【IT168 评论】本文为网界网专访Palo Alto Networks产品及市场总监Chris King采访纪实。

　　虽然下一代防火墙已经在中华大地上开满希望之花，但是对于这个概念的缔造者之一以及先驱者Palo Alto Networks却在国内很少有媒体提及。有鉴于此，网界网对Palo Alto Networks产品及市场总监Chris King进行了独家专访，为大家打开一扇通往这个著名又神秘的公司之门。

　　笔者：您认为NGFW和UTM的区别是什么?

　　Chris：UTM 和NGFW 最根本的区别在于他们解决问题的方式。UTM通过将已有的网络安全功能固化到一个盒子中，例如状态检测防火墙, IPS,AV, URL地址过滤，从而达到让网络安全更廉价的目的而设计。我们认为 NGFW的不同之处是在于我们不是将网络安全变得更价廉，而是将网络安全做的更好。我们并没有将很多的网络安全功能集成到一个盒子中，而是重新定义了防火墙应该有的核心特性。市面上所有的 UTM中的防火墙功能都是基于状态检测防火墙的。而状态检测是 check point在90 年代早期发明的。我们的防火墙的核心，不是状态检测，而是我们说的 App-ID。通过应用识别和用户识别取代以前的通过端口和 IP地址的识别来进行访问控制。

　　笔者：Palo Alto Networks是如何解决价格和产品之间的矛盾的?

　　Chris：我们的很多客户以前都是用UTM，现在都转过来用我们的产品了。他们选择我们的原因不是因为我们更便宜，而是他们更喜欢具有可视化和洞察力的对于网络流量的管理控制。UTM中的功能都是一个接一个完成的，而我们的产品是一次通过的，单一检测技术是我们的核心竞争力。当你对机密信息进行内容检测时，你知道这个内容是由什么应用哪位用户产生的。别的产品都不是高度集成的。我们的产品对于网络流量只做一次扫描，而不像其他产品一样做几次，很大的降低了延迟，提高了流量通过的速度。我们的硬件平台分为数据处理平台和管理平台，这样很大程度上提升了可靠性。尤其是我们将网络流量，安全，以及内容扫描分开来做。通过NP和SP等专用处理芯片来进行数据平台的处理，在分析和应用识别以及调度方面充分发挥Intel处理器的专长。这样最大限度地发挥硬件性能。

　　笔者：您认为NGFW的发展方向会怎样?

　　Chris：我认为未来是将NGFW使用到更多的地方。防火墙一开始部署在互联网网关，然后一步步扩展到分支机构和数据中心等地方。我们的发展也是遵循这个路线。我2007年加入公司，那段时间我们只把我们的产品应用在网关处。我们保护终端用户的安全，尤其是防御对于各种应用带来的威胁。现在我们的设备已经部署在了数据中心，并且还在企业中用来保护移动设备的安全。因此，NGFW的发展方向将是在各个节点上取代传统防火墙。

　　笔者：NGFW是否已经成熟到可以在数据中心部署了呢?

　　Chris：世界范围内我们有11,000家数据中心用户使用我们的产品来保护数据中心安全。我们的PA-5000系列产品在企业级和数据中心市场上是很成功的。较高级别的设备具备20Gbps的吞吐，已经满足一般数据中心的使用。

　　笔者：什么样的NGFW可以被称为真正意义上的NGFW?

　　Chris：当我和客户进行沟通的时候，发现用户还是处于一个学习的过程。举个例子，在数据中心环境，用户表示，他们知道数据中心内部运行着什么应用程序，然而，很多用户都忘记了用来管理数据中心业务的一些应用，比如系统管理工具，备份和恢复软件，SSH,FTP等等。当问及这些应用的时候，客户会恍然大悟说忘记考虑这些应用了。所以，当NGFW用在数据中心环境时候，不是仅仅控制那些常规的共享应用，或者一些生产应用，而且还会控制一些管理应用，比如我允许SSH，但是只把权限开放给IT管理人员，或者负责管理设备的部门。

　　笔者：应用层识别是否应该是默认打开的?

　　Chris：这正是我们产品的样子，我们出场的时候都是所有端口上应用识别默认打开的。没有基于安全考虑的理由去关闭应用层识别。每一次关闭应用层识别功能，安全性就会降低。公平地说，你可以创建传统防火墙的规则，我们大多数的客户都知道可以关闭应用识别功能，但是他们并没有那么做。

　　笔者：如何平衡互联网发展速度与开发周期?

　　Chris：两件事需要考虑。由于互联网的发展速度非常快，所以对于我们的研发团队要求很高。我们专注研发App-ID的团队，时刻监视着网络上最新的应用，以及与客户联系，希望可以用户可以将自己开发的应用也呈报给我们。幸运的是，底层的变化不是很快，所以让我们硬件的研发有时间追赶最新的技术，提供高效并且非常稳定的硬件平台。我们做软件层面的研发团队也专注于APP-ID的研发，并且速度很快，得益于我们在研发上的大力度投入。最新的财报显示，我们有20%的人力(969人)是研发人员，并且研发资金的投入占总收入的16%。

　　笔者：贵公司的产品在NSS Labs SVM 表现并不好，怎么回事?

　　Chris：我认为NSS Labs主要测试状态检测防火墙和IPS。如果你看看他们怎么测应用层的，可以看看他们的测试方法，用户和应用测试只有一页。他们对于每个厂商提供的产品测出来应用防护都是100%。不可否认他们在状态检测防火墙和IPS测试上的专业性。我也认为他们在NGFW的测试上很优秀，我们认为应用的测试应该专注于通过所有端口的所有应用。我们与他们合作很多，而他们也确实很优秀，但是需要注意的是，他们著名的原因是在IPS测试上的成绩。在与他们的沟通中，我们发现他们在NGFW特性的测试范围很有限，更多地还是关注于传统状态检测防火墙和IPS的功能。当你看UTM的时候，你会知道UTM是在为了让网络安全更便宜而做努力，然而我们的NGFW是为了让网络安全更好，更健壮，所以我们的价格会有些高。尽管价格是客户采购时需要考虑的，但不是重点。在我们的角度讲，安全和性能是首要考虑的问题，价格次之。然而其他的厂商把价格放在了首位。

　　笔者：PA成长如此快速的原因是什么?

　　Chris：原因是我想我们拥有一些特殊的且唯一的东西，还有我们在安全领域所作出的很多努力，并且客户看到了这些东西的价值。他们拥有了对于网络流量可视的能力，这个能力是他们以前没有的，并且他们可以控制那些流量，这也是他们以前所不能的。另外一个原因我想是我们非常以客户为中心，以客户需求为导向。我们很乐意去解决客户们遇到的安全问题，在Gartner 最新的企业级防火墙MQ中可以看到Gartner对我们的评价，我们拥有一大群忠实且充满热情的客户。所以我向我们成长快速的原因就是两点，极大的研发投入和客户为导向的服务。

　　笔者：Palo Alto起初的两年是不是很艰苦?毕竟用新产品改变客户固有的思想是很难的事情。

　　Chris：回溯到2007年我加入公司的时候，公司非常非常艰难去开发客户，现在是很容易做了。当我加入公司的时候，可能都不到11个客户，但是现在我们有11,000客户。6年的时间，PA的用户数量增加了1000倍。最近一年来，每个季度PA的用户数量都增加至少1000。

　　笔者：您对Gartner将一些UTM产品划分为NGFW有什么看法?

　　Chris：诚实得说，Gartner 企业防火墙魔力象限中的产品指的是网络防火墙，并没有特指是下一代防火墙。Gartner还是认为UTM和NGFW有很大的区别。他们认为UTM缺乏整合性，更适合于中小企业或者价格敏感的地点。NGFW则是更高的整合性，更适合大企业的解决方案。我们认为，UTM还是为了价格因素在致力于将大量的功能放进一个盒子中。这一点来说UTM很难声称为NGFW。我们并不是尽可能往一个盒子里多放功能，我们是对防火墙进行创新。即使有人说UTM可以被用来当做NGFW来使用，但是我不那么认为。而NGFW也不见得可以替代UTM，得看看UTM干了什么事，比如我们不做反垃圾邮件，不做防钓鱼等等。有很多网络安全的事情我们都没有做。我们做的是重新创造了你在网络安全中需要的东西，不是将你知道的所有功能放在一个盒子里。

　　笔者：为什么不把反垃圾邮件什么的功能集成到你们的NGFW中?

　　Chris: 你可以看看我们所做的事情，我们专注于做的产品是提供高安全性和高性能。你不需要快速的反垃圾邮件或者邮件保护什么的功能，我们只专注于难以解决的问题。

　　笔者：安全网关的未来发展趋势是All-in-one吗?

　　Chris: 这个目标并不能说错。只是现在很多的防火墙和UTM厂商，他们不愿意重新来过。而我们进入市场的时候是从零开始的。所以我们创造一种新的以应用，用户和内容为主体代替状态检测的防火墙的产品，我们没有历史包袱。如果我们在2007年开始做的时候也是做状态检测防火墙，那我们不会有现在这样的成功。我们不得不做一些不一样而且更好的东西。