如何购买防火墙

　　如何购买防火墙

　　下一代防火墙：自动化、处理能力和未来功能路线图是企业购买的关键考虑因素。几十年来，企业防火墙一直是典型的安全设备，在外围站岗，检查所有入站和出站流量是否存在恶意软件。那么，随着边界的消失，防火墙会发生什么?他们进化。今天的防火墙是企业安全难题的重要组成部分。它们已成为安全供应商在其上堆叠其所有高级功能的基础设备。基于云的下一代防火墙(防火墙即服务)是任何安全访问服务边缘 (SASE)部署的核心组件。在家工作的员工的VPN远程访问通常在防火墙处终止。防火墙在零信任网络访问 (ZTNA)中发挥着关键作用，充当执行访问控制策略和网络分段规则的设备。要问的关键问题希望升级防火墙的网络高管应该提出这些问题。防火墙在性能、特性、自动化和管理方面的基本功能水平如何?防火墙的功能和外形与业务用例的匹配程度如何?是否有硬件、软件、虚拟化和防火墙即服务 (FWaaS) 选项来适应物联网流量、多云环境以及由虚拟化或容器化应用程序生成的内部(东西向)流量?供应商的平台与组织的更广泛的安全性、IT 和 OT 运营的融合程度如何?SASE、零信任以及安全功能不可阻挡地向云迁移的供应商路线图是什么?

　　供应商格局保持相对稳定根据Dell'Oro Group的最新数据，防火墙市场在 2021 年第三季度以健康的 14% 增长，因为企业赶上了 2020 年之后的更新周期，这一年防火墙销售滞后，因为注意力被转移到大流行上.根据 Dell'Oro Group 研究总监 Mauricio Sanchez 的说法，市场份额领先者是 Palo Alto Networks，其次是 Cisco 和 Fortinet 位居第三。在没有透露确切数字的情况下，Dell'Oro 将 Palo Alto 的市场份额列为 20% 以上，其中 Cisco 和 Fortinet 为两位数，其他所有人均为个位数。

　　Forrester 最近的一份企业防火墙报告根据 20 项标准对供应商进行了评估，将 Cisco 和 Palo Alto Networks 列为领先者，Check Point、Fortinet、Juniper、Forcepoint、Sophos 和华为被列为“表现出色的公司”。

　　Gartner 最新的防火墙魔力象限将领导者确定为 Palo Alto、Fortinet 和 Check Point，而 Versa 和 Barracuda 被描述为有远见的人。

　　Sanchez 指出，企业防火墙市场非常成熟，传统玩家继续占据主导地位，而没有来自其他市场的颠覆性新人类型的明显竞争。

　　与此同时，供应商并没有坐以待毙。防火墙本身不断发展以应对新的安全挑战，它们将在未来许多年在企业安全中发挥至关重要的作用。表现防火墙必须具备执行在线深度数据包检测的能力，而不会成为降低应用程序性能的瓶颈，因此吞吐量是一项重要的衡量标准。供应商会声称拥有最快的防火墙或最佳的性价比，但至关重要的是进行您自己的试验或试点项目，将防火墙插入生产网络以查看它如何处理您的实际流量。在您的组织中，您不希望的一件事是 IT 专业人员在压力下保持网络性能关闭关键防火墙安全功能以减少它们可能导致的延迟。

　　因此，请务必将您正在考虑的防火墙放在一边。使用带宽最密集的应用程序运行它，开启加密，使用不同的数据包大小、协议和流量类型。一项一项，开启附加功能，衡量对吞吐量的影响。关键指标包括：应用程序吞吐量;每秒连接数;IPv4 和 IPv6 流量的最大会话数;和 SSL/TLS 性能。基本功能和外形尺寸今天的防火墙挤满了附加功能，包括威胁情报、应用程序控制、IDS、IPS、防病毒、反恶意软件、沙盒、URL 过滤、SSL 流量检查等等。如果您已经拥有执行其中一些功能的单点产品，则需要决定是否拔掉您现有的 IPS 或防病毒工具的插件，并将这些功能整合到一个设备中。

　　捆绑的优点是易于使用、降低复杂性以及单一供应商方法带来的整合管理。缺点是您可能无法获得最佳性能，并且您依赖防火墙供应商拥有资源和技术来继续升级所有这些功能。

　　另一个关键考虑因素是防火墙与SD-WAN的集成程度，这正在成为将流量从分支机构直接发送到云的流行选择，而不是回程到集中式数据中心。企业的趋势是用包含安全和路由功能的单个 SD-WAN 设备替换单独的分支机构路由器和分支机构防火墙。

　　大多数防火墙供应商已经收购了 SD-WAN 初创公司，以提供单机分支机构设备，但客户应该在防火墙功能和 WAN 优化之间的集成级别上向他们施压。

　　由于用例的复杂性和多样性，外形因素(硬件、软件、虚拟)也是一个关键考虑因素。您需要能够处理数据中心的高容量工作负载的重型防火墙;可部署在边缘和分支机构的轻量级防火墙;以及适用于恶劣环境的加固防火墙(如果适用)。虚拟化防火墙(也称为云防火墙)在公共和私有云环境、软件定义网络 ( SDN ) 或 SD-WAN 中发挥作用。高级功能潜在买家还应该询问一些高级功能：人工智能/机器学习：供应商开始在他们的防火墙中使用人工智能和机器学习，以嗅探零日攻击，更有效地检查物联网设备可以产生的大量流量，更好地自动化防火墙功能，并分析网络流量，以便为改进访问控制策略等事情提供可行的建议。

　　端点安全：当流量到达网络时，防火墙会检查源自端点设备的流量，但首先要保护端点设备免受攻击呢?客户应该询问防火墙供应商是否有端点安全故事，无论是通过自己的设备还是通过与领先的端点保护公司的合作关系。容器：如果您的组织在云中运行容器化应用程序或计划部署容器，请务必确定供应商的防火墙是否具有涵盖容器化应用程序的虚拟化或 FWaaS 选项。

　　管理一劳永逸的防火墙规则的日子已经一去不复返了。当今的安全和网络专业人员需要能够通过单个基于云的仪表板进行部署、配置、监控和管理的防火墙，无论它们部署在何处(本地、云、边缘)。管理功能应使 IT 人员能够保持规则和策略为最新，动态更改配置，并具有无处不在的可见性，包括基于 SaaS 的应用程序、物联网设备，甚至 OT 环境，其中诸如通过建筑物访问双因素身份验证或生物识别技术正在成为整个安全基础设施的一部分。

　　自动化在防火墙管理中起着关键作用。潜在购买者应询问各种任务和流程的自动化水平。其中包括日常工作流程、变更管理流程和更新的自动化，这些在手动执行时通常会导致配置错误。企业环境非常不稳定，因此有效的管理系统必须采用自动化来在整个网络中动态部署策略更改。

　　此外，管理系统需要监控网络以确保执行策略。例如，在制造场景中，OT 员工可能会将机器及其物联网传感器从一个位置移动到另一个位置。管理系统应该能够识别物联网设备现在位于不同的网段，并且应该能够自动确保防火墙策略规则遵循设备。

　　防火墙最关键的工作是防止攻击。这就是自动化可以发挥关键作用的地方，它比人类更快地识别威胁，然后以主动的方式响应威胁，无需人工干预即可有效消除威胁。

　　自动化系统可以发现最小的异常并采取适当的措施，例如隔离设备，以便在进行调查以确定攻击类型和适当的对策时攻击不会传播。

　　管理平台不仅需要执行数百条防火墙规则，还需要执行更广泛的安全策略，例如链接到 Active Directory 或其他身份和访问管理方案的网络分段或访问控制。展望未来：平台、路线图和云每个领先的防火墙供应商都有一个广泛的平台，其中包括通过一个仪表板管理的多个安全产品，最好是基于云的。但并非所有单个产品都处于同一成熟度水平。对于最近进行收购以填补其投资组合或在其产品线集成中仍有漏洞的供应商而言，这成为潜在买家应该询问的问题。SASE：如果您的公司正在考虑转向安全访问服务边缘，请务必让供应商描述其路线图，因为目前很少有供应商(如果有的话)拥有完整的 SASE 功能套件。根据 Gartner 的定义，SASE 部署包括 SD-WAN、安全 Web 网关、云访问安全代理、防火墙即服务和零信任网络访问。

　　“到 2024 年，超过 70% 的 SD-WAN 客户将实施 SASE 架构，而 2021 年这一比例为 40%，”Gartner 表示。因此，预计大多数组织将在未来几年开始他们的 SASE 之旅，选择具有明确 SASE 愿景的防火墙供应商是一个关键决定。

　　ZTNA：根据 Forrester 的“零信任实施实用指南”，零信任已成为“安全供应商社区的主流趋势”，该指南将零信任描述为“将安全从面向网络的概念和架构框架，基于边界的安全模型转变为基于持续信任验证的安全模型。”

　　那么，古老的防火墙在哪里适合这个零信任的未来呢?Forrester 说：“下一代防火墙是零信任的典型代表，如今它甚至更好。”

　　得益于先进的芯片组，防火墙设备现在可以拥有解密和检查流量的处理能力，而不会降低网络速度。此外，虚拟化防火墙的用例变得越来越普遍，例如检查云中的应用程序流量。

　　零信任策略的其他组成部分包括微分段以及身份和访问管理。防火墙可以强制执行这些策略，因此购买防火墙的组织应该要求供应商说明他们的零信任路线图。

　　FWaaS：过去几年的趋势是企业防火墙随着新功能的加入而变得越来越胖。但 Dell'Oro 的桑切斯表示，这正在达到一个拐点。他预测防火墙功能将以 FWaaS 的形式缓慢而稳定地迁移到云端。

　　与基于设备的防火墙相比，FWaaS 提供了多项优势，类似于 SaaS 相对于本地应用程序提供的优势。FWaaS 提供了一个资源池，可以提供无法通过本地硬件复制的即时可扩展性类型(纵向扩展和缩减)。

　　FWaaS 使公司能够最终放弃他们的 MPLS 网络并将所有流量引导到云中，在那里可以在所有流量类型中一致地实施安全策略。FWaaS 还提供快速、灵活的部署。

　　从广义上看，随着网络防御战略的发展，企业需要规划他们的防火墙将如何适应时间。Sanchez 总结道：“防火墙并没有消失，但它们正在改变和发展以应对新的用例。” 客户应确保询问防火墙供应商：“防火墙如何融入企业迈向更加以云为中心的世界的长期旅程?”