Gartner：企业防火墙市场概述

近日，著名研究分析机构Gartner发表了其最新研究成果，Gartner 2012年企业防火墙市场魔力象限报告。本文为该报告最后一部分，市场概述。为用户解读了最近的市场动态以及产品替换的规律。

【网界网独家译稿】作为外部威胁与企业网络之间的第一道防线，防火墙需要不断进化以保持其执行效率与响应效果，进而应对日益变化的安全威胁以及企业网络在速度与复杂性方面的改变。防火墙市场的固有区划已经逐步向大规模(北美与西欧)延展，这意味着为了保护安装基础的万全，供应商必须带来更先进的安全功能与更完善的性能表现，否则就会受到创新型竞争者或低售价供应商的双重阻击。防火墙策略管理(简称FPM)产品已经被越来越多地用于复杂性管理工作。

下一代防火墙

防火墙领域的一大关键性革新在于Gartner公司于2009年所提出的新概念，即“下一代防火墙”功能——换言之，它集成了深度包检测入侵测试、应用识别与精细控制。在这一领域最大的差异主要是IPS(即入侵防御系统)的实际效果，第三方在真实威胁与网络状况下进行的检测以及排名前25的顶级商务应用中的策略执行效果已经充分证明了这一点。基于身份的策略方案或将策略推广到成千上万套应用当中的能力虽然大受追捧，但却很少被真正用到。

由于防火墙市场已经发生高度融合，这类产品开始像其它项目一样由更新周期所驱动。在企业级防火墙市场中，我们发现了几种常见的方案模式——一般一套防火墙的使用周期为三到五年，并由IPS进行评估及更换：

企业目前并未完全利用IPS向下一代防火墙开展迁移，这就导致先进安全功能的使用率相当低。

拥有防火墙及独立IPS的企业主要通过检测模式(使用最低限度的签名集)利用内置IPS功能进行迁移。

拥有防火墙及独立IPS的企业利用拥有大量签名集与一些定制签名的主动防护机制进行下一代防火墙迁移，但仍然继续使用独立IPS。

高度安全环境将防火墙升级为下一代防火墙，并将IPS升级为下一代IPS(简称NGIPS)。

虚拟防火墙

随着数据中心虚拟化的广泛普及，由虚拟装置带来的支持需求自然也有所增加。通过一套单独的集成化管理控制台对独立装置或虚拟装置进行防火墙策略管理时，其提供的性能与功能存在巨大差异。Gartner分析公司还没有在虚拟平台上发现防火墙类功能，被视为传统防火墙供应商竞争对手的VMware则通过职责划分给出了自己的方案——对基础设施采取不信任态度，进而保护基础设施。包括Xen及Hyper-V在内的其它虚拟化平台在发展趋势下相时而动、管理多元化虚拟防火墙的举措将带来新挑战。性能仍然是虚拟防火墙广泛普及的首要障碍;几乎所有的网络防火墙都只能在专用装置上部署，因为作为业务处理的主体服务器根本不能容忍性能资源被防火墙大肆吞噬。几乎所有防火墙装置中的操作系统都经过特殊调整，并受到来自第三方的严格安全评估。安全观念较强的企业当然会对处于威胁与防火墙之间的管理程序持怀疑态度，运行其中的防火墙也不能例外。

防火墙市场新成员

在我们开展评估工作的同时收购活动仍在继续，防火墙市场也因此迎来了不少新成员。戴尔收购了SonicWALL，Cassidian CyberSecurity(一家从属于欧洲宇航防备集团的公司)收购了Netasq。Palo Alto网络于2012年7月进行了首轮公开募股。Sourcefire公司于2011年12月公布了一款防火墙产品，而F5公司也于2012年1月推出了Big-IP数据中心网络防火墙并得到ICSA(即国际计算机安全协会)的认证。以华为为首的亚洲供应商同样不甘示弱，开始将目光投向故乡之外的广阔市场——其初步市场目标为中东及东欧。

在评估期间，防火墙市场2011年的总销售额上升至63亿美元。这一结果与我们之前预计的魔力象限图基本一致。2012年，Gartner公司估计防火墙市场将继续增长10%，总销售额达到69.3亿美元。而2013年，Gartner认为企业级防火墙市场将扩大11%，达到77亿美元的全局营收数额。我们预计，这一市场在2016年之前将始终保持10%的年增长率。

在三类不同产品中混淆“应用”与“防火墙”的概念与适用范围

过度使用术语及充满迷惑性的营销手段往往令我们对应用程序控制、WAF(即Web应用防护系统)以及应用交付控制器(简称ADC)防火墙三个概念混淆不清。目前大多数下一代防火墙供应商都开始提供防火墙应用控制方案，例如CheckPoint、Fortinet、Palo Alto网络以及戴尔SonicWALL。这类方案的目的一般是为了控制外部应用程序，例如Facebook以及点对点文件共享等。

WAF则有所不同：WAF的主要活动环境是数据中心当中的Web服务器。专注于WAF这项业务的企业包括Imperva等，那些将WAF技术整合在ADC当中的数据中心基础设施供应商也从事内部Web应用定制工作。

尽管以F5为代表的一些ADC供应商目前正试图将网络防火墙功能纳入ADC当中，但Gartner公司仍然没有看到下一代防火墙与WAF两项技术真正出现融合——这是因为二者在任务目的与工作方式方面差异很大。正如Gartner公司向客户提出的建议，大多数企业都在利用同一品牌的网络防火墙打理各领域的安全问题，包括互联网交互、虚拟化、数据中心以及分支机构。这些数据中心防火墙面临着巨大的竞争挑战——除非能真正为企业全局提供优秀的防火功能，否则它们很难在市场上拿下理想的份额。但从另一个角度看，这些方案也有机会通过利基市场寻得独特的生存空间——例如当数据中心本身就是一家独立的企业，且拥有属于自己的防火墙操作人员的情况。

注：本文为Gartner 2012年企业防火墙市场魔力象限报告最后一部分