Gartner修改了网络防火墙的定义。随着我们看到更多的客户转向混合网络,并寻求云端防火墙功能,云供应商也在向客户提供原生防火墙功能。传统防火墙也为这些云平台提供支持。因此今年开始,Gartner已开始还评估云提供商以及独立防火墙供应商的原生防火墙功能。同样在今年,《企业防火墙魔力象限》和《统一威胁管理(UTM)魔力象限》已合二为一:《网络防火墙魔力象限》。
Gartner对网络防火墙市场的定义如下:该魔力象限介绍的网络防火墙市场主要由提供双向控制(出站和入站)以保护网络安全的防火墙组成。这些网络可以是本地、混合(本地和云)、公共云或私有云。网络防火墙还可能提供额外功能,比如应用程序感知及控制、入侵检测及预防、高级的恶意软件检测、日志记录和报告。服务该市场的公司明确专注于基于网络的防火墙控制——这可以通过销售额的比例来体现(借助支持团队、销售团队和渠道来交付)。这些供应商提供专用于满足防火墙需求,并支持防火墙相关使用场景的功能。
该魔力象限包括下列类型的网络防火墙:
专用的物理设备虚拟设备嵌入式防火墙模块IaaS平台提供商提供的防火墙控制系统曾入围企业防火墙魔力象限,但由于该供应商没有专注于增强产品的安全功能,2016年跌出了象限。今年,由于我们修改了网络防火墙的定义,加上F5单子中出现了AFM(防火墙模块),Gartner再次新增了这家供应商。
微软:随着公共云日益得到采用,公共IaaS供应商们正在产品中引入原生防火墙功能。由于微软Azure是今年客户咨询中最常提及的IaaS提供商之一,Gartner评估了该供应商。
山石网科:这家中国安全厂商已添加到本研究报告中。山石网科早已入围《UTM魔力象限》,但它也符合今年《企业防火墙魔力象限》的入围标准
跌出的供应商
由于入围标准发生了变化,下列供应商因不再符合标准而跌出象限:
Ahnlab:AhnLab总部位于韩国,是一家区域性安全供应商,主要在韩国提供网络安全、端点安全产品和安全咨询服务。
市场概况
2018年,全球市场防火墙收入增长了15.9%(而2017年增长17.5%,2016年增长15.2%)。虽然防火墙供应商继续在防火墙中提供多种功能,但现在总的订购成本更高。防火墙供应商在防火墙产品中提供内置功能的同时,还提供与防火墙配合使用的服务和产品,比如云访问安全代理(CASB)和端点检测和响应(EDR),这类服务/产品日渐流行起来。其中,中小企业多功能防火墙市场在2018年增长10.1%,SD-WAN得到采用是强大的推手。Gartner还发现客户对防火墙供应商针对分布式办公室和漫游员工这些使用场景提供的各种基于云的出站过滤服务颇感兴趣。
今年,Gartner防火墙方面的客户咨询越来越关注:
支持公共IaaS平台和相关功能
云服务产品
SD-WAN
高级的威胁检测功能
因此,除了该魔力象限的评估标准中提到的其他功能外,考虑到Gartner客户表现出来的强烈兴趣,Gartner还对提供这些附加功能和服务的供应商给予了高度评价。
今年,我们没有看到大多数防火墙供应商推出任何新的主要功能。大多数供应商在以下方面增强了功能:威胁检测、集中式管理和编排、支持更好的TLS版本、SD-WAN 、性能
随着混合多云环境迅速得到采用,更多企业将依靠传统的防火墙供应商以获取网络安全控制,作为原生云控制之外的另一层保护。
从今年的受访防火墙参考客户处获得的结果其要点如下:
除了纯粹的防火墙功能外,IDPS、应用程序控制和URL过滤仍是客户使用的三大安全功能。除了提到的这三大安全功能外,今年我们还看到VPN是客户使用的主要安全功能之一。
根据调查,今年Gartner还看到防火墙供应商提供的CASB和EDR得到更广泛的采用。我们还发现,包含CASB和EDR许可证等额外产品的防火墙单子小幅增加。
89%的受访客户一致认为,如果可以选择,他们宁愿将NTA、EDR、网络沙盒、UEBA和欺骗等高级功能整合到防火墙上,而不是将它们作为单独的独立平台来使用。根据Gartner防火墙分析师接到的咨询,我们发现,客户渴望基于供应商为应对高级威胁而提供的IDPS、反恶意软件和沙盒之外的不同技术,把供应商列入最终名单。Gartner还看到Palo Alto Networks和思科等供应商向EDR客户推销,声称可以更好地关联防火墙与端点之间的威胁。尽管我们看到中级市场的这些客户有所采用,但企业级客户仍更喜欢选择独立EDR供应商。在受访客户当中,64%的客户提到在使用独立EDR产品。防火墙供应商正向客户提供ELA单子,以销售多种产品和服务。
50%的受访客户强调如今自己在使用公共IaaS。22%的客户表示在使用IaaS提供商提供的原生防火墙控制系统,19%的客户表示在使用现有的本地防火墙来保护云,剩余9%的客户强调在使用第三方供应商提供的服务来保护云。Gartner分析师接到的防火墙选择咨询越来越多,即使客户今天没有在使用公共云,对防火墙供应商提供的对IaaS平台的支持级别仍是个重要的选择标准。
公共云上防火墙使用这个使用场景日益普遍。虽然大多数防火墙供应商都为一线IaaS提供商提供BYOL和按需付费的款式,但目前缺乏管理防火墙规则和原生IaaS控制的集中式管理功能。因此,客户应考虑使用网络安全策略管理(NSPM)之类的专用工具(比如Tufin、AlgoSec、FireMon和Skybox Security),以管理混合网络安全控制系统。
虽然一些防火墙供应商确实拥有专门面向公共云的产品,但它们尚未与防火墙集中管理系统整合起来。这个领域的一些典型产品包括:
Check Point Software Technologies CloudGuard Dome9
思科Stealthwatch Cloud和思科Tetration
飞塔Security Fabric
瞻博Junos Space Security Director
Palo Alto Networks Prisma Cloud
Gartner客户反映公共云上部署防火墙并不顺利,但供应商的技术支持团队在帮助解决问题。大体上讲,大多数防火墙供应商在为公共IaaS提供商提供成熟的控制系统和支持以满足最终用户需求方面一直进展缓慢:
在所有受访客户当中,23%的客户表示在使用防火墙供应商提供的API集成功能,将网络中的其他安全产品整合起来。虽然Gartner建议客户应集成安全解决方案以获得更好的自动化和关联功能,但API集成对于大多数企业而言并非易事。因此,它仅限于大企业和数据中心部署。
由于仅满足分支机构出站流量这个使用场景,FWaaS市场仍未受到太大的追捧。它无法满足以下使用场景的需要:
内部隔离
较大站点的吞吐量要求
互联网带宽成问题这种场合下的性能问题
Gartner看到,Palo Alto Networks提供的GlobalProtect FWaaS因支持分支机构出站流量使用场景而在该供应商的现有客户群中受到一定的追捧。这个领域的另外几家独立FWaaS供应商包括:
Cato Networks
Digital Shield
OPAQ
Versa
Zscaler
全球市场不断加剧的地缘政治贸易冲突可能会影响制造和交付包括网络防火墙等安全设备在内的硬件所需的供应链。这将使许多中国供应商面临这个风险。强烈建议客户在最终将中国供应商列入最终名单之前,密切关注这些全球动向及其对供应链造成的影响。
供应商优势和注意事项
新华三:新华三的总部位于北京和杭州。直到2016年它一直作为HPE的子公司来经营,现在是清华紫光集团的一部分。这家基础设施供应商拥有庞大的产品组合,包括安全产品(还包含防火墙)、云计算产品、交换机、路由器、无线局域网(WLAN)产品和管理产品。
新华三继续在产品中引入不同的安全产品。SecPath防火墙支持UniCloud公共IaaS平台,只支持自带许可证(BYOL)模式。防火墙主要被中国的客户列入最终名单,该供应商在中国拥有最大的客户群。
该供应商的SecPath防火墙系列包括14款物理设备和虚拟防火墙。
最近的产品新闻包括推出一个新的中小企业系列和性能增强。
优势:新华三的防火墙提供一条单独的工业防火墙产品线,名为Industrial Control Security,这包括工业控制防火墙、项目监控和主机安全软件。
产品(NTA):该供应商提供一个NTA平台,这个安全态势感知系统可收集整个网络上的网络流量数据及其他数据。该产品还结合了机器学习功能,提供关联数据,并基于热图及其他形式的图形加以显示。该产品可以与防火墙集成起来,基于策略采取操作。
产品(NAC):该供应商提供原生NAC解决方案,其功能可与防火墙集成起来。NAC解决方案名为新华三智能管理中心(iMC),提供跨云和数据中心的集中式管理功能、最终用户管理、园区网络和无线管理等功能。
产品:集中式安全服务管理器(SSM)将产品管理功能扩大到了防火墙以外的其他新华三产品,比如WAF和负载均衡系统,因而为使用上述产品的新华三客户提供集中式管理功能。SSM还为中国公共IaaS供应商UniCloud提供的原生控制提供管理和可见性功能。
客户反馈:受访客户声称易于管理和操作是这家供应商的优势。
注意事项
执行:新华三防火墙只以BYOL模式对UniCloud提供支持。它们仅作为VPN和NAT网关按需提供。希望利用公共云上新华三防火墙完整功能的客户只能使用BYOL这一款。
市场响应能力:该供应商在防火墙中没有集成的SD-WAN功能,这是分布式企业连接需要的一项功能。
技术功能:新华三防火墙不支持基于TLS 1.3的解密。
地理策略:该供应商主要在中国布局,在亚太区其他地区没有布局。Gartner并未看到中国以外的客户将新华三列入最终名单。
山石网科:山石网科的总部位于苏州,区域总部在加利福尼亚州圣克拉拉。该供应商是一家老牌的网络安全厂商,提供边界、云和服务器安全解决方案。山石网科防火墙非常适合被拥有混合网络(比如本地环境、云环境和虚拟化环境)的企业列入最终名单,这些企业主要在中国、东南亚和拉美。
山石网科防火墙拥有专用于微隔离和公共IaaS平台的防火墙产品线。因此,它们很适合用于混合网络。该供应商主要被中国的客户列入最终名单,在欧洲、中东和非洲以及拉美的客户群日渐庞大。
该供应商提供了多条防火墙产品线,即E系列NGFW、T系列iNGFW和X系列数据中心防火墙。它还提供CloudEdge(虚拟NGFW)、CloudHive(微隔离)和CloudPano(通过电信公司提供的托管FWaaS,仅限于中国市场)。CloudEdge为AWS、Azure、阿里云、腾讯云和华为云提供支持。其他安全产品包括IDPS、WAF、应用交付控制器、ABG、DLP和DAP(几款产品仅在中国市场有售)。
2018年,该供应商推出了两款新品:X10800和CloudEdge VM04。其他产品更新包括威胁检测增强功能和固件版本。
为数不多的中国网络安全供应商之一正逐步扩大到中国以外的其他地区,比如拉美、东南亚、中东和欧洲,山石网科是其中之一。
优势:微隔离:山石网科CloudHive是一条专门的产品线,联合VMware NSX提供成熟的微隔离功能。CloudHive提供众多功能,比如实时可视化映射、自动发现新的虚拟网络以及跨虚拟机的集中式威胁检测。
平台:该供应商提供其NTA平台山石网科sBDS,全球有售。该平台使用包括NTA在内的不同检测技术,为山石网科客户执行高级的威胁检测和分析。该供应商还提供一款名为iSource的SIEM解决方案,目前仅在中国有售。
产品:该供应商在T系列防火墙上将行为分析作为一项额外的订购服务来提供。对于在防火墙内寻找网络沙盒之外的其他威胁检测功能的企业而言,这使它很容易进入最终名单。
客户反馈:受访客户对防火墙的VPN功能给予了高度评价,声称在多个站点之间易于配置和管理。
注意事项
SD-WAN:山石网科防火墙缺乏SD-WAN功能,当今许多竞争对手都在提供这种功能。这使得山石网科对分布式办公室连接使用场景而言不是很理想。
产品执行:该供应商提供了防火墙设备的不同产品线:T系列、E系列和X系列,比较彼此之间的功能区别时,容易给最终用户造成困惑。
产品:该供应商不提供本地网络沙盒。不得将数据发送到外部的受监管行业客户需要这项功能。
特色:虽然山石网科与全球和区域EDR供应商建立了合作伙伴关系,但它没有提供一个通用的威胁关联门户网站,以方便寻求更出色的威胁检测功能的防火墙用户。
可见性:尽管该供应商声称扩大到中国以外,但在中国和拉美以外,山石网科防火墙很少出现在客户的最终名单上。
营销:该供应商在最终用户市场缺少其防火墙的强大营销,因为它瞄准国际市场,并与营销活动更有力的全球玩家竞争。这导致它在亚洲以外的最终用户市场缺乏知名度。
产品:该供应商提供一款基本的基于云的防火墙管理器,该管理器仅用于监控,并缺少额外的集中式管理控制功能,比如防火墙的变更管理和零接触配置。
华为:华为是总部位于深圳的大型基础设施供应商。其防火墙继续在东南亚、中东和拉美扩大客户群。华为在电信领域布局很广,还出现在华为的基础设施捆绑单子中。
华为防火墙包括统一安全网关(USG)、Eudemon和虚拟防火墙等系列。USG是主要的企业系列,而Eudemon系列面向运营商和服务提供商。Agile Controller、eSight和SecoManager是支持USG系列的几款中央管理平台。除了防火墙外,该供应商还销售属于安全产品组合的IDPS、反DDoS、SIEM和Web应用防火墙等产品线。
如果客户已经在使用华为产品或希望整合这同一家供应商的网络和安全产品,华为防火墙是理想的选择,因为它拥有集成功能、易于集中管理。华为为防火墙部署的不同使用场景提供多款产品,还为分布式办公室使用场景提供成熟的SD-WAN功能。
今年的产品新闻包括SD-WAN、IDPS和Web UI等方面的增强。
优势:易于管理:华为防火墙拥有一种易于创建的防火墙规则UI。它提供易于管理的单一UI实例,以创建防火墙策略,并实施安全策略。受访客户也称易于管理是其产品的优势之一。
产品:Agile Controller是该供应商的NAC解决方案,它还有云版本。它有两种版本:一种版本用于数据中心网络,名为AC DCN。另一种版本名为AC Campus,供园区或企业使用。两种版本都可以通过回调功能与防火墙紧密集成,并提供隔离网络的自动化功能。
产品:该供应商提供一种名为SecoManager的本地集中管理器,该管理器拥有专用的策略编排功能,比如策略调整和策略模拟器。华为还提供可视化功能,以便新的策略显示对流量的影响。
特色:华为防火墙对TLS 1.3提供支持,能够针对加密流量提供更纵深的SSL解密和流量检查功能。
产品:该供应商在其防火墙设备中提供欺骗功能。这种功能在单独的产品映像中提供,该产品映像可以安装在防火墙设备上,从防火墙UI内部作为一项单独的功能加以管理。虽然今天提供的欺骗平台很基本,但它在防火墙中提供了另外的威胁检测功能。建议客户评估在防火墙设备上运行该映像对性能的影响之后启用该功能。
集成:华为提供与其大数据分析SIEM解决方案:网络安全智能系统(CIS)直接集成的功能。集成作为防火墙UI中的一项内置选项功能来提供,可以轻松开启,因而易于与华为防火墙集成、结合使用。
注意事项
执行:华为防火墙缺少与第三方安全厂商(尤其是SIEM提供商)集成的功能。受访供应商强调这是USG防火墙的缺点。客户将防火墙日志发送到第三方SIEM供应商时会遇到问题。该供应商缺少其防火墙与第三方EDR解决方案之间直接集成和关联的功能,需要CIS平台进行关联。因此,强烈建议客户将华为防火墙与生态系统中第三方解决方案之间的集成功能作为最终名单上的一个重要标准来评估。
公共云:尽管以BYOL模式为多家公共IaaS提供商提供设备支持,该供应商的产品却无法在任何IaaS平台上以按需付费的方式来使用,而大多数防火墙供应商为多个IaaS平台支持按需付费的许可模式。
特色:该供应商通过其云门户网站提供基本的集中式云管理功能。它只能用于管理防火墙上的有限功能,一些防火墙上缺少集中式固件升级和零接触配置功能。
销售执行:面对不同的防火墙使用场景,比如中小企业、边界和分布式办公室,华为防火墙缺乏统一的布局。Gartner仍发现,大多数时候采购的防火墙大多是大笔华为基础设施单子的一部分,而不是纯粹的防火墙单子。
SDN:华为防火墙仅对华为CloudFabric平台提供支持,缺少针对其他常见SDN平台的支持,主要的防火墙厂商都提供这种支持。这加大了客户对华为SDN基础设施的依赖性。
产品策略:该供应商对与防火墙有关的基于云的服务及其用户缺乏关注。该供应商提供的大多数功能都基于设备。华为缺少作为SaaS产品提供的面向漫游用户和分布式办公室的出站过滤云服务。
深信服:深信服总部位于深圳,是一家IT基础设施和安全供应商。它是区域性的中国供应商,越来越关注中国竞争对手缺乏的云服务产品,包括FWaaS产品。它主要专注于中型企业,在东南亚布局很广,在欧洲和中东有一些客户群。技术支持得到了受访客户的高度评价。
其防火墙产品线名为深信服下一代应用防火墙(NGAF),提供物理设备和虚拟设备这两种款式。虚拟设备可以在AWS和阿里云上作为BYOL使用。集中式管理产品:深信服Branch Business Center(BBC)作为单独的设备来提供。此外,深信服还提供Security Butler,这个基于云的门户网站提供防火墙日志监控、安全分析和基本的事件响应。其他安全解决方案包括网络和应用程序漏洞管理SaaS、SSL VPN、广域网优化(WANO)、软件定义的基础设施和SWG解决方案。
最近的产品新闻包括集成该供应商的沙盒和威胁情报服务以增强威胁检测功能。
优势:产品策略:深信服为客户提供多种基于云的服务,包括FWaaS(基于Cloud的网络漏洞扫描工具Cloud Eye和仅在中国市场有售的WAF Cloud Shield)、威胁情报服务Neural-x以及威胁分析门户网站Security Butler。这使得深信服很适合分布式办公室使用场景。
产品:该供应商提供原生EDR客户端。它在其威胁分析云平台深信服Butler上提供了防火墙和EDR的威胁情报关联,为防火墙用户提供了额外的威胁检测功能。
特色:深信服NGAF提供了用于安全策略部署和修改的配置向导,该向导得到受访客户的高度评价。向导在新的更改请求期间提供虚拟网络映射。
客户反馈:本地集中式管理系统深信服BBC受到客户的高度评价,被认为是一款易于使用的产品,简化了管理多个防火墙的工作。BBC还可以用于管理深信服的另外许多产品,比如SWG、WANO、SD-WAN和SSL VPN。该供应商还提供基于云的管理器X-Central,其功能与BBC相同。
技术支持:受访客户对该供应商的技术支持评价很高。
注意事项
销售执行:深信服防火墙主要被中型企业部署,该供应商开发产品时还侧重于中小企业使用场景。在Gartner客户咨询中,深信服在大企业和数据中心的知名度不是很高。
客户反馈:受访客户报告,深信服防火墙中的内置日志记录和报告缺乏精细度,日志搜索起来很复杂,需要客户购买专用的报告工具以获得高级报告功能。本地专用报告和日志记录设备仅提供中文版。
布局:深信服是一家区域供应商,大部分客户在中国。虽然它竭力扩大到亚洲其他地区、欧洲和中东,但Gartner发现它主要被东南亚的客户列入最终名单。
客户反馈:受访客户声称,深信服防火墙的中型企业款式不提供默认的万兆(10 Gigabit)接口,这对于寻求更高性能的企业客户来说是一大缺点。
产品:该供应商仅为其原生SDN平台深信服HCI提供支持。它还仅为其原生深信服HCI公共IaaS平台和阿里云提供按需付费的许可模式。如果你在AWS上,无法以按需模式来使用它,它仅提供BYOL这种模式。
启明星辰:启明星辰的总部位于北京。如果中国的启明星辰客户在寻找一家在中国和日本拥有强大区域支持、又拥有经济高效的防火墙产品的优秀本地供应商,启明星辰是防火墙方面的出色选择。在中国,该供应商经常出现在最终名单上:由于其庞大的产品组合,客户更喜欢来自这同一家供应商的安全产品。
启明星辰销售多条防火墙产品线,即启明星辰统一威胁管理、启明星辰防火墙(FW)和启明星辰下一代防火墙(NGFW)。它还出售专用的工业防火墙产品线:启明星辰工业防火墙(IFW)。除了防火墙外,该供应商还出售WAF、IDPS、漏洞扫描工具、VPN、USM(SIEM)、APT、ADM(反DDoS)和物理安全产品。它还出售防火墙策略管理和NTA解决方案FlowEye。
今年,该供应商推出了基于VenusEye威胁情报中心的云保护服务和拥有720GB吞吐量的高级防火墙款式。
优势:集中式防火墙策略管理:启明星辰FlowEye是该供应商的防火墙策略管理和NTA解决方案。该产品可以执行除启明星辰防火墙以外的集中式防火墙策略管理,将支持对象扩大到所有领先的全球和区域防火墙玩家,比如飞塔、Check Point、Palo Alto Networks、瞻博、思科和新华三。该产品提供的其他一些关键功能包括配置比较、防火墙迁移和虚拟网络映射。这有助于启明星辰防火墙的大用户和托管服务安全提供商(MSSP)调整策略,并集中管理其他品牌的防火墙。
产品(NTA):启明星辰FlowEye收集原始流量和流量记录(比如NetFlow、Sflow和IPFIX),以分析网络流量。它可以针对各种异常流量执行异常行为检测,包括特洛伊木马通道检测、ARP欺骗检测、网络扫描行为检测、蠕虫检测和DDoS攻击检测。它作为单独的设备来提供。
产品:启明星辰拥有一条专用的工业防火墙产品线,有不同款式。启明星辰IFW支持基于Modbus/TCP、Modbus/RTU、nIEC104、OPC和Ethernet/IP的深度过滤功能。除了基本的防火墙功能外,IFW还支持工业IPS、工业VPN和流量自学习功能,适用于监督控制和数据采集系统(SCADA)、分布式控制系统(DCS)、可编程控制系统(PCS)、可编程逻辑控制器(PLC)协议以及应用程序。
产品策略:该供应商拥有威胁情报(TI)关联平台:VenusEye威胁情报平台,该平台是一个单独的产品。该平台将来自VenusEye的不同资源和产品的TI进行关联,基于内置模板,提供集中式关联和威胁评分。该产品可从管理UI内与启明星辰防火墙直接集成,因而对需要额外威胁情报的防火墙用户来说易于使用。
客户反馈:受访供应商对启明星辰防火墙易于使用和管理的优点评价很高。
公共云:启明星辰防火墙不支持公共IaaS平台的按需付费许可,而大多数防火墙供应商提供。该供应商目前仅为阿里云和腾讯云支持BYOL。
产品:该供应商仅提供本地沙盒设备,缺少基于云的沙盒服务,大多数竞争对手将其作为附加的订购服务来提供。
产品:启明星辰缺少与EDR供应商集成的功能,不提供自己的EDR客户端。一些客户更喜欢防火墙和端点之间的额外威胁情报和关联功能,以提供高级的威胁检测功能。
客户反馈:受访客户声称内置的防火墙报告功能很基本,需要SIEM等其他产品或订购TI中心,才能获得更详细的报告。
地理布局:启明星辰主要在中国销售产品,在中国以外,它不太受客户的青睐,通常无缘最终名单;然而,该供应商努力在东南亚扩大版图。