雖然下一代防火墻已經在中華大地上開滿希望之花，但是對于這個概念的締造者之一以及先驅者PaloAltoNetworks卻在國內很少有媒體提及。有鑒于此，網界網對PaloAltoNetworks產品及市場總監ChrisKing進行了獨家專訪，為大家打開一扇通往這個著名有神秘的公司之門。

筆者：您認為NGFW和UTM的區別是什么?

Chris：UTM和NGFW最根本的區別在于他們解決問題的方式。UTM通過將已有的網絡安全功能固化到一個盒子中，例如狀態檢測防火墻,IPS,AV,URL地址過濾，從而達到讓網絡安全更廉價的目的而設計。我們認為NGFW的不同之處是在于我們不是將網絡安全變得更價廉，而是將網絡安全做的更好。我們并沒有將很多的網絡安全功能集成到一個盒子中，而是重新定義了防火墻應該有的核心特性。市面上所有的UTM中的防火墻功能都是基于狀態檢測防火墻的。而狀態檢測是checkpoint在90年代早期發明的。我們的防火墻的核心，不是狀態檢測，而是我們說的App-ID。通過應用識別和用戶識別取代以前的通過端口和IP地址的識別來進行訪問控制。

筆者：PaloAltoNetworks是如何解決價格和產品之間的矛盾的?

Chris：我們的很多客戶以前都是用UTM，現在都轉過來用我們的產品了。他們選擇我們的原因不是因為我們更便宜，而是他們更喜歡具有可視化和洞察力的對于網絡流量的管理控制。UTM中的功能都是一個接一個完成的，而我們的產品是一次通過的，單一檢測技術是我們的核心競爭力。當你對機密信息進行內容檢測時，你知道這個內容是由什么應用哪位用戶產生的。別的產品都不是高度集成的。我們的產品對于網絡流量只做一次掃描，而不像其他產品一樣做幾次，很大的降低了延遲，提高了流量通過的速度。我們的硬件平臺分為數據處理平臺和管理平臺，這樣很大程度上提升了可靠性。尤其是我們將網絡流量，安全，以及內容掃描分開來做。通過NP和SP等專用處理芯片來進行數據平臺的處理，在分析和應用識別以及調度方面充分發揮Intel處理器的專長。這樣最大限度地發揮硬件性能。

筆者：您認為NGFW的發展方向會怎樣?

Chris：我認為未來是將NGFW使用到更多的地方。防火墻一開始部署在互聯網網關，然后一步步擴展到分支機構和數據中心等地方。我們的發展也是遵循這個路線。我2007年加入公司，那段時間我們只把我們的產品應用在網關處。我們保護終端用戶的安全，尤其是防御對于各種應用帶來的威脅。現在我們的設備已經部署在了數據中心，并且還在企業中用來保護移動設備的安全。因此，NGFW的發展方向將是在各個節點上取代傳統防火墻。

筆者：NGFW是否已經成熟到可以在數據中心部署了呢?

Chris：世界范圍內我們有11,000家數據中心用戶使用我們的產品來保護數據中心安全。我們的PA-5000系列產品在企業級和數據中心市場上是很成功的。最高級別的設備具備20Gbps的吞吐，已經滿足一般數據中心的使用。

筆者：什么樣的NGFW可以被稱為真正意義上的NGFW?

Chris：當我和客戶進行溝通的時候，發現用戶還是處于一個學習的過程。舉個例子，在數據中心環境，用戶表示，他們知道數據中心內部運行著什么應用程序，然而，很多用戶都忘記了用來管理數據中心業務的一些應用，比如系統管理工具，備份和恢復軟件，SSH,FTP等等。當問及這些應用的時候，客戶會恍然大悟說忘記考慮這些應用了。所以，當NGFW用在數據中心環境時候，不是僅僅控制那些常規的共享應用，或者一些生產應用，而且還會控制一些管理應用，比如我允許SSH，但是只把權限開放給IT管理人員，或者負責管理設備的部門。

筆者：應用層識別是否應該是默認打開的?

Chris：這正是我們產品的樣子，我們出場的時候都是所有端口上應用識別默認打開的。沒有基于安全考慮的理由去關閉應用層識別。每一次關閉應用層識別功能，安全性就會降低。公平地說，你可以創建傳統防火墻的規則，我們大多數的客戶都知道可以關閉應用識別功能，但是他們并沒有那么做。

筆者：如何平衡互聯網發展速度與開發周期?

Chris：兩件事需要考慮。由于互聯網的發展速度非常快，所以對于我們的研發團隊要求很高。我們專注研發App-ID的團隊，時刻監視著網絡上最新的應用，以及與客戶聯系，希望可以用戶可以將自己開發的應用也呈報給我們。幸運的是，底層的變化不是很快，所以讓我們硬件的研發有時間追趕最新的技術，提供高效并且非常穩定的硬件平臺。我們做軟件層面的研發團隊也專注于APP-ID的研發，并且速度很快，得益于我們在研發上的大力度投入。最新的財報顯示，我們有20%的人力(969人)是研發人員，并且研發資金的投入占總收入的16%。

筆者：貴公司的產品在NSSLabsSVM表現并不好，怎么回事?

Chris：我認為NSSLabs主要測試狀態檢測防火墻和IPS。如果你看看他們怎么測應用層的，可以看看他們的測試方法，用戶和應用測試只有一頁。他們對于每個廠商提供的產品測出來應用防護都是100%。不可否認他們在狀態檢測防火墻和IPS測試上的專業性。我也認為他們在NGFW的測試上很優秀，我們認為應用的測試應該專注于通過所有端口的所有應用。我們與他們合作很多，而他們也確實很優秀，但是需要注意的是，他們著名的原因是在IPS測試上的成績。在與他們的溝通中，我們發現他們在NGFW特性的測試范圍很有限，更多地還是關注于傳統狀態檢測防火墻和IPS的功能。當你看UTM的時候，你會知道UTM是在為了讓網絡安全更便宜而做努力，然而我們的NGFW是為了讓網絡安全更好，更健壯，所以我們的價格會有些高。盡管價格是客戶采購時需要考慮的，但不是重點。在我們的角度講，安全和性能是首要考慮的問題，價格次之。然而其他的廠商把價格放在了首位。

筆者：PA成長如此快速的原因是什么?

Chris：原因是我想我們擁有一些特殊的且唯一的東西，還有我們在安全領域所作出的很多努力，并且客戶看到了這些東西的價值。他們擁有了對于網絡流量可視的能力，這個能力是他們以前沒有的，并且他們可以控制那些流量，這也是他們以前所不能的。另外一個原因我想是我們非常以客戶為中心，以客戶需求為導向。我們很樂意去解決客戶們遇到的安全問題，在Gartner最新的企業級防火墻MQ中可以看到Gartner對我們的評價，我們擁有一大群忠實且充滿熱情的客戶。所以我向我們成長快速的原因就是兩點，極大的研發投入和客戶為導向的服務。

筆者：PaloAlto起初的兩年是不是很艱苦?畢竟用新產品改變客戶固有的思想是很難的事情。

Chris：回溯到2007年我加入公司的時候，公司非常非常艱難去開發客戶，現在是很容易做了。當我加入公司的時候，可能都不到11個客戶，但是現在我們有11,000客戶。6年的時間，PA的用戶數量增加了1000倍。最近一年來，每個季度PA的用戶數量都增加至少1000。

筆者：您對Gartner將一些UTM產品劃分為NGFW有什么看法?

Chris：誠實得說，Gartner企業防火墻魔力象限中的產品指的是網絡防火墻，并沒有特指是下一代防火墻。Gartner還是認為UTM和NGFW有很大的區別。他們認為UTM缺乏整合性，更適合于中小企業或者價格敏感的地點。NGFW則是更高的整合性，更適合大企業的解決方案。我們認為，UTM還是為了價格因素在致力于將大量的功能放進一個盒子中。這一點來說UTM很難聲稱為NGFW。我們并不是盡可能往一個盒子里多放功能，我們是對防火墻進行創新。即使有人說UTM可以被用來當做NGFW來使用，但是我不那么認為。而NGFW也不見得可以替代UTM，得看看UTM干了什么事，比如我們不做反垃圾郵件，不做防釣魚等等。有很多網絡安全的事情我們都沒有做。我們做的是重新創造了你在網絡安全中需要的東西，不是將你知道的所有功能放在一個盒子里。

筆者：為什么不把反垃圾郵件什么的功能集成到你們的NGFW中?

Chris:你可以看看我們所做的事情，我們專注于做的產品是提供高安全性和高性能。你不需要快速的反垃圾郵件或者郵件保護什么的功能，我們只專注于難以解決的問題。

筆者：安全網關的未來發展趨勢是All-in-one嗎?

Chris:這個目標并不能說錯。只是現在很多的防火墻和UTM廠商，他們不愿意重新來過。而我們進入市場的時候是從零開始的。所以我們創造一種新的以應用，用戶和內容為主體代替狀態檢測的防火墻的產品，我們沒有歷史包袱。如果我們在2007年開始做的時候也是做狀態檢測防火墻，那我們不會有現在這樣的成功。我們不得不做一些不一樣而且更好的東西。