自Check Point软件技术公司推出其第一个企业网络防火墙以来,已经过去了20年,这标志着防火墙的大众市场的开始,防火墙已经保护了世界各地数以百万计的网络。
Check Point的firewall -1于1994年在NetWorld+Interop上发布,当然,它并不是第一个网络防火墙。随着互联网的兴起,防火墙已经开始成形。在20世纪80年代和90年代,公司和大学认为有必要通过创建一个边界网关屏障来阻止不必要的IP流量。在那个时代,他们有时会基于路由器或其他设备“自己生产”,直到供应商最终用防火墙产品来拯救他们,使他们免受不必要的劳动。
+更多关于网络世界足球竞猜app软件:惠普推出下一代防火墙线路|迄今为止,2014年最严重的数据泄露+
Marcus Ranum现在是Tenable网络安全公司的首席安全官,被认为是早期商业防火墙最杰出的创新者,因为他在1990年设计了DEC SEAL防火墙,并在Trusted Information Systems公司工作过Gauntlet防火墙和TIS工具包。TIS由美国国家安全局前雇员史蒂夫·沃克(Steve Walker)于1983年创立,专注于高度安全的政府客户;1998年,公司被卖给了Network Associates(后来成为McAfee)。其他早期的努力,如猛禽防火墙,也存在。但正是Check Point的FireWall-1的推出,最终创造了这种大众市场。不久,不仅思科(Cisco)和瞻博(Juniper)等大型网络供应商加入了这一市场,还包括其他许多公司,如WatchGuard。
Check Point获得了更多的能量,而TIS没有。Ranum思考了为什么会这样:“当时统治该技术的代理防火墙需要对应用协议进行一些分析,并设计一个网关系统来解析、处理和过滤通过该网络的第7层流量,”Ranum指出。“这需要时间——开发代理需要时间,防火墙CPU的处理器需要时间来做分析。当互联网泡沫开始时,Check Point真正起飞了,因为他们不做任何第7层分析,而且很容易编写规则让流量通过。新的应用程序层出不穷,Check Point的响应能力(以及它们的性能——如果你做得不多,很快也很容易!)使它们更容易销售。他们背后还有Sun和Sun的经销商渠道,所以他们在正确的位置、快速的技术和提供基本的、足够的安全方面击败了所有人。”
英特尔安全公司(Intel Security)的首席技术官斯科特•蒙哥马利(Scott Montgomery)还记得那段日子,他说,“状态检查既快捷又简单。”他说,Gauntlet防火墙只适用于安全性最高的网络。
Matt Howard现在就职于Norwest Venture Partners,他曾帮助开发Network Translation的PIX防火墙,后来被思科收购。他说,TIS Toolkit作为代理防火墙的早期并没有得到广泛采用,因为“维护代理防火墙非常困难”。
那时候,“每个人都认为防火墙会被消灭——路由器会把防火墙吞噬掉,”霍华德说。但这并没有发生。基础设施提供商思科(Cisco)和瞻博(Juniper)当然也销售路由器和交换机中的防火墙。
但Gartner认为,企业倾向于不依赖这种方式来购买核心防火墙。尽管面临着强大的竞争对手,但据高德纳公司估算,Check Point仍以22%的市场份额稳居防火墙设备市场榜首。根据咨询公司IDC的统计,思科可能以21%的市场份额略微领先。
思科负责产品安全管理的副总裁斯科特·哈勒尔(Scott Harrell)表示,Check Point是“防火墙集团的中坚力量之一”,这两家公司长期以来一直是竞争对手。“他们是一个强大的竞争对手,我们在很多账户上都看到了他们。”
本文作者Gil Shwed是Check Point公司的联合创始人兼首席执行官,该公司在以色列科技投资者Shlomo Kramer和副董事长Marius Nacht的帮助下成立。Shwed说他同意Ranum关于那个时代的许多观点。Shwed指出Check Point的优势在于它的状态检查引擎和简单的图形界面。他指出,Check Point FireWall-1迎来了一个“转折点”,将一个“小众市场”变成了“主流市场”。他还说,Ranum是该领域公认的先驱,他对此非常尊敬。
Check Point的firewall -1防火墙管理控制台可以追溯到1994年,当时它刚被引入。
Shwed说,早在Check Point成立之前,他就有了建立防火墙的想法,当时他在以色列军队服役,忙于连接网络。
WatchGuard的研究和策略总监科里·纳克雷纳(Corey Nachreiner)也认为,Check Point的firewall -1可以被视为防火墙“第一次真正的商业运行”。他指出,Check Point早期是基于软件的,而WatchGuard将其早期的Firebox区分为硬件设备。(以一种回到未来的方式,WatchGuard正在恢复它早些时候放弃的Firebox品牌名称。)
今天,所谓的防火墙通常做的远不止简单的基于端口的过滤和控制。它还可能包括入侵检测和保护系统(IPS),反病毒或URL过滤,作为数据丢失预防设备,以及更多,包括沙箱风格的零日威胁检测。技术咨询公司的安全分析师已经留下了他们的印象,他们批评了安全供应商多年来的所作所为,并敦促他们追求更多,比如更高的吞吐速度或更好的管理。
在研究公司IDC,安全产品研究主管查尔斯•科洛奇(Charles Kolodgy)为一类具备防火墙功能的设备创造了“统一威胁管理”(unified threat management)这个词,这些设备通常被认为适合中小型企业。在Gartner,分析师Greg Young和Neil MacDonald近年来开始敦促网络防火墙供应商生产那种“应用感知”设备,这种设备将能够通过应用的细粒度知识,加上IPS等功能,建立访问和用户身份控制。
帕洛阿尔托网络公司由其首席技术官Nir Zuk于2005年创立,并在2007年推出了下一代防火墙(NGFW)。这迫使包括思科、Check Point、英特尔安全部门McAfee、Barracuda网络和最近的惠普在内的供应商加入到对NGFW的收费中来。
在此过程中,曾在Check Point开发早期防火墙的Zuk作为一个明确但有争议的领导者和创新者走上了舞台。在与Check Point管理层发生争执后,他于1999年创办了OneSecure,该公司于2002年被NetScreen收购,随后于2004年被Juniper以40亿美元收购。
在祖克离开Juniper创建Palo Alto后,Juniper发起了与防火墙相关的专利侵权诉讼。双方在防火墙专利诉讼上争执不休,直到今年5月,双方达成了一项交叉许可协议,帕洛阿尔托同意支付1.75亿美元的现金和股权。
虽然他的一些前雇主往往对他的名字感到厌恶,但祖克还是得到了其他人的认可。
“Nir是大脑,”Ranum评论道。“他设计了很多Check Point、Netscreen(现在是Juniper)和Palo Alto——他带着一个程序员团队,到目前为止,这些人可以在睡梦中编写防火墙代码。”
Ranum补充道,这个世界已经远远超越了90年代初的可能性。“现在你可以买到像Cavium Octeon这样的可编程‘芯片上的开关’处理器,它可以以包速度进行7层分析,这是我们在1991年无法做到的。我认为这一趋势证明了游戏总是在第7层开始,而‘状态检查’是一个长达15年的偏离。”
+也在网络世界足球竞猜app软件思科首次攻破新一代防火墙,给人留下深刻印象+
在这段时间里,防火墙市场已经迅速发展,Gartner认为今年的市场规模将超过90亿美元。长期以来,防火墙不仅被用于企业网络的外围,也被用于企业网络内部,以隔离部分网络。但尽管如此,具有讽刺意味的是,由于云计算服务和移动设备的使用,网络防火墙的作用比以往任何时候都更加令人怀疑。
IT和安全管理人员一直对防火墙存有疑虑,尤其是当网络流量必须通过时。2005年,当一群来自几家大型全球企业的安全专家在“杰里科论坛”的旗帜下聚集在一起,表达他们对防火墙的不满时,这些疑虑达到了高潮。
他们的抱怨集中在云服务、电子商务和移动的增长都在消除他们曾经享有的网络中任何可识别的“边界”。杰里科论坛由保罗·西蒙兹(Paul Simmonds)等安全专家领导,他曾在涂料和化学品公司ICI工作,后来又在阿斯利康(AstraZeneca)工作。他热情地谈论了防火墙的局限性,并强烈希望采用以数据为中心的新方法。
在开放小组的主持下,杰里科论坛开始发布立场文件,特别是杰里科论坛关于良好安全的“戒律”,以“实现去边界的愿景”。它向防火墙开了不少枪。“虽然边界防火墙可能会继续提供基本的网络保护,但个人系统和数据将需要有能力保护自己,”该组织表示。其他指导方针是,“一般来说,提供越严密的保护,就越容易保护一项资产。”
在这场持续的辩论中,高德纳和其他一些公司倾向于反对边界防火墙应该消失的观点,这场辩论活跃了许多科技会议。公司不断购买更多防火墙。但杰里科论坛关于如何使用云服务和移动设备的基本概念,特别是员工拥有的“自带设备”情况,给外围防火墙造成了困难,打击了许多公司。虚拟化网络的兴起和未来用于交换的软件定义网络的隐现,挑战了防火墙供应商的适应能力。
例如,一些供应商,包括Check Point,已经设计了基于软件的防火墙来在Amazon Web Services EC2云服务中工作,尽管Amazon本身提供了防火墙服务。思科目前还没有,但哈勒尔表示,这与其他云服务一起在工作中。他承认一个问题是,每一个都代表了一个需要建立特定防火墙的平台,以及一种在云服务“随走随付”模式下对防火墙收费的方式。他补充说,思科还为企业提供了防火墙托管服务,这些服务将在未来得到扩展。
Gartner认为,虚拟防火墙的采用相当缓慢,预计到2016年,只有不到5%的企业会在其数据中心部署全虚拟防火墙。2020欧洲杯预赛Check Point的Shwed承认,从他的观察来看,虚拟防火墙的采用似乎还没有开始。
但正如Gartner分析师Greg Young最近在Gartner安全与风险管理峰会上所指出的那样,防火墙并没有消亡。他指出,87亿美元的企业防火墙市场仍是整个IT安全市场中最大的单个部分。预计到今年年底,这一数字将升至94亿美元。但也有对某些具体事情的不满。
他指出,Web A/V过滤尤其会对防火墙造成严重的性能影响,而这种功能最好部署在安全网关上。防火墙的竞争者还没有在虚拟化、数据中心和SDN上留下自己的印记,“下一场战斗”,Young说。2020欧洲杯预赛
思科的哈勒尔认为,思科的定位是,通过以应用为中心的基础设施和控制器,以简单的英语规则配置防火墙和负载均衡器,从而有效地参与这场战斗。然而,它仍然是非常新的。
一些Gartner分析师正在寻找网络防火墙以外的帮助。Gartner的一位分析师约瑟夫•费曼甚至认为,一项已有2年历史的技术“运行时应用程序自我保护”(RASP)可以取代网络防火墙的大部分职责。
在和年轻一代之间的一场辩论会上Feiman, Feiman热烈讨论,粗声粗气地说——被描述为一个仪器的运行时服务器或客户端保护应用程序对各种攻击,基本上是一个更好的方法比传统的防火墙,因为周边溶解是由于云服务和移动。他说:“我们的周边安全措施失败了,我要求我们改变看法。”
Gartner分析师约瑟夫·费曼(Joseph Feiman)说
Feiman表示,RASP产品的供应商包括惠普、普雷沃蒂、Shape Security、Waratek、Bluebox和Lacoon Mobile Security。然而,Young对RASP将成为下一个超越外围防火墙的大事件的想法嗤之以鼻,并指出RASP产品需要添加到每个操作系统或它可能想要保护的手机上。
Check Point的Shwed对RASP有什么看法?他承认他真的不熟悉它,这不是困扰他的事情。他真正关心的是,现代防火墙需要如何进化,才能获取越来越隐秘的威胁信息,从而阻止它们。他认为多种类型的安全供应商之间的信息共享是前进的方向,这也是Check Point所追求的.