| 出版日期:1997-10-27 总期号:681 本年期号:41 |
|
 |
防火墙市场纵横谈
防火墙供应商们都想尽快在激烈的市场竞争中脱颖而出。但是很不幸,他们的产品却越来越相像。在interop'96期间,防火墙厂商们又宣布了一些防火墙新特性,其中包括向nt的移植以及新增的加密ip栈。根据这些新情况,我们在这里给防火墙厂商重新排了座次。bnt和securecomputing的合并是未来4年防火墙厂商合并潮起的信号。 一、防火墙市场走势分析 防火墙是一种很特别的网络产品,哪个企业都需要,但不需要很多。很多程序员对建造防火墙所需要的工具(如unix、tcp/ip、ftp和telnet)都很熟悉,所以对感兴趣的厂商来说,开发出产品,切入防火墙市场也不困难。目前,防火墙市场上产品众多,防火墙厂商的任务已从产品开发转向产品升级和维护。一个防火墙厂商能否在激烈的竞争中脱颖而出,这要看它能否成功地把触角延伸到相关的安全领域,培养出数目庞大的用户群。为了尽快吸引更多用户,防火墙厂商都在使尽浑身解数向防火墙中补充新鲜玩意。但这些“新玩意”很少能申请到专利,它们很容易被竞争对手仿效,这对供应商来说很不幸,但对用户却是好消息。防火墙产品最初瞄准的是用户看重的系统安全强度和易用性。但是今天,情况已有了很大变化。这里,我们将研究防火墙技术的当前状况和未来走势,并分析它们对用户的影响。 易用性 防火墙厂商,特别是那些在unix和安全领域具有深厚背景的厂商,都渴望吸引那些具有深厚pc背景的企业。典型的unix接口使用x-servers作图形设备,用motif作窗口系统。但对于典型的microsoft企业来说,他们通常并不认为这种环境“容易使用”(这更多地是由于unix恐惧症,而非产品本身的问题)。此外,那些使用来自多个厂商的多种防火墙产品的企业,由于环境复杂导致的易用性问题已经遇到了麻烦,或者被局限于供应商的专有技术,或者仅能享受有限的安全性。有些目光敏锐的防火墙厂商已经意识到把万维网浏览器和shttp(securehypertexttransferprotocol)或ssl(securesocketslayer)结合起来配置防火墙的潜力。该技术的优点是客户可以和管理工作站之间建立起安全会话,管理工作站可以是win3.11、windowsforworkgroup、windowsnt、macintosh或unix。此外,该技术还可以很方便地利用多重基于令牌的鉴别系统,在无需修改管理工作站的情况下,提高鉴别和访问控制的安全强度。管理工作站可以是任何支持ssl或shttp的浏览器。该技术于1994年首次出现在sataninternetscanner中。该技术的主要缺点是防火墙必须支持http服务器,并且http服务器配置的安全性必须得到保证。最早的satan潜藏着一些安全缺陷。安全 缺陷对satan来说只是尴尬,而它的直接后果却使防火墙形同虚设。我们估计,到1999年底,多数防火墙将支持这种接口/管理技术(概率0.8)。早期用户至少应该避免在最初的6个月内把这类产品应用于重要环境中。 安全性 防火墙被穿透的主要原因一般都是因为防火墙配置不当引起的。如果防火墙配置不当,那么攻击者就有可能在企业内部系统或者防火墙上建立起攻击的滩头堡。防火墙管理的简便性可以降低配置错误的可能性。尽管如此,在大量的配置选项变化或软件升级时,配置错误仍有可能发生。企业的内部网安全不应依赖于单一的安全策略。深度安全要求采用复合型安全策略(“深度安全”指利用多种相互独立的安全技术交织成一个“安全网”。即使一道防线被突破,其他的安全防线仍能对系统起到一定的保护作用。为了提高防火墙产品的安全强度,供应商通常采用加强操作系统平台的安全强度的办法,而加固操作系统则需要防火墙厂商能搞到操作系统的源代码(microsoft不对其他厂商提供windowsnt的源代码)。操作系统加固采用的技术通常有防止ip数据包穿越操作系统内核和利用操作系统内部的访问控制机制。近来,有些厂商已经开始采用基于rom的文件系统和利用内核的控制机制进行限制,使系统仅从只读文件系统读入可执行文件)。 1998年后的发展预测 随着防火墙厂商对用户-网络加密系统互操作性的提高,密钥验证问题变得更加重要。如果仅有数目不多的用户通过因特网访问企业内部资源,那么密钥管理可以用手工实现。但如果需要访问企业内部资源的因特网用户比较多,那么这就是对企业信息安全主管的一个挑战。我们估计,到1999年或者2000年,广大用户将能够通过基于浏览器的通用用户接口管理身份鉴别、防火墙和函件扫描器(概率0.85)。 二、防火墙厂商新座次 在interop'96和我们的因特网与电子商业(internet&electroniccommerce)大会期间,许多防火墙供应商都亮出了新法宝。其中最注目的是向nt的移植和新增的用来保证从不可信的因特网访问可信的私有网络安全的加密ip栈。向nt的移植增加了防火墙产品所支持的平台种类。我们认为,nt作为防火墙平台仍然未经过黑客攻击的彻底检验,虽然如此,把它用于在出现安全漏洞时不致造成灾难性后果的环境还是不成问题的。因为防火墙的主要目的是访问控制,而且我们客户的经验表明,防火墙的性能通常也并非瓶颈,因此,我们给防火墙厂商排座次时,并未把性能放到最突出的位置(参看图)。 checkpoint checkpoint已推出了基于nt的firewall-1,该版本把加密ip栈与ftp软件和sunmicrosystems的一个新的极低端产品(firewallfirst)结合了起来。firewall-1的用户已愈3000家。有了这些家底,checkpoint更加雄心勃勃。低档的firewallfirst产品面向刚开始使用互连网的企业。nt环境下的firewall-1把目标瞄准与microsoft体系结构渊源较深的企业,并有限支持基于unix的产品。在因特网上进行商业活动要求系统高度安全,所以checkpoint只有强化firewall-1所基于的操作系统平台的安全强度,才能更上层楼。 raptor raptor是第一个推出nt防火墙产品的厂商。raptor的用户数目大约已有300家,估计1996财年很有可能达到1300家。防火墙产品的用户数目是否足够多至关重要。我们认为,一个厂商至少拥有300家用户时才能收到足够多的反馈,以保证其产品安全的高质量。raptor在引入加密ip栈等新一代技术和向nt进军等方面捷足先登。此外,raptor现已经着手开发用来帮助管理员监测网络故障的安全“可视化器”。随着私有网络互连和与因特网连接的增多,安全管理的复杂度将逐步加大,安全可视化器的价值也将越能体现。我们认为,raptor在可视化方面的工作是一种长远投资,但并不急于在这方面渔利。可视化器的作用是否能够充分发挥,企业的使用经验极为重要。这种把防火墙日志中的数据转换成形象信息的技术难度较大,不太容易被其他厂商模仿。在防火墙所基于的操作系统的安全方面,raptor面临和checkpoint同样的问题———raptor防火墙运行在sun或hp操作系统之外,这对要求高度安全的场合是极其不利的。 securecomputing securecomputing的防火墙产品中亦新增了加密ip栈,这使其产品增色不少。该栈和raptor、checkpoint、v-one的类似,在防火墙边界上支持“信任环”。在所有的防火墙厂商中,securecomputing和harris拥有最安全的基础操作系统。这对因特网商业应用来说是个不小的优势。 harris harris产品最主要的改善在于用户界面。harriscyberguard是唯一一个基于b1安全级操作系统之上的防火墙产品。为降低成本,harris计划把它向intel平台移植。 三、防火墙厂商的合并潮起 1996年3月28日,securecomputing和bordernetworktechnology(bnt)达成协议,bnt并入securecomputing。这次收购交易额为1.9亿美元,以股票交换方式完成。在合并之前,bnt防火墙产品的年收入约300万美元。 尽管交易额之大有些令人吃惊,但对gartnergroup的客户来说,bnt和securecomputing的合并却不奇怪。早在1995年11月,我们在一篇文章中已经预料到防火墙厂商间的合并趋势。这里,我们将讨论这两家公司的合并对其客户的影响,并预测新公司的下一步行动以及可能对市场造成的影响。 bnt和securecomputing的合并事出有因。securecomputing的sidewinder瞄准的用户是对平台的顽健性比较关心的企业。除该产品之外,securecomputing还有lockout等安全产品,而且不久前它还为不可信网络对私有网络的访问增加了加密ip栈。securecomputing面临的挑战是如何吸引防火墙技术的大众用户。与对平台的顽健性要求较高的用户不同,大众用户需要的是性能较好、易于使用的保护机制。securecomputing需要一个接近大众用户的产品和销售渠道。bnt的市场面较宽,这对securecomputing的吸引力很大。对于securecomputing防火墙目前的用户来说,合并对他们的影响不大。这些用户对borderware可能并不感兴趣。securecomputing的用户对合并通过股票交换方式进行应该感到满意。为了和checkpoint software technologies、baptor systems及trusted information systems(tis)抗衡,securecomputing必须有足够的研究和开发投资,足够强大的合作伙伴和销售渠道。股票交易不会占用其巨额资金,这是其用户乐意看到的结果。以borderware用户群为依托,这可能为sidewinder防火墙和lockout的销售带来新的契机。 尽管securecomputing和border都有基于unix平台的防火墙,但两家公司的合并并不意味着它们产品的合并。防火墙市场的变化一日千里,投入人力物力合并两个产品也许有助于公司对产品的维护,但却不会带来新东西,这对用户没有吸引力。而且虽然这两个产品都基于unix,但合并并不容易,麻烦在于实现细节。合半时仅解决细节差异也许就要耗去他们几个月的时间,而且同一平台上的不同开发工具和环境更是一个问题。我们认为,精明的决策者决不会这么干,更高明的策略是对这两种产品分别升级。根据市场的需求趋势,两公司合并后将需要推出一个基于nt的防火墙产品。因为目标用户的相似性,基于nt的防火墙很有可能取代目前的borderware防火墙。 做因特网上的商业安全服务器生产比做保护私有网络的因特网防火墙生产更加有利可图。利用为数不多的控制点保护内部网络不受外来侵犯,这是防火墙的理论基础。用40个防火墙把内网连接到因特网肯定是个笨主意,但是,一个在因特网上开展业务的企业使用40个或更多个商业服务器却是很可能的。所以,防火墙厂商若想大幅增加收入,安全万维网服务器则是个不错的目标。因为防火墙厂商通常被视为网络安全专家,这对他们切入安全万维网服务器市场很有优势。安全万维网服务器要求操作系统平台的安全可靠。securecomputing和bnt已经意识到安全可靠的操作系统平台对防火墙的重要性。在众多的防火墙厂商中,仅harris和tis就已经拥有自己向安全万维网服务器进军的技术。我们认为,和仅提供防火墙产品的厂商相比,用户将更倾向于能够提供全线网络安全产品的厂商。以自己本身的优势为基础,加上border良好的销售渠道,securecomputing防火墙和其他安全产品可望会有长足发展。 四、结论 防火墙厂商们推出的产品在趋同。加密系统的互操作性在未来3年内将得到提高(概率0.9)。评价一种防火墙产品时应当看重的是防火墙的稳定性和它所支持的平台种类,而不应仅注意它某方面的特性。一个防火墙产品用户群的大小可以很好地体现其稳定性。防火墙是网络安全的重中之重。为了保证网络的高度安全,企业不应仅依赖于一家的产品,而应当利用多个厂商的多种防火墙产品组成安全保护网。securecomputing和bnc的合并仅仅是防火墙厂商之间合并大潮的前奏。合理的合并可以使造就的新公司提供更多的网络。 |
||||||||||||||||
