在20年前,Check Point公司推出了其第一款企业网络防火墙,这标志着防火墙发展的开始,到目前为止,防火墙已经保护了世界各地数以百万计的网络。
Check Point的FireWall-1亮相于1994年的NetWorld+Interop,当然,这并不是第一个网络防火墙。在互联网兴起时,防火墙就开始初具雏形。在20世纪80年代和90年代,企业和大学认为有必要创建一个外围网关障碍,来阻止不需要的IP流量。在那个时代,他们有时候会基于路由器或其他设备来打造自己的防火墙,直到后来供应商最终推出了防火墙产品,才让他们减少了这方面的工作。
现任Tenable Network Security公司首席安全官的Marcus Ranum被认为是最突出的早期商业防火墙创新者,因为他在1990年设计了DEC SEAL防火墙,并在Trusted Information Systems(TIS)公司致力于Gauntlet和TIS工具包。TIS由前NSA雇员Steve Walker在1983年创建,专注于高安全性的政府客户;该公司在1998年被卖给Network Associates(后来成为McAfee)。当然还有其他早期的努力,例如Raptor防火墙。但是Check Point的FireWall-1防火墙最终推动了大众市场的形成,不仅思科和瞻博网络等大型网络供应商都纷纷加入,WatchGuard等供应商也加入进来。
Check Point获得了广泛的关注,而TIS并没有。Ranum解释了为什么会这样的原因:“当时管理该TIS技术的代理防火墙需要应用程序协议的分析,还有设计网管系统,来解析、处理和过滤7层网络流量。这需要时间—产生代理的开发时间,以及防火墙的CPU进行分析的处理器时间。”当互联网泡沫开始时,Check Point开始飞速发展,因为他们不需要做任何7层网络分析,并且很容易编写规则来让流量通过。新的应用程序不断涌现出来,而Check Point能够快速响应,使他们的产品很快成为热销产品。他们背后还有Sun和Sun经销商渠道,Check Point防火墙当时迅速流行开来。
“状态监测很快速且容易,”英特尔安全部门首席技术官Scott Montgomery还记得那些日子,他表示Gauntlet防火墙仅应用在最高安全级别的网络。
Norwest Venture Partners公司Matt Howard表示,TIS工具包早期并没有得到广泛部署,因为它很难以维持代理防火墙。他当时帮助开发了Network Translation的PIX防火墙—随后被思科收购。
当时,“每个人都认为防火墙被灭亡,路由器将会接管防火墙。”但这并没有发生。基础设施供应商思科和瞻博网络肯定会在路由器和交换机中销售防火墙。
但Gartner估计,企业往往不会为其核心防火墙采购选择这种做法。尽管Check Point面临强大的竞争对手,他们仍然占据榜首,防火墙设备市场占22%的份额。根据咨询公司IDC的记录,思科可能略高于Check Point,为24.3%。
Check Point是“防火墙领域的中坚分子之一”,他们和思科在很长一段时间内都互为竞争对手,思科安全产品管理副总裁Scott Harrell表示,“他们是一个强大的竞争对手,我们在很多方面都看到他们。”
Gil Shwed是Check Point的联合创始人兼首席执行官,以色列高科技投资者Shlomo Kramer和副主席Marius Nacht帮助他共同建立了该公司。Shwed表示,他同意Ranum关于那个时代的很多观点。Shwed指出,Check Point的优势在于其状态检测引擎以及简单的图形界面。Check Point FireWall-1迎来了“拐点”,将“利基产品”变成“主流产品”。他补充说他认为Ranum是这个领域的公认的先驱。
Shwed表示,在创建Check Point之前,他自己对防火墙就产生了想法,当时他还在以色列军队,并忙着连接网络。
WatchGuard公司研究和战略主管Corey Nachreiner也认为Check Point的FireWall-1可以被视为“第一个真正的商业产品”。他指出,Check Point早期是基于软件的,而WatchGuard的早期Firebox则是硬件设备。
现在的防火墙已经不再是简单的基于端口的过滤和控制。它还可能包括入侵检测和保护系统(IPS)、防病毒或URL过滤,作为数据丢失防护设备等,还包括沙盒式的零日威胁检测。技术资源公司的安全分析师批评安全供应商在过去几年所做的事情,并敦促他们去涵盖更多方面,例如更高的吞吐量速度或更好的管理。
在研究公司IDC,安全产品研究主管Charles Kolodge为一类防火墙功能设备提出了“统一威胁管理”,这些设备通常被视为适合中小企业。而在Gartner公司,分析师Greg Young和Neil MacDonald在最近几年开始敦促网络防火墙供应商生产“应用感知”设备,能够通过对应用程序的细粒度知识建立访问和用户身份控制,还有IPS。
由首席技术官Nir Zuk在2005年创建的Palo Alto Networks公司在2007年推出了其下一代防火墙(NGFW)。这迫使思科、Check Point、英特安全事业部McAfee、Barracuda Networks和惠普都投身于下一代防火墙。
在这个过程中,见证Check Point开发早期防火墙的Zuk成为富有争议的领导者和创新者。在与Check Point管理层闹翻后,他在1999年成立了OneSecure,随后在2002年被NetScreen收购,在2004年被瞻博网络以40亿美元收购。
在Zuk离开瞻博网络创建Palo Alto后,瞻博网络提出了防火墙相关的专利侵权诉讼。双方对防火墙专利进行了激烈的争论,最终在今年5月份,他们达成了交叉许可协议,其中Palo Alto需要支付1.75亿美元的现金和股票。
虽然Zuk的一些前雇主会避开提到他的名字,Zuk还是得到了其他人的肯定。
Ranum表示:“他确实在Check Point、Netscreen(现在属于瞻博网络)和Palo Alto参与了很多设计工作,他有一支编程员团队,这些人现在几乎可以在梦中编程防火墙。”
与90年代初相比,这个世界已经发生了显著的变化,Ranum表示,“现在你可以购买可编程的单片交换处理器(例如Cavium Octeon),它可以在数据包速度进行7层网络分析,而这是我们在1991年不可能做到的。我认为这种趋势是对防火墙总是从7层网络开始的概念的一种拥护,而状态检测已经是15年之久的题外话。”
与此同时,防火墙市场已经迅速发展,Gartner称这个市场今年将会超过90亿美元。防火墙早就被用在外围,还有企业网络内部。但尽管如此,讽刺的是,现在云计算服务和移动设备的兴起,让人们开始质疑网络防火墙的作用。
IT和安全管理人员对于防火墙都有着自己的疑惑,特别是当网络流量必须被允许通过时。这些疑惑在2005年达到了最高潮,当时来自几个全球大型企业的安全专业人士聚集在Jericho论坛来表达他们对防火墙的不满。
他们的投诉的核心是,云计算服务、电子商务和移动的发展会让企业网络的外围消失。这个Jericho论坛由Paul Simmonds等安全专业人士组织,他曾在涂料和化学用品公司ICI工作,随后在AstraZeneca,他谈论到了防火墙的限制,并且非常希望出现以数据为中心的新方法。
Jericho论坛随后还开始发布立场文件,特别是Jericho论坛的“良好安全性十诫”对防火墙进行了抨击。“鉴于边界防火墙可能会继续提供基本的网络保护,单个系统和数据将需要保护自己,”该组织表示,“在一般情况下,在更靠近保护设备时,更容易保护资产。”
在持续的辩论中,Gartner并不赞同外围防火墙应该消失的说法。企业会继续购买更多防火墙。但Jericho论坛关于云计算服务和移动设备正给防火墙带来麻烦的基本概念,影响了很多公司。虚拟化网络以及未来软件定义网络正在给防火墙供应商带来挑战。
Check Point等供应商已经设计了基于软件的防火墙来用于亚马逊云计算服务EC2云服务,尽管亚马逊本身也提供防火墙服务。思科还没有这样做,但Harrell表示正在研究与其他云服务的工作。他承认的一个问题是,每种平台需要特定的防火墙架构,并且需要在即付即用的云服务模式中构建防火墙。他补充说,思科已经为在未来需要扩展的企业提供了防火墙托管服务。
虚拟防火墙的部署一直非常缓慢,Gartner预测称,到2016年,只有不到5%的企业将会在其数据中心部署全虚拟化的防火墙。Check Point的Shwed承认,在他看来,虚拟防火墙的部署似乎还没有开始腾飞。
Gartner分析师Greg Young在Gartner安全和风险管理峰会上指出,防火墙还不会灭亡。他指出,87亿美元的企业防火墙市场仍然是整个IT安全市场最大的细分市场。并且到年底这个数字将会上升到94亿美元,但对具体的事情还有很多异议。
特别是Web A/V过滤给防火墙性能造成了很大的影响,并且,这种功能可能更好地部署在安全网关上。防火墙竞争对手还没有将自己的商标远离虚拟化、数据中心和SDN,这些是未来要打的战场。
思科的Harrel表示,思科正在通过其应用程序为中心的基础设施和控制器来加入这场战争,他们的设施能够以简单的英语语言规则来配置防火墙和负载均衡器。然而,这些设备仍然非常新。
一些Gartner分析师正在寻找网络防火墙之外的技术来提高未来安全性。其中一名分析师Joseph Feiman甚至提到了出现了2年的技术“运行时应用程序自我保护(RASP)”将会取代大多数网络防火墙的职责。
在Young与Feiman的辩论中,Feiman争论说,RASP是比传统防火墙更好的方法,因为云计算服务和移动正在让网络外围消失。RASP是指服务器或客户端中的运行时设备,用来保护应用程序抵御各种攻击。“我们将无法保护外围安全,”他表示,“我希望大家改变这种观点。”
Feiman表示,RASP产品供应商包括惠普、Prevoty、Shape Security、Waratek、Bluebox和Lacoon Mobile Security。然而,Young并不认为RASP的概念将会是淘汰防火墙下一个发展,并指出RASP产品需要被添加到它需要保护的每个操作系统或手机。
Check Point的Shwed对RSAP是什么看法呢?他承认他并不熟悉它,这并不是让他困扰的事情。他关心的是现代防火墙需要如何演变以获取更多关于威胁的信息来阻止它们。他认为,安全供应商之间的信息共享是未来的发展趋势,这也是Check Point所追求的的目标。