雖然下一代防火墻已經(jīng)在中華大地上開(kāi)滿希望之花，但是對(duì)于這個(gè)概念的締造者之一以及先驅(qū)者PaloAltoNetworks卻在國(guó)內(nèi)很少有媒體提及。有鑒于此，網(wǎng)界網(wǎng)對(duì)PaloAltoNetworks產(chǎn)品及市場(chǎng)總監(jiān)ChrisKing進(jìn)行了獨(dú)家專(zhuān)訪，為大家打開(kāi)一扇通往這個(gè)著名有神秘的公司之門(mén)。

筆者：您認(rèn)為NGFW和UTM的區(qū)別是什么?

Chris：UTM和NGFW最根本的區(qū)別在于他們解決問(wèn)題的方式。UTM通過(guò)將已有的網(wǎng)絡(luò)安全功能固化到一個(gè)盒子中，例如狀態(tài)檢測(cè)防火墻,IPS,AV,URL地址過(guò)濾，從而達(dá)到讓網(wǎng)絡(luò)安全更廉價(jià)的目的而設(shè)計(jì)。我們認(rèn)為NGFW的不同之處是在于我們不是將網(wǎng)絡(luò)安全變得更價(jià)廉，而是將網(wǎng)絡(luò)安全做的更好。我們并沒(méi)有將很多的網(wǎng)絡(luò)安全功能集成到一個(gè)盒子中，而是重新定義了防火墻應(yīng)該有的核心特性。市面上所有的UTM中的防火墻功能都是基于狀態(tài)檢測(cè)防火墻的。而狀態(tài)檢測(cè)是checkpoint在90年代早期發(fā)明的。我們的防火墻的核心，不是狀態(tài)檢測(cè)，而是我們說(shuō)的App-ID。通過(guò)應(yīng)用識(shí)別和用戶識(shí)別取代以前的通過(guò)端口和IP地址的識(shí)別來(lái)進(jìn)行訪問(wèn)控制。

筆者：PaloAltoNetworks是如何解決價(jià)格和產(chǎn)品之間的矛盾的?

Chris：我們的很多客戶以前都是用UTM，現(xiàn)在都轉(zhuǎn)過(guò)來(lái)用我們的產(chǎn)品了。他們選擇我們的原因不是因?yàn)槲覀兏阋耍撬麄兏矚g具有可視化和洞察力的對(duì)于網(wǎng)絡(luò)流量的管理控制。UTM中的功能都是一個(gè)接一個(gè)完成的，而我們的產(chǎn)品是一次通過(guò)的，單一檢測(cè)技術(shù)是我們的核心競(jìng)爭(zhēng)力。當(dāng)你對(duì)機(jī)密信息進(jìn)行內(nèi)容檢測(cè)時(shí)，你知道這個(gè)內(nèi)容是由什么應(yīng)用哪位用戶產(chǎn)生的。別的產(chǎn)品都不是高度集成的。我們的產(chǎn)品對(duì)于網(wǎng)絡(luò)流量只做一次掃描，而不像其他產(chǎn)品一樣做幾次，很大的降低了延遲，提高了流量通過(guò)的速度。我們的硬件平臺(tái)分為數(shù)據(jù)處理平臺(tái)和管理平臺(tái)，這樣很大程度上提升了可靠性。尤其是我們將網(wǎng)絡(luò)流量，安全，以及內(nèi)容掃描分開(kāi)來(lái)做。通過(guò)NP和SP等專(zhuān)用處理芯片來(lái)進(jìn)行數(shù)據(jù)平臺(tái)的處理，在分析和應(yīng)用識(shí)別以及調(diào)度方面充分發(fā)揮Intel處理器的專(zhuān)長(zhǎng)。這樣最大限度地發(fā)揮硬件性能。

筆者：您認(rèn)為NGFW的發(fā)展方向會(huì)怎樣?

Chris：我認(rèn)為未來(lái)是將NGFW使用到更多的地方。防火墻一開(kāi)始部署在互聯(lián)網(wǎng)網(wǎng)關(guān)，然后一步步擴(kuò)展到分支機(jī)構(gòu)和數(shù)據(jù)中心等地方。我們的發(fā)展也是遵循這個(gè)路線。我2007年加入公司，那段時(shí)間我們只把我們的產(chǎn)品應(yīng)用在網(wǎng)關(guān)處。我們保護(hù)終端用戶的安全，尤其是防御對(duì)于各種應(yīng)用帶來(lái)的威脅?，F(xiàn)在我們的設(shè)備已經(jīng)部署在了數(shù)據(jù)中心，并且還在企業(yè)中用來(lái)保護(hù)移動(dòng)設(shè)備的安全。因此，NGFW的發(fā)展方向?qū)⑹窃诟鱾€(gè)節(jié)點(diǎn)上取代傳統(tǒng)防火墻。

筆者：NGFW是否已經(jīng)成熟到可以在數(shù)據(jù)中心部署了呢?

Chris：世界范圍內(nèi)我們有11,000家數(shù)據(jù)中心用戶使用我們的產(chǎn)品來(lái)保護(hù)數(shù)據(jù)中心安全。我們的PA-5000系列產(chǎn)品在企業(yè)級(jí)和數(shù)據(jù)中心市場(chǎng)上是很成功的。最高級(jí)別的設(shè)備具備20Gbps的吞吐，已經(jīng)滿足一般數(shù)據(jù)中心的使用。

筆者：什么樣的NGFW可以被稱為真正意義上的NGFW?

Chris：當(dāng)我和客戶進(jìn)行溝通的時(shí)候，發(fā)現(xiàn)用戶還是處于一個(gè)學(xué)習(xí)的過(guò)程。舉個(gè)例子，在數(shù)據(jù)中心環(huán)境，用戶表示，他們知道數(shù)據(jù)中心內(nèi)部運(yùn)行著什么應(yīng)用程序，然而，很多用戶都忘記了用來(lái)管理數(shù)據(jù)中心業(yè)務(wù)的一些應(yīng)用，比如系統(tǒng)管理工具，備份和恢復(fù)軟件，SSH,FTP等等。當(dāng)問(wèn)及這些應(yīng)用的時(shí)候，客戶會(huì)恍然大悟說(shuō)忘記考慮這些應(yīng)用了。所以，當(dāng)NGFW用在數(shù)據(jù)中心環(huán)境時(shí)候，不是僅僅控制那些常規(guī)的共享應(yīng)用，或者一些生產(chǎn)應(yīng)用，而且還會(huì)控制一些管理應(yīng)用，比如我允許SSH，但是只把權(quán)限開(kāi)放給IT管理人員，或者負(fù)責(zé)管理設(shè)備的部門(mén)。

筆者：應(yīng)用層識(shí)別是否應(yīng)該是默認(rèn)打開(kāi)的?

Chris：這正是我們產(chǎn)品的樣子，我們出場(chǎng)的時(shí)候都是所有端口上應(yīng)用識(shí)別默認(rèn)打開(kāi)的。沒(méi)有基于安全考慮的理由去關(guān)閉應(yīng)用層識(shí)別。每一次關(guān)閉應(yīng)用層識(shí)別功能，安全性就會(huì)降低。公平地說(shuō)，你可以創(chuàng)建傳統(tǒng)防火墻的規(guī)則，我們大多數(shù)的客戶都知道可以關(guān)閉應(yīng)用識(shí)別功能，但是他們并沒(méi)有那么做。

筆者：如何平衡互聯(lián)網(wǎng)發(fā)展速度與開(kāi)發(fā)周期?

Chris：兩件事需要考慮。由于互聯(lián)網(wǎng)的發(fā)展速度非常快，所以對(duì)于我們的研發(fā)團(tuán)隊(duì)要求很高。我們專(zhuān)注研發(fā)App-ID的團(tuán)隊(duì)，時(shí)刻監(jiān)視著網(wǎng)絡(luò)上最新的應(yīng)用，以及與客戶聯(lián)系，希望可以用戶可以將自己開(kāi)發(fā)的應(yīng)用也呈報(bào)給我們。幸運(yùn)的是，底層的變化不是很快，所以讓我們硬件的研發(fā)有時(shí)間追趕最新的技術(shù)，提供高效并且非常穩(wěn)定的硬件平臺(tái)。我們做軟件層面的研發(fā)團(tuán)隊(duì)也專(zhuān)注于APP-ID的研發(fā)，并且速度很快，得益于我們?cè)谘邪l(fā)上的大力度投入。最新的財(cái)報(bào)顯示，我們有20%的人力(969人)是研發(fā)人員，并且研發(fā)資金的投入占總收入的16%。

筆者：貴公司的產(chǎn)品在NSSLabsSVM表現(xiàn)并不好，怎么回事?

Chris：我認(rèn)為NSSLabs主要測(cè)試狀態(tài)檢測(cè)防火墻和IPS。如果你看看他們?cè)趺礈y(cè)應(yīng)用層的，可以看看他們的測(cè)試方法，用戶和應(yīng)用測(cè)試只有一頁(yè)。他們對(duì)于每個(gè)廠商提供的產(chǎn)品測(cè)出來(lái)應(yīng)用防護(hù)都是100%。不可否認(rèn)他們?cè)跔顟B(tài)檢測(cè)防火墻和IPS測(cè)試上的專(zhuān)業(yè)性。我也認(rèn)為他們?cè)贜GFW的測(cè)試上很優(yōu)秀，我們認(rèn)為應(yīng)用的測(cè)試應(yīng)該專(zhuān)注于通過(guò)所有端口的所有應(yīng)用。我們與他們合作很多，而他們也確實(shí)很優(yōu)秀，但是需要注意的是，他們著名的原因是在IPS測(cè)試上的成績(jī)。在與他們的溝通中，我們發(fā)現(xiàn)他們?cè)贜GFW特性的測(cè)試范圍很有限，更多地還是關(guān)注于傳統(tǒng)狀態(tài)檢測(cè)防火墻和IPS的功能。當(dāng)你看UTM的時(shí)候，你會(huì)知道UTM是在為了讓網(wǎng)絡(luò)安全更便宜而做努力，然而我們的NGFW是為了讓網(wǎng)絡(luò)安全更好，更健壯，所以我們的價(jià)格會(huì)有些高。盡管價(jià)格是客戶采購(gòu)時(shí)需要考慮的，但不是重點(diǎn)。在我們的角度講，安全和性能是首要考慮的問(wèn)題，價(jià)格次之。然而其他的廠商把價(jià)格放在了首位。

筆者：PA成長(zhǎng)如此快速的原因是什么?

Chris：原因是我想我們擁有一些特殊的且唯一的東西，還有我們?cè)诎踩I(lǐng)域所作出的很多努力，并且客戶看到了這些東西的價(jià)值。他們擁有了對(duì)于網(wǎng)絡(luò)流量可視的能力，這個(gè)能力是他們以前沒(méi)有的，并且他們可以控制那些流量，這也是他們以前所不能的。另外一個(gè)原因我想是我們非常以客戶為中心，以客戶需求為導(dǎo)向。我們很樂(lè)意去解決客戶們遇到的安全問(wèn)題，在Gartner最新的企業(yè)級(jí)防火墻MQ中可以看到Gartner對(duì)我們的評(píng)價(jià)，我們擁有一大群忠實(shí)且充滿熱情的客戶。所以我向我們成長(zhǎng)快速的原因就是兩點(diǎn)，極大的研發(fā)投入和客戶為導(dǎo)向的服務(wù)。

筆者：PaloAlto起初的兩年是不是很艱苦?畢竟用新產(chǎn)品改變客戶固有的思想是很難的事情。

Chris：回溯到2007年我加入公司的時(shí)候，公司非常非常艱難去開(kāi)發(fā)客戶，現(xiàn)在是很容易做了。當(dāng)我加入公司的時(shí)候，可能都不到11個(gè)客戶，但是現(xiàn)在我們有11,000客戶。6年的時(shí)間，PA的用戶數(shù)量增加了1000倍。最近一年來(lái)，每個(gè)季度PA的用戶數(shù)量都增加至少1000。

筆者：您對(duì)Gartner將一些UTM產(chǎn)品劃分為NGFW有什么看法?

Chris：誠(chéng)實(shí)得說(shuō)，Gartner企業(yè)防火墻魔力象限中的產(chǎn)品指的是網(wǎng)絡(luò)防火墻，并沒(méi)有特指是下一代防火墻。Gartner還是認(rèn)為UTM和NGFW有很大的區(qū)別。他們認(rèn)為UTM缺乏整合性，更適合于中小企業(yè)或者價(jià)格敏感的地點(diǎn)。NGFW則是更高的整合性，更適合大企業(yè)的解決方案。我們認(rèn)為，UTM還是為了價(jià)格因素在致力于將大量的功能放進(jìn)一個(gè)盒子中。這一點(diǎn)來(lái)說(shuō)UTM很難聲稱為NGFW。我們并不是盡可能往一個(gè)盒子里多放功能，我們是對(duì)防火墻進(jìn)行創(chuàng)新。即使有人說(shuō)UTM可以被用來(lái)當(dāng)做NGFW來(lái)使用，但是我不那么認(rèn)為。而NGFW也不見(jiàn)得可以替代UTM，得看看UTM干了什么事，比如我們不做反垃圾郵件，不做防釣魚(yú)等等。有很多網(wǎng)絡(luò)安全的事情我們都沒(méi)有做。我們做的是重新創(chuàng)造了你在網(wǎng)絡(luò)安全中需要的東西，不是將你知道的所有功能放在一個(gè)盒子里。

筆者：為什么不把反垃圾郵件什么的功能集成到你們的NGFW中?

Chris:你可以看看我們所做的事情，我們專(zhuān)注于做的產(chǎn)品是提供高安全性和高性能。你不需要快速的反垃圾郵件或者郵件保護(hù)什么的功能，我們只專(zhuān)注于難以解決的問(wèn)題。

筆者：安全網(wǎng)關(guān)的未來(lái)發(fā)展趨勢(shì)是All-in-one嗎?

Chris:這個(gè)目標(biāo)并不能說(shuō)錯(cuò)。只是現(xiàn)在很多的防火墻和UTM廠商，他們不愿意重新來(lái)過(guò)。而我們進(jìn)入市場(chǎng)的時(shí)候是從零開(kāi)始的。所以我們創(chuàng)造一種新的以應(yīng)用，用戶和內(nèi)容為主體代替狀態(tài)檢測(cè)的防火墻的產(chǎn)品，我們沒(méi)有歷史包袱。如果我們?cè)?007年開(kāi)始做的時(shí)候也是做狀態(tài)檢測(cè)防火墻，那我們不會(huì)有現(xiàn)在這樣的成功。我們不得不做一些不一樣而且更好的東西。