Palo Alto和SonicWall推出了适合分支机构价格的下一代防火墙。
Palo Alto这周发布PA-200,它是价值2000美金,具有100Mbps吞吐量的下一代防火墙。SonicWall上周发布了2款针对分支机构的下一代防火墙:NSA220和NSA250M,它们的起始价格分别是1095美金和1495美金。下一代防火墙所包含的应用智能和控制功能在SonicWall设备上是可选的,它需要额外的授权费,但这在发布会中没有详细说明。使用下一代防火墙模式,SonicWall设备大概可以达到110Mbps的速度。
传统的状态防火墙检验端口和协议是为了判断,例如是否经过TCP 80端口的流量确实是合法的HTTP流量。下一代防火墙超越了端口和协议安全的做法,应用深层报文检测来识别用HTTP协议的请求和用80端口接入的应用程序。这项功能在今天尤为重要,特别是当企业的应用程序愈来愈多的基于网页,而且客户网页应用程序可以在企业中合法使用。
根据ZK Research首席分析员Zeus Kerravala所言,今天企业正在它们的中心位置部署大型且昂贵的下一代防火墙。为了使它们的分支机构能够感知应用安全,企业为了检测要么回程分支机构网络流量到中央防火墙,要么在分支机构部署轻量级安全设备,比如统一威胁管理设备。
而在分支机构直接部署下一代防火墙,企业可以将广域网的安全问题降入分支机构,节省回程流量消耗的带宽。
Kerravala说:“其实没必要在核心跑所有因特网流量,但是如果你转到一个分离的隧道模式,并且希望分支机构的用户能直接访问因特网,那么和核心位置一样,你需要在分支机构使用相同的应用感知防火墙。想要分支机构的下一代防火墙价格便宜,并且吞吐量尽可能高。显然你的分支机构的技术不能昂贵到超过了回程因特网流量的费用。”
根据信息技术总监Michael Giorgio介绍:“ SonicWall客户Connex信用合作社使用中央SonicWall NSA 3500 统一威胁管理防火墙,将流量从银行分支回程到网络核心。从用户的观点看,我更愿意把流量分散,它可以减轻网络的负荷,通过取消回程流量到WAN上的hub,每个分支机构的下一代防火墙可以减少分支机构的WAN链路。”
分支机构下一代防火墙功能:选择还是必须?
Current Analysis研究总监Andrew Braunberg说:“这仍然有待观察,我们不知道分部很多的企业,它们对下一代防火墙应用智能技术有多大需求。在分支机构使用状态防火墙很不明智。但是小型分支机构可能不需要下一代防火墙的精细应用控制功能。如果你想在每个设备上安装这个功能,它会在哪里开启,会到什么程度?你知道一旦你开启了额外的深层报文检测,你会进行性能检测。我认为分支机构会使用该功能,但是我好奇它的使用情况以及使用方式。”
如果将来证实确有必要,他相信许多企业将部署SonicWall设备,因为将来状态防火墙可以升级为下一代防火墙。
Palo Alto产品市场总监Chris King 提到,Palo Alto的PA-200“天生”就可以在下一代防火墙模式中工作。PA-200根据对应用程序的识别来决定允许或拒绝流量。他提到了其他厂家,也包括SonicWall在内,是根据端口来决定的。他们在流量中应用一个单独的深层报文检测引擎来识别应用程序,做出不同的策略决定。哪种做法更优现在还无定论。