数量在迅速增加。2015年首次推出的虚拟防火墙其历史和市场接受率很有限。
Sophos
Sophos是总部位于英国牛津的安全公司,当初以端点安全厂商的身份切入安全市场。如今,产品组合包括一系列网络、端点、网关和服务器安全解决方案。
Sophos销售的企业防火墙产品组合其品牌既有Sophos XG系列,又有Cyberoam Next-Generation(NG)和ia系列。Sophos XG系列包括16种款式(大企业和中小企业11款,桌面机5款)。Cyberoam NG系列有六款面向企业,ia系列主要有三种款式。Sophos还提供SG系列UTM防火墙。Sophos防火墙采用软件/虚拟格式,可以在AWS上运行。
Sophos XG防火墙通过ICSA实验室和德国通用评估准则的认证,并通过NSS实验室的测试。Sophos设备还获得了多个国家的地区认证,符合各自的地方标准。它未通过FIPS认证。
Sophos在该魔力象限中的“特定领域者”地位体现了它专注于中高端企业和小企业,另外Sophos防火墙在数据中心和大企业的最终名单上的知名度有限。
强项:
由于新的XG款式包括被收购的Cyberoam防火墙的改进之处,Sophos有一款经过改进的集中式管理器,名为Sophos防火墙管理器(SFM)。SFM免费提供给Sophos合作伙伴;至于最终客户,可以免费管理最多五个设备。
由于iView(Cyberoam的日志和报告解决方案)集成到XG防火墙系列中,现有的报告功能已得到了更新和改进。
Sophos Central Cloud管理平台结合了移动、端点、Web、服务器和网络管理,吸引拥有大批移动员工的高度分布式企业和组织。已经部署了Sophos端点产品的企业应该会将Sophos防火墙列在最终名单上。
Sophos在AWS云部署环境中的市场份额在扩大,对纯粹的AWS环境而言,也是经常被选择的对象。
注意事项:
Sophos的企业防火墙有多个产品系列。在整个使用过程中,将Cyberoam防火墙系列列在最终名单上的客户应该为其设备确保支持和服务的连续性,并且明确关于这些款式的功能改进路线图。
Sophos XG防火墙并不支持SDN环境。
我们调查的厂商没有一家将Sophos列为是重大的企业竞争威胁。虽然我们看到它们出现在中高端交易中,作为现有的Sophos端点客户的一部分,但Sophos并没有出现在Gartner企业客户的防火墙最终名单上。Gartner认为这是Sophos专注于中型企业这个策略的一部分。
Stormshield
Stormshield总部位于法国,它由两家有着15年历史的法国安全提供商(Arkoon和Netasq)在2014年合并而成。它为欧洲中东非洲地区使用Stormshield网络安全设备的企业提供UTM和企业防火墙。产品组合还包括主机IPS(Stormshield Endpoint Security)和静态数据加密软件(Stormshield Data Security)。这家厂商还提供面向AWS和微软Azure IaaS两大平台的虚拟防火墙设备。针对日志管理和报告,Stormshield提供了一款基于Elasticsearch、Logstash和Kibana(ELK)架构的虚拟设备,并提供云订购服务(Stormshield Network Cloud Reporting)。
虽然还是很容易找到之前产品系列残留的痕迹,但新的Stormshield品牌一向用在所有产品系列中,而且定义清楚。母公司空中客车国防和太空网络安全(Airbus Defence and Space Cybersecurity)与Stormshield合作,共享研发设施,并提供有限的销售支持。
Stormshield被企业评为是特定领域者,原因是它主要服务于西欧客户;虽然投资到位,增长很快,但还是没有转化为加快路线图执行或者给企业用户带来更多的创新。
强项:
Stormshield防火墙在庞大环境下的竞争力一度有限,但现在提供可扩展到130 Gbps的设备。
Stormshield拥有几项地区和全国性欧洲认证,这让它成为欧洲政府部门和与公共部门打交道的私营企业的合适选择。
Stormshield提供充分利用集成式被动扫描器的安全漏洞管理技术。它让安全分析员得以将专用规则动态运用于易受攻击的主机上,只要将规则添加到一组易受攻击的主机上。
受访客户提到,性能良好、具有IPS功能、互联网协议安全(IPsec)VPN和灵活的价格是选择Stormshield的几个原因。
注意事项:
Stormshield在一些功能领域落后于市场领导者,比如如何将应用程序控制集成到安全策略中,在单一硬件设备中只支持数量有限的虚拟系统。它在2016年4月刚发布了第一个版本的基于云的沙盒,但Stormshield缺乏威胁情报源,还没有研制一款支持SDN使用场合的产品。
庞大的分布式组织常常提到集中式管理是一个软肋。这家厂商大力投资于构建一款新的集中式管理解决方案,第一个版本会在2016年上半年交付给客户。该解决方案仍未得到验证,可能需要进一步的改进,才能通过竞争考试。
尽管对Stormshield来说是个长期存在的问题,但Gartner的客户还是提到:集成式IPS引擎最初引发许多误报,需要大量的微调。经验最丰富的Stormshield分销商使用自定义配置文件,积极主动地处理这个问题,但是法国之外的许多客户仍提到误报是概念证明不成熟的主要原因。
尽管Stormshield得到了空中客车国防这家大集团的支持,但是Stormshield的渗透率、知名度和渠道仍然主要局限在欧洲中东非洲地区,尤其是法国。
Gartner认为,Stormshield注重网络和端点解决方案(多层协作安全)的集成,有利于中级市场企业,可是给正在评估Stormshield防火墙的企业带来了额外的负担。
WatchGuard
WatchGuard是总部位于西雅图的一家网络安全公司,其成功之道主要是向中型企业销售UTM产品。XTM Firebox M系列产品涵盖大企业需要的诸多性能和功能;然而,WatchGuard的品牌、渠道支持和管理能力往往更面向中小企业,WatchGuard的Firebox T系列就针对中小企业。WatchGuard还有包括SSL VPN、电子邮件和Web安全的产品。
WatchGuard在2011年为其设备推出了“下一代虚拟化防火墙套装”(NGFW Bundle)选件,2014年发布了APT Blocker(WatchGuard基于云的恶意软件检测产品,使用Lastline技术),自那以来,这家公司拥有的解决方案比纯UTM解决方案更适合潜在的企业买家,不过我们还是没有看到它在企业界得到大幅采用(分布式企业除外)。
WatchGuard被企业评为特定领域者,主要是由于它更常服务于中小企业和分布式企业。我们并未经常看到它在边缘防火墙这种使用场合取代领导者,也没有看到它抢在企业防火墙竞争对手之前开发创新的功能。
强项:
WatchGuard有很高的性价比,这让它能够赢得关注价格的客户,应用于零售、分支办事处、远程办事处和C类型分布式企业等部署环境。受访用户提到满意度高,获得了所需的价值。
WatchGuard继续致力于企业使用场合,改进了报告。客户报告喜欢其Application Control具有的知名度。
用户继续报告WatchGuard管理控制台和客户支持质量令人满意。
基于云的报告解决方案WatchGuard Dimension及执行仪表板和流量热图是一系列功能的有力补充,针对部署许多防火墙的领域,比如加盟店或零售店。交互式热图视图(FireWatch)有助于迅速发现某个特定用户或应用程序引起的网络问题。
注意事项:
WatchGuard主要专注于中小企业和分布式企业,这意味着Gartner很少看到它出现在其他大多数大企业使用场合。如果WatchGuard想要角逐更广泛的企业领域,企业级渠道和支持需要有所加强。比如说,WatchGuard无法让大企业部署WatchGuard常驻工程师,而一些企业部署环境需要这样。
WatchGuard很少被我们调查的厂商提到是重大的企业竞争威胁,它在Gartner的客户群中的知名度很低。
WatchGuard在阐述综合数据中心战略以及将SDN添加到路线图方面落后于领导者。
WatchGuard目前并不交付部署到AWS或微软Azure的虚拟防火墙。
云头条编译|未经授权谢绝转载、镜像。
花了2天的时间编译,累死了,如果觉得有价值,欢迎打赏,感谢支持ing
相关阅读:
银行买不起防火墙 用二手交换机 被黑客轻松偷走8000万美元
2016年平台即服务(PaaS)比较矩阵报告(附14、15年魔力象限解读)
Gartner:2016年集成平台即服务魔力象限|「云头条」
Gartner发布2016年数据仓库和数据管理解决方案魔力象限
防火墙交流群,欢迎加入,群主微信:aclood