摘要: 提到ASIC架构的防火墙,很多人马上会想起NetScreen,而提起UTM,更会本能地想到Fortinet。然而还有另一家公司,1996年成立之初便发布了第一款硬件防火墙,2000年又发布了ASIC架构的防火墙,2003年进一步推出了UTM——它,就是Watc...
提到ASIC架构的防火墙,很多人马上会想起NetScreen,而提起UTM,更会本能地想到Fortinet。然而还有另一家公司,1996年成立之初便发布了第一款硬件防火墙,2000年又发布了ASIC架构的防火墙,2003年进一步推出了UTM——它,就是WatchGuard。
1996年,位于美国西雅图的两个安全实验室Mazama与Seattle合并成立了WatchGuard公司。该公司致力于防火墙和VPN整合型产品的开发,并尽可能在一个平台内提供更多的安全防护功能。从这一点来看,WatchGuard和Fortinet一样,是一家从创立之初便定位于多功能安全网关市场的老牌安全厂商。
虽然在国外地位尊崇,很早就进入国内市场的WatchGuard却遭遇水土不服,长期缺乏醒目表现。(原因肯定不在产品技术层面,一个能进入Gartner的UTM领导者象限的厂商,其产品技术也绝不会差到哪去。)不过这种情况在逐渐改变,从该公司2013年在国内发布的新产品解决方案来看,WatchGuard对市场需求的把握还是蛮准确的,其针对成长型企业的轻结构无线安全解决方案、面向行业用户的NGFW和面向数据中心场景的虚拟化交付方案无不戳中用户痛点,有望打个漂亮的翻身仗。
红盒子惊艳市场 企业级仍需发力
说到WatchGuard的产品,笔者有三个比较深刻的印象。首先,从WatchGuard推出第一款产品开始,其奔放红的设计风格就从未变过,至今已成为一抹亮丽的风景线。国外厂商都很重视工业设计,不惜花费重金也要让设备显得很酷(为了在大片里做植入吗?),无论是Fortinet的白、PaloAlto的紫还是WatchGuard的红,都令人过目不忘。第二是较高的每U处理能力,比如今年主推的XTM2520就以1U体积提供了整机35G的防火墙性能,友商设备则大多需要2U或3U的硬件规格才能达到同样性能。第三是几乎全部WatchGuard设备前面板都内嵌了液晶屏,能够显示资源占用、网络流量、IP地址等信息。虽然这个设计平时几乎用不到,但在关键时刻也许能起到令人意想不到的效果。
WatchGuard有11款型号是定位于SMB市场的UTM(XTM2/3/5/8系列),XTM8系列的高端型号、XTM1050及2050系列则面向中高端企业级市场,现在被更多地包装为NGFW进行推广。与另一家UTM领军企业Fortinet相同,WatchGuard也提供了NGFW(FW+APP+IPS+AV)的bundle License,用户可根据自身需求合理选择。
WatchGuard产品对于SMB、连锁企业、分支机构来说是很好的选择,但想赢得更大规模企业用户的认可,仍需付出不少努力。据Gartner报告显示,虽然WatchGuard产品提供了不错的NGFW特性,但很多企业在选购NGFW的时候仍然不把它当做备选之一。这也是WatchGuard在Gartner的UTM魔力象限中处于领导者地位,同时在企业防火墙魔力象限中仅扮演Niche Player角色的原因。
上市又退市 华人CEO的回春妙手
在资本市场,很少有上市之后再退市还有好日子过的企业,WatchGuard恰恰是个例外。1999年,WatchGarud在纳斯达克上市,股价一度冲破了100美元。而后随着泡沫的破裂、管理乏善可陈和诸多友商的围剿,其股价最低跌到了个位数美元的窘境。2007年,一位华人成为WatchGuard的新CEO,他就是王茁。是他做出了让WatchGuard私有化的决定,也就是退市。这样做的好处是不必再向诸多股民和股东负责,只要让投资方满意即可。此后三年多的时间里,甩开了财务报表压力的WatchGuard开始了漫长的整改——不仅仅在人员层面,更多地是在产品层面,比如重写了系统底层代码,打造出一套架构更清晰、效率更高、转发能力更强的系统软件。与之对应的,WatchGuard目前基本也放弃了ASIC路线,开始拥抱更快更强更灵活的x86架构(其实就是Intel)。这样做的好处是降低了产品对硬件平台的依赖性,以便紧跟技术发展趋势,不会产生“船大难掉头”的情况。
另外,WatchGuard对安全功能的集成也有一些与众不同的看法,或许可以被称为“不完美主义”。在WatchGuard看来,不管是防火墙、防病毒、反垃圾邮件还是IPS/IDS、应用识别与控制,每个功能都需要很深厚的技术与积累才能做好。世界上也许能独立开发这些功能的安全企业不少,但不可能有谁将每个功能都做到最好。基于这一观点,WatchGuard选择了与业界不同领域的领导厂商进行深度合作的方式,将它们擅长的功能集成到自己设备中,比如应用控制和IPS是BroadWeb提供的,Web过滤是Websense提供的,反垃圾邮件是mailshell提供的,反病毒是由AVG提供的,信誉检测机制则是WatchGuard自己的——但其实这个功能也是收购来的。
这样,所有安全功能都是由各自领域领导厂商提供的,WatchGuard仅负责“组装”和交付,大家各司其职,共同将优势资源投入到最关键的地方。对最终用户来说,面对的仍然是WatchGuard统一、无缝的管理界面,使用中不会增加额外的麻烦。其实这样挺好的,可惜业内一些厂商(尤其是国内厂商)总把合作来的功能当短板,对用户对媒体都闭口不谈,等真想大白的时候,反而就有掩耳盗铃的意思了。
顺应大势 管控一切
“你不能保护你所不知道的”是安全圈的一句名言,但遗憾的是,有一个趋势正让企业内部产生越来越多的“不为人知”的信息,这就是去有线化。去有线化,顾名思义就是网络接入不采用有线而更多采用无线接入。传统的企业级WLAN产品解决方案需要独立的AC来控制AP并转发数据,这不但增加了成本,又不可避免地让防火墙少接触到很多关键信息。
鉴于WLAN加速普及的大势,一些安全行业领导厂商开始在UTM中增加AC模块,同时推出一系列用于组网的AP产品。格物资讯在定义“下一代中小企业网络基础架构解决方案”时对市售产品做过调研,位列Gartner UTM魔力象限图中领导者象限的企业,除CheckPoint外均已做到这一点。“轻结构无线安全解决方案”即是今年WatchGuard在国内主推的产品方案之一,其主打亮点是UTM通过集成AC让网络管理变得更加扁平、简单、高效。值得留意的是官方PPT中采用的图例与Aerohive惊人地相似,令人不得不怀疑后者是WatchGuard在无线领域的合作伙伴。
随着云计算的不断发展,用户在从中受益的同时也面临着虚拟化环境中的新安全威胁,这也是一种趋势。对此,WatchGuard推出了以虚机快照形式交付的XTMv和XCSv产品,以满足虚拟环境中的安全防护与可视化需求。不过对于多数用户而言,目前要考虑的问题并不是使用哪家的虚拟化安全产品,而是到底要不要把流量牵引出来。至少在国内,后者貌似更被认同。
简单总结一下,WatchGuard的主要客户中成长型企业居多,它们需要的是功能多、性能满足要求、管理简便的整合型产品。WatchGuard产品正是这样做的,新加入对WLAN的支持也是顺势而为,对用户存在价值。如果辅以具有竞争力的市场策略,将有望赢得更多用户。
猛击此处下载:
原文来自:格物资讯
