Saturday, March 31, 2012

点评Checkpoint


由于主要的业务是卖网络方案,所以也必然涉及防火墙及IPS。不过当时主要向客户推介的是Nokia的防火墙,后得知Nokia将防火墙业务卖回给了Checkpoint,所以参加了本次Checkpoint巡展,全面Update一下Checkpoint的最新技术和方案。

Checkpoint将自己定位为唯一一个提供全面安全解决方案的厂商,从网络边界到端点安全,再到安全管理,分别对应于其Gateway、Endpoint、Smart等产品。不过从外人的角度看,这不过是见仁见智,由于立场和眼界的不同,结论也不一样。以Gartner的魔力四象限来看,Juniper和Checkpoint都是领导者。但会上,Checkpoint自己的演讲者在强调自己优势时,关于防火墙本身也是一笔带过(只讲自己年年得奖,看来至少在中国市场上,客户能够承认的差异化不大,优势不明显),重点强调的是自己的管理工具细致,能用一个工具管理网关和边界,当然software blade也是一个重点。

从Checkpoint最强的边界安全的角度看,主要的解决方案是Firewall、IPS、UTM等,业界提供商也主要分为两类。一类是以Cisco、Juniper、H3C等全面的网络产品和方案提供商,另一类就是以Checkpoint为代表的专业Firewall提供商。Checkpoint的优势是Software Blade,将Firewall、VPN、IPS、Anti-Virus & Anti-Malware、DLP、Web Security、URL Filtering、Anti-spam、Advanced Networking、Acceleration & Clustering、VOIP集于一身,物理上单一,客户需要使用哪些功能只需要激活相应模块即可。但显然Anti-Virus等不能和专业的反病毒厂商媲美,Cisco没有的功能也寥寥无几。反之,Cisco和Juniper等全网络厂商在客户兴建基础架构时,可以一锅端,小小的折扣优惠对客户来说就是一个很大的吸引力。Cisco 65系列上的Firewall、IPS插卡还可以监控所有的内网流量,虚拟化的防火墙在Checkpoint还需要单独的VSX产品来对应。

从端点安全来讲, Checkpoint的优势还是Software Blade,即在客户机上只需安装单一Agent。但同样是见仁见智,单一Agent包含了如此多的功能,如Firewall、webcheck、onecheck、VPN、program control、antivirus、disk encryption、media encryption、NAC。显然这么多的功能有很多是不相关的,所谓的单一Agent不过整合成一个计算机右下角的小图标,从程序上看还是一个个独立的小模块。antivirus的客户信任度是有怀疑的,disk encryption操作系统本身就有,NAC(network access control)客户会选择Checkpoint的方案吗?毕竟Cisco的NAC从网络物理层,Microsoft的NAC从域控和域账号角度更加合理、更加基础。

最后说一下Checkpont引以为傲的安全管理。如果放到一个更大的环境下,如网络管理或基础架构管理,Checkpoint的管理平台显然不是最全面的,Cisco和Juniper可以辩称自己的管理平台不但可以管安全,还可以管网络,Checkpoint行吗?即使退回到单一的安全管理平台来看,由于安全的概念实在太广,估计永远也不会有一家的方案能够覆盖所有的方面,大的操作系统厂商、网络厂商,以及专业的安全厂商会在其中角力,最全面的解决方案一定是多家综合的结果。

上面说了这么多,并不是攻击Checkpoint,在网管安全方面,Checkpoint确实世界第一。但客户的需求和实际情况产生了多种限制和特殊的需要,某个单一领域最好的产品在一个更大的环境下,未必就是一个最好的选择,本文主要是为了帮组大家更全面地看问题,选择合适自己的最佳方案。

No comments: