企业防火墙：性能远超过其安全功能

　　Scott Swenka是美国一家医疗保健公司的IT安全顾问，他是Sidewinder的长期用户。Siderwinder是Secure Computing公司的防火墙产品，因Secure Computing 公司在2008年被McAfee公司收购而更名。Swenka表示，McAfee收购Secure Computing公司时他有点担心，但是McAfee承诺会继续支持Sidewinder。

　　“到现在为止，他们并没有真正添加任何新功能，”Swenka表示，“管理界面以及命名标准跟原来一模一样。”

　　McAfee上周发布了Firewall Enterprise 8，并在里面集成了该公司的全球威胁资讯服务。这个最新版本提升了Sidewinder应用层的检查能力，并在防火墙中添加了信誉(reputation)功能，使其能够利用地理位置来阻断威胁。该防火墙作为设备出售，并且可以作为基于软件的防火墙虚拟设备来使用。它能够跟McAfee公司的ePolicy Orchestrator一起工作(ePolicy Orchestrator是该公司在管理和政策控制方面的旗舰级集中化管理控制台)。

　　Swenka最大的担心是McAfee公司会对现有产品添加太多的集成功能。他表示，在防火墙中集成动态目录，使其变得“用户感知(user aware)”的。虽然这一点是有益的，并且可以让设备的功能更加强大，但若想在其中集成其他McAfee产品就会变得复杂，因为产品本身已经非常不错了。

　　他说，“我想要的是防火墙性能，而当你往里面添加东西的时候它只会变得臃肿。”

　　刚开始的时候，防火墙功能非常基本，即使用防火墙规则库对IP数据包进行扫描、识别出不需要的流量、决定能够流入公司网络的服务。IDC估计，有85%的企业目前都使用了防火墙。据IDC称，这些防火墙设备已经被用来处理那些日渐泛滥的恶意代码攻击。

　　在收购Secure Computing公司之前，McAfee在防火墙业务方面就已经经营了很长时间。在2001年，当McAfee还被称为Network Associates的时候，这家供应商就卖掉了其PGP加密产品以及Gauntlet防火墙产品生产线。PGP加密业务目前变成了PGP公司，而在上周McAfee公司的竞争对手Symantec公司宣布将收购PGP公司。而Gauntlet部分被Secure Computing公司收购之后，又被McAfee公司在2008年重新收购回来。

　　Spire Security公司的研究总监Pete Lindstrom指出，在某种程度上，防火墙市场已经变得大众化。传统的市场已经由网络巨头思科公司、Juniper网络公司以及安全供应商Check Point Software Technologies公司占据了。他表示，许多供应商正在往路由器里添加安全功能，把它们变成统一威胁管理(UTM)设备。这个市场还包括几个网络安全设备供应商，它们是Fortinet公司、Sonicwall公司和WatchGuard Technologies公司。微软也在兜售其互联网安全和加速服务器(Internet Security and Acceleration Server)以及前端威胁管理网关(Forefront Threat Management Gateway)等产品。

　　Lindstrom指出，很难对主流的防火墙产品进行评估，因为大多数的防火墙都含有相同的功能。

　　“供应商需要有人理解扩展功能的技术细节，因为几乎所有的防火墙都有扩展功能，”Lindstrom表示，“我认为防火墙的性能比其他的需求更重要，因为上网的人不希望网络瓶颈。”

　　Swenka表示，他了解到像防火墙这样的基本安全设备对于企业来说归结起来就是钱的问题。比如，像思科这样的网络巨头可以利用它的市场份额以折扣价给他的网络客户提供防火墙设备。Lindstrom表示，使用防火墙的公司还倾向于对特定的供应商进行标准化。防火墙规则库通常只能在一个供应商平台上工作，所以调换供应商可能是一个比较困难的过程。

　　Lindstrom指出，如果从技术角度来看这个趋势，他们把网关更紧密的同自己的应用程序相关资源联系起来，而不是对外面的互联网进行连接。许多企业都有一个大型的核心防火墙，但是有些公司只是在设备级别或者服务器级别上部署防火墙，并把它们绑定在本公司的入侵防御系统(HIPS)相关技术上。

　　McAfee公司的执行副总裁兼网络安全部门总经理Dan Ryan表示，该公司的目标就是随着时间的推移把防火墙完全集成到McAfee系列产品中去。Ryan曾是Secure Computing公司(在被收购之前)的CEO，他表示McAfee一直致力于集成方面的事宜。他说，我们的目标是要设法改善防火墙的监测能力，无需强迫企业添加更多的规则集(因为那样的话，企业管理起来比较困难)。

　　Ryan表示，“我们必定会实现这个目标，因为那样就会有跨协议的通用政策。我想，我们目前的工作进展还不错。”