网络防火墙魔力象限
2022 年 12 月 19 日
作者: Rajpreet Kaur 、Adam Hils和
随着云防火墙和防火墙即服务产品的出现,网络防火墙演变成混合网状防火墙,选择最合适的供应商是一项挑战。Gartner 评估了 17 家供应商,以帮助安全和风险管理领导者为其组织做出正确的选择。
战略规划假设
到 2026 年,超过 60% 的组织将部署不止一种类型的防火墙,这将促进混合网状防火墙的采用。
到 2026 年,超过 30% 的分布式分支机构防火墙新部署将是防火墙即服务产品,而 2022 年这一比例还不到 10%。
市场定义/描述
Gartner 将网络防火墙市场定义为使用双向状态流量检查(出口和入口)来保护网络的防火墙市场。网络防火墙通过硬件、虚拟设备和云原生控制来实施。
网络防火墙用于保护网络。这些网络可以是本地、混合(本地和云)、公共云或私有云网络。网络防火墙产品支持不同的部署用例,例如外围、中型企业、数据中心、云、云原生和分布式办公室。
网络防火墙的功能包括高级网络、威胁检查和检测以及网页过滤。
核心能力:
-
网络:这包括对具有目标网络地址转换 (DNAT) 和静态网络地址转换 (SNAT) 功能的路由表的支持。
-
状态检查:这可以根据状态防火墙规则对流量进行检查。
-
威胁检测和检查:这包括入侵防御系统 (IPS) 和恶意软件检查功能。
-
Web 过滤:这包括过滤 HTTP 和 HTTPS 以及应用程序的出站流量。
-
高级日志记录和报告:可以记录防火墙管理员的所有操作,并且可以根据不同的对象类型和流量类型自定义和运行报告。可以生成基于威胁和基于网络过滤的粒度报告。
可选功能:
-
物联网 (IoT) 安全:这可以通过使用威胁检测控件中内置的模块或通过网络防火墙产品中集成的专用订阅来实现。具体功能可能包括物联网设备的发现、风险分析和阻止与这些设备相关的攻击的专用规则。此外,物联网签名作为 IPS 签名库的一部分。
-
网络沙箱:网络沙箱监视网络流量中是否存在可疑对象,并自动将它们提交到沙箱环境,在沙箱环境中对它们进行分析并分配恶意软件概率分数和严重性评级。
-
零信任网络访问 (ZTNA):零信任网络访问 (ZTNA) 使任何用户和设备与应用程序之间基于身份和上下文的访问边界成为可能。
-
运营技术 (OT) 安全:这包括与保护 OT 环境相关的集成或专用功能。这里不考虑独立的 OT 安全产品。功能可能包括专用的 OT 相关威胁情报、OT 设备的专用 IPS 签名、对监控和数据采集 (SCADA) 应用程序的支持以及威胁检查。
-
域名系统 (DNS) 安全:通过提供针对 DNS 层攻击的监控、检测和预防功能,确保 DNS 流量的安全。
-
软件定义的广域网 (SD-WAN):它提供基于业务或应用程序策略、集中策略和设备管理、虚拟专用网络 (VPN) 和零接触配置的动态路径选择。
魔力象限
供应商优势和注意事项
阿里云
阿里云是这个魔力象限的挑战者。其阿里云防火墙是比其直接云服务提供商(CSP)竞争对手更成熟的云防火墙产品,具有应用程序控制、URL过滤和高级威胁防御等功能。它还为新兴云用例提供防火墙,例如容器防火墙,以及其产品内独有的微分段。
阿里云是一家拥有丰富产品组合的云服务提供商。它提供了一套强大的安全控制。阿里云防火墙是其云原生防火墙产品。
阿里云在防火墙流量可视化能力以及DNS防火墙的引入方面进行了重大更新。它还将其存在点(POP)扩展到中国以外的更多地区。
-
支持新兴的云防火墙用例:阿里云提供成熟的容器防火墙模块——阿里安全中心-容器防火墙,提供镜像安全和运行时应用安全功能。此外,阿里云防火墙还提供成熟的微分段功能作为其高级许可层的一部分。
-
产品组合和市场响应能力:阿里云是一家大型 CSP,拥有丰富的产品组合。与直接的 CSP 竞争对手相比,它非常注重扩展其安全产品,并且在市场响应能力方面得分很高。
-
统一端点客户端:阿里云为其防火墙 VPN、安全访问服务边缘 (SASE) 和端点检测和响应 (EDR) 产品提供单一客户端,这使得管理和供应商整合变得更加容易。云防火墙和EDR产品都可以通过阿里安全中心进行集中管理。
-
高级威胁检测:阿里云防火墙提供网络检测和响应(NDR)功能,并集成阿里巴巴EDR和阿里云安全中心及其扩展检测和响应(XDR)平台。客户还可以选择购买直接管理的安全服务。阿里云还提供专用的DNS防火墙来保证DNS安全。
-
应用控制:虽然阿里云对区域应用提供了强大的支持,并具有数据丢失防护(DLP)能力,但其防火墙缺乏对在中国以外广泛使用的 Microsoft Office 365 等应用的支持。因此,中国以外的客户在做出购买决定之前,必须将阿里云的应用控制与他们使用的应用进行比较。
-
地域分布:阿里云在中国占有重要地位,但很少出现在中国以外的客户候选名单中。因此,其产品策略主要针对中国需求。
-
第三方合作伙伴:阿里云的战略是创建自己的原生产品。因此,它只有有限的区域伙伴关系。它不提供与第三方 EDR、XDR 以及身份和访问管理 (IAM) 解决方案的任何防火墙集成。
-
特点:阿里云防火墙不支持传输层安全(TLS)解密。它还缺乏基于完全限定域名 (FQDN) 的流量路由和重定向以及物联网安全功能。
亚马逊网络服务
Amazon Web Services (AWS) 是这个魔力象限中的利基市场参与者。AWS Network Firewall 是一种原生云防火墙,与其他网络防火墙供应商相比,它提供了基本功能。客户还可以通过 AWS Marketplace 购买第三方防火墙即服务 (FWaaS) 产品,包括合作伙伴管理的防火墙规则。
AWS 是一个 CSP。AWS 网络防火墙作为 AWS 云平台上的完全托管服务提供。其他 AWS 安全产品系列包括 IAM、网络和应用程序保护、数据保护、事件响应和合规性。
最近为 AWS 网络防火墙开发的重要功能包括增强的东西向保护(同一虚拟私有云中子网之间的流量检查)、默认拒绝/丢弃规则、严格的规则排序配置选项以及对集中部署的 AWS Firewall Manager 支持。
-
客户体验:AWS Network Firewall 在高可用性和自动扩展方面得分很高。此外,客户喜欢使用 AWS 托管规则的自定义功能。他们将这些集成功能的易用性视为选择 AWS 网络防火墙的主要原因。
-
定价:客户看重 AWS Network Firewall 定价模型的简单性。客户根据部署的防火墙数量和处理的流量付费。所有客户均可免费获得基本支持。
-
可扩展性:AWS 网络防火墙的性能、高可用性和可扩展性与其他防火墙供应商的产品相比具有明显的优势。它提供内置的高可用性,以确保所有流量得到一致的检查和监控。
-
易于部署:易于部署是通过 AWS 防火墙管理器中的许多不同功能实现的,例如自动防火墙配置、跨帐户自动部署防火墙的能力以及零接触部署。
-
产品策略:与竞争产品相比,AWS 网络防火墙在功能方面落后。因此,AWS 依赖于与其他供应商(例如 Palo Alto Networks)的合作伙伴关系,这些供应商为发现 AWS 防火墙限制的客户提供合作伙伴供应商防火墙的本机 AWS 实例。
-
整合:Gartner 客户通常不认为 AWS 是整合零信任架构的理想供应商。AWS 缺乏原生 ZTNA 产品。它有一个复杂的部署方案,使用 AWS Virtual Private Cloud (VPC) 来实现微分段,这限制了它对新兴防火墙用例候选名单的吸引力。
-
功能差距:AWS Network Firewall 不支持本机网络地址转换 (NAT) 功能,并且不支持 IPv6。它还无法检测基于客户端的应用程序,并且缺乏精细的应用程序控制。
-
高级威胁检测:AWS 网络防火墙比其他防火墙提供更少的供应商研究专有签名。此外,AWS 的防火墙中缺少 TLS 解密。
Barracuda
Barracuda是这个魔力象限中的远见者。它在 CloudGen Firewall 产品线中提供一系列专注于分布式办公室和公共云虚拟设备的防火墙设备。分支机构连接是梭子鱼的一个重要市场。
Barracuda的安全产品包括防火墙、Web应用程序和API保护(WAAP)产品、安全Web网关、ZTNA(用于远程访问私人应用程序)和安全电子邮件网关。
Barracuda防火墙系列的最新更新包括物联网、OT 和云安全功能。例如,Barracuda 在其 CloudGen WAN 产品中添加了 IPS、URL、内容、防病毒和安全套接字层 (SSL) 检查功能。
-
云和分支机构功能:Barracuda的 CloudGen 防火墙产品线提供与本机 AWS 和 Microsoft Azure 控件的成熟集成。Barracuda 添加了 FWaaS 产品 CloudGen WAN,以解决在家工作和远程办公室用例。Barracuda还推出了用于与Microsoft Azure进行物联网连接的安全连接器,该连接器可通过CloudGen WAN完全管理。
-
防火墙部署模式:Barracuda已经提供了所有主要防火墙模式的产品——适用于硬件和虚拟的CloudGen防火墙;用于 FWaaS 的 CloudGen WAN;用于容器化防火墙的安全连接器;和 CloudGen Firewall(坚固耐用),满足工业防火墙要求。
-
定价:梭子鱼的低端设备提供了非常好的总体拥有成本(TCO)。供应商基于池的许可使管理员能够根据需要跨平台分配软件许可证。
-
物联网功能:Barracuda通过与 Crosser、Nozomi Networks 和 SCADAfence 建立合作伙伴关系,增强了保护物联网环境的能力。Barracuda 还与 Crosser 合作,在一些防火墙设备上运行边缘计算逻辑。
-
虚拟化:Barracuda的硬件设备在同一设备上运行多个虚拟实例时,不会隔离某些功能,例如VPN、动态主机配置协议(DHCP)、DNS缓存和DNS拦截。
-
多个管理门户:单独的管理控制台是其环境所独有的。FWaaS产品CloudGen WAN必须通过梭子鱼的云管理平台进行管理。CloudGen 物理和虚拟设备必须使用名为 Barracuda Firewall Admin 的本地防火墙管理器进行管理。
-
产品策略:Barracuda缺乏原生EDR,仅提供与端点和网络安全供应商的有限第三方集成。提供 IPS 功能,但它在 OEM 基础上使用趋势科技的技术。所有IPS签名均由第三方开发,签名数量逊于竞争对手。
-
客户反馈:客户反馈表明梭子鱼提供的内容过滤模块报告有限,并且产品管理是一项复杂的任务。
Check Point Software Technologies
Check Point Software Technologies 是该魔力象限中的领导者。它被企业客户列入独立防火墙用例的候选名单。除了防火墙之外,Check Point 还提供广泛的安全功能以及成熟的基于云的集中管理。这使其成为寻求安全平台解决方案的组织的有力候选者。
Check Point 提供全面的安全产品组合,其中包括 Quantum 品牌的硬件设备和 Maestro 超大规模产品线。Check Point 将其 FWaaS 打包为 Harmony Connect 产品的一部分。
在该魔力象限的评估期间,Check Point 发布了新的 Quantum Lightspeed 设备、管理设备、中型/分支防火墙及其“Titan”软件版本。它还增强了 CloudGuard Workload 支持以支持 OpenShift 和 Docker,同时添加了微分段。
-
平台策略:Check Point 提供互补的产品线,帮助客户避免因管理过多安全供应商而导致的运营复杂性和威胁协调差距。其所有产品都可以通过基于云的集中管理器 Infinity Portal 进行管理。
-
数据中心用例:Check Point 对拥有大型数据中心并欣赏 Maestro 超大规模产品线固有的许可灵活性和可扩展性的大型组织特别有吸引力。
-
定价:Check Point 的定价模式对大中型企业客户都很有利。Check Point 提供基于订阅的定价,使大型企业能够避免重大资本支出。为中型企业提供的单一 SKU 在一个捆绑包中提供了多种安全产品。
-
高级威胁检测:Check Point ThreatCloud 协调 Check Point 各种产品和服务的恶意软件发现和情报。Check Point 拥有最大的 IPS 签名库之一。它还具有一个基于签名的大型数据库来检测客户端应用程序。
-
销售和营销执行:与直接竞争对手相比,Check Point 缺乏积极主动的售前团队。它还缺乏意识营销,导致潜在客户转向其他地方,因为他们不了解 Check Point 的产品策略和更新的产品组合。
-
产品执行:Check Point 的云安全态势管理 (CSPM) 未与其本地防火墙中央管理产品集成。
-
高级网络:Check Point 的防火墙缺乏内置 SD-WAN 功能。该供应商与 SD-WAN 提供商合作提供 FWaaS 产品。
-
产品特点:Check Point虽然拥有庞大的恶意URL威胁情报数据库,但不支持未分类网站的动态分类。这一缺点造成了操作的复杂性。
思科
思科是这个魔力象限中的挑战者。思科拥有庞大的产品组合,其防火墙通常作为大型交易的一部分出售。
思科是一家基础设施供应商。它针对不同的部署用例提供不同的防火墙产品线:思科安全防火墙、思科自适应安全设备 (ASA)、思科安全工作负载和思科 Meraki 系列。此外,思科还提供用于 FWaaS 的 Umbrella 安全互联网网关 (SIG) 和工业防火墙(安全防火墙工业安全设备 [ISA] 系列)。
2021 年和 2022 年的主要更新包括对 TLS 1.3 解密的本机支持;支持阿里云和 Alkira 中的思科安全防火墙威胁防御;以及云交付的安全防火墙管理中心。思科还增加了 VPN 托管订阅服务,使思科能够管理用户的规模和变化,并提供包括 Umbrella SIG 支持在内的选项。
-
物联网/工业控制系统 (ICS) 安全:思科提供物联网安全服务,并与罗克韦尔建立了合作伙伴关系以确保 ICS 的安全。思科在思科 Talos Intelligence Group 内拥有专门的物联网研究团队。思科安全防火墙从思科数字网络架构 (DNA) 端点分析接收建筑管理和医疗资产信息。
-
许可:思科拥有多样化、灵活的许可协议集合,允许组织根据有利的商业条款部署对其用例有意义的思科安全解决方案。
-
客户反馈:客户认为思科产品中包含的 SecureX 基于云的威胁关联解决方案平台是一项优势。他们赞扬思科继续提供高于平均水平的技术支持。
-
分布式办公室用例:思科提供 Meraki 防火墙来连接远程办公室。这些防火墙受益于与 Cisco Umbrella 针对 SASE 用例的紧密集成。零接触配置可简化部署,同时还通过 VPN 监控提供连接保证。思科还通过 Cisco Umbrella 提供专用的 FWaaS 产品。
-
多个防火墙产品线:思科的防火墙产品组合令人困惑,产品功能重叠。这可能会导致部署具有不同操作系统的产品,从而增加学习曲线并降低效率。
-
容器防火墙:思科缺乏专用的容器化防火墙产品来保护容器。它提供用于容器安全的思科安全工作负载微分段产品线。
-
销售执行:思科安全防火墙通常作为较大的思科企业许可协议 (ELA) 交易的一部分进行销售,并且在纯防火墙交易中缺乏可见性。尽管思科 Meraki MX 防火墙在分布式办公室用例中很受欢迎,但 Gartner 并未发现思科防火墙在其他用例(例如云防火墙和数据中心)的客户候选名单中成为首选。
-
客户反馈:我们听到 Gartner 客户的反馈称,由于遗留的不稳定问题和有缺陷的固件,思科的经销商合作伙伴不推荐思科安全防火墙。防火墙管理 GUI 正在开发中,一些 Cisco 客户报告说防火墙管理相对较弱。此外,客户发现在 ELA 交易之外购买思科安全防火墙价格昂贵。
Forcepoint
Forcepoint 是这个魔力象限中的利基市场参与者。它提供专注于分布式办公室用例的防火墙,但缺少 FWaaS 和基于云的管理等功能。它主要被那些为其站点寻找基于设备、支持 SD-WAN 的防火墙的分布式企业所考虑。
Forcepoint 提供 Forcepoint ONE(一种安全服务边缘 [SSE] 平台)以及网络安全和数据安全产品。Forcepoint 下一代防火墙 (NGFW) 是其防火墙产品线的名称。
去年与 Forcepoint 防火墙相关的主要功能更新包括支持更多公共云平台、改进的应用程序检查性能、添加远程浏览器隔离 (RBI) 功能和订阅以及内容解除和重建 (CDR) 功能。Forcepoint 还为远程和分支机构推出了新的防火墙模型。
-
分布式办公室用例:Forcepoint 防火墙具有内置的高级 SD-WAN 功能,具有全面的 IPv6 支持、高级动态路由和成熟的 VPN 管理控制以及主动-主动集群。这些使它们对分布式办公室具有吸引力。
-
与 Forcepoint ONE 集成:Forcepoint 通过 Forcepoint 防火墙和 Forcepoint ONE 之间的 EasyConnect 功能提供基于云的服务链集成。RBI 和 CDR 集成等功能增强了其防火墙的高级威胁检测和预防能力。
-
成熟的应用程序控制:Forcepoint 提供成熟的应用程序控制、DLP 和 URL 过滤功能。除了支持未分类站点的动态分类之外,Forcepoint ONE CASB(一种云访问安全代理)的服务链使应用程序控制更加精细。
-
客户反馈:Forcepoint 的本地防火墙管理器 NGFW 安全管理中心 (SMC) 经常受到客户的好评。它是一个强大的防火墙管理平台,具有精细管理、零接触配置、VPN 管理和日志记录功能。
-
功能:Forcepoint 缺乏分支机构和漫游用户所需的 FWaaS 功能。其防火墙对物联网协议的支持有限。它不为设备提供 5G 支持。
-
可见性:当越来越多的供应商支持这一用例时,Forcepoint 在 Gartner 看到的纯防火墙候选名单中并不引人注目,包括用于分布式办公室的候选名单。Forcepoint 还缺乏云防火墙用例的可见性。此外,它缺乏专用的容器防火墙。
-
不同的端点代理:Forcepoint 提供两种独立的端点代理,即用于 Forcepoint NGFW 的端点上下文代理 (ECA) 和用于其 SSE 解决方案的 Forcepoint ONE Endpoint。这使得它对于寻求易于管理和整合的客户来说不再是一个有吸引力的供应商。
-
定价策略:尽管拥有庞大的产品组合,Forcepoint 并不提供涵盖其防火墙产品线和其他产品的 ELA 合同。由此产生的许可复杂性和缺乏基于 ELA 的折扣阻碍了客户在 Forcepoint 上进行整合。
飞塔
Fortinet 是这个魔力象限的领导者。由于其在单一设备中提供成熟的 SD-WAN 和防火墙功能,它在基于设备的分布式办公用例方面处于领先地位。
Fortinet 是一家拥有丰富产品组合的网络安全供应商。除了防火墙产品 FortiGate 之外,Fortinet 还提供 SASE、网络和安全运营产品。
2022 年与防火墙相关的主要更新包括引入 ZTNA、内联沙箱和内联 CASB。Fortinet 还实现了 FortiGate 与其网络访问控制 (FortiNAC) 之间的进一步集成,并推出了安全运营中心 (SOC) 作为服务,与 FortiGate 许可证捆绑提供。
-
集成 SD-WAN:Fortinet 在 FortiGate 防火墙设备中提供内置的高级 SD-WAN 和路由功能。Fortinet 提供完整的 SD-WAN 软件包,其功能包括前向纠错、数据包复制以及智能和动态应用程序路由。
-
混合ZTNA部署:Fortinet提供灵活的ZTNA部署模式。ZTNA 实施是 FortiGate 操作系统 (FortiOS) 的一部分,可以在本地部署,也可以作为 FortiSASE(独立产品)的一部分作为服务部署。该供应商还推出了集成了 ZTNA 功能的内联 CASB。
-
产品组合:Fortinet 拥有庞大的产品组合。它提供用于网络、网络安全和安全运营的产品。其大部分产品都可以通过单一管理界面进行管理,并通过 Fortinet Security Fabric 提供集成。
-
集中管理:Fortinet 分别通过 FortiManager 和 FortiCloud 提供成熟的本地和基于云的集中管理。这些产品具有相同的功能,并支持大多数 Fortinet 设备的集中管理。FortiGate 客户喜欢 Fortinet 防火墙的易于管理和配置。
-
客户反馈:一些 Gartner 客户的反馈表明,FortiGate 防火墙在性价比方面并不领先。将 Fortinet 列入中型企业和数据中心用例候选名单的客户发现,其产品比竞争对手的产品更昂贵。
-
专用容器防火墙:FortiGate 缺乏本地容器化防火墙来保护容器工作负载。它通过 FortiGate-VM 防火墙和 Calico 集成提供容器安全性。
-
集成的 FWaaS 产品:Fortinet 缺乏集成的 FWaaS 产品。它通过 FortiSASE 作为专用产品线提供 FWaaS,无需与 FortiGate 防火墙集成。FortiSASE 配有专用管理界面。FortiGate 的内置 SD-WAN 功能与 FortiSASE 的集成也缺乏。
-
可见性:与直接竞争对手相比,Fortinet 在云防火墙和 FWaaS 用例的候选名单中出现的频率较低。Fortinet 仍主要因其硬件防火墙产品而被考虑。
新华三
H3C 是这个魔力象限中的利基玩家。它提供全系列的硬件防火墙,称为 SecPath 系列,适用于小型、中型和大型环境。HC3专注于中国市场。它为中国以外的云提供商提供有限的支持。
H3C 拥有多样化的安全产品组合,其中包括针对 XDR、EDR、分布式拒绝服务 (DDoS) 和 Web 应用程序防火墙 (WAF) 细分市场的产品。H3C CloudSecPath 防火墙服务是其 FWaaS 产品。对于寻求专注于中国市场的安全堆栈的企业来说,H3C 是一个不错的选择。
去年的主要更新包括 F100、F1000、F5000 和 M9000 系列中的新设备。H3C还通过增加对动态授权、加密传输和敏感数据保护的支持,增强了其先进的威胁检测和防御功能。
-
可扩展性:H3C 的防火墙支持高度可扩展的部署。H3C 的硬件设备最多支持 4,096 个虚拟实例。H3C CloudSecPath防火墙服务提供高容量,H3C声称它可以支持20万用户的200GB吞吐量。
-
产品组合:H3C拥有丰富的安全产品组合,被众多寻求整合的企业所选择。H3C 提供用于端点保护的 SecCenter CSAP 和用于 XDR 的 CSAP 威胁发现等产品,这使其成为中国整合的理想供应商。
-
防火墙部署方式:H3C提供完整的防火墙产品线,包括硬件防火墙、虚拟防火墙、FWaaS、容器化防火墙和工业防火墙。因此,对于寻求整合单一供应商不同防火墙部署模式的企业来说,这是一个不错的选择。
-
定价:与许多其他供应商相比,H3C 的定价使其拥有良好的五年 TCO。支持价格合理,仅为标价的 10%。某些功能(例如 DLP)无需额外付费。
-
支持云防火墙的平台:H3C为VMware和H3C云环境提供云防火墙,但缺乏对阿里巴巴和华为等区域云提供商的支持。它还缺乏对 AWS、Microsoft Azure 和 Google Cloud Platform (GCP) 的支持。H3C 提供了容器防火墙,但需要 NGINX 来执行。
-
区域支持:H3C 的防火墙依赖于与区域供应商的合作伙伴关系来实现 VPN 身份验证和 EDR 集成。H3C 主要针对微信和 QQ 等本地应用程序提供精细的社交媒体控制,并对 Microsoft Office 365 等应用程序提供有限支持。
-
集中管理:与H3C的直接竞争对手相比,防火墙中央管理器可以扩展以仅管理有限数量的设备。该平台缺乏对分支机构防火墙零接触配置的支持。
-
地域分布:H3C 的大部分销售集中在中国市场和东南亚的少数地区。它在其他地区缺乏存在。
山石网科
Hillstone Networks 是这个魔力象限中的远见者。它非常适合满足亚太地区和一些拉丁美洲客户的中型企业用例,尤其是云优先组织。
Hillstone山石网科的网络防火墙产品是其边缘保护产品系列的一部分。Hillstone 的主要产品是网络防火墙,但它还提供微分段、端点和服务器安全、WAF、应用交付控制器 (ADC)、XDR 和 DLP。
Hillstone山石网科近期发布了多款新硬件和虚拟防火墙,以及与VMware NSX-T集成的虚拟防火墙。新功能包括 DNS 安全性和云数据湖。
-
以云为中心的产品策略:山石网科采取云优先策略,支持AWS、Microsoft Azure、GCP和阿里云,以及多个中国公有云。Hillstone 提供微分段解决方案和 CloudArmour,这是一种可以在 Kubernetes 环境中工作的容器防火墙。
-
高级功能:Hillstone 的 ZTNA 功能已集成到其所有网络防火墙中。Hillstone NGFW充当ZTNA网关,而Hillstone SSL VPN客户端可以升级为ZTNA端点。激活 ZTNA 功能需要额外的订阅许可证。Hillstone 山石网科在防火墙上执行 ZTNA。
-
物联网安全:山石网科的物联网安全可以主动检测网络摄像头、多媒体播放器和游戏机等物联网设备。作为包容性功能,它可以为与这些物联网资产相关的流量提供风险分析和控制以及威胁检测。
-
地理战略:山石网科正在利用其在中国的优势为其他地区的目标销售机会提供资金。山石网科在拉丁美洲和北美的客户数量虽少,但在不断增长。
-
云安全:Hillstone 使用 Hillstone 虚拟设备与多个公共云集成,但不提供 CSPM 来管理云原生防火墙策略。它也不管理 SDN 基础设施(例如 VMware NSX 和思科以应用程序为中心的基础设施 (ACI))中的本机安全控制。
-
产品策略:山石网科的IPS能力没有差异化。Hillstone 拥有一个相对较小的威胁研究团队,负责为“野外”威胁制定自定义规则。与大多数竞争对手相比,Hillstone 拥有一个小型的基于客户端的应用程序数据库,这限制了其第 7 层认知的广度。
-
性价比:虽然山石网科的防火墙设备价格看似较低,但与众多竞争对手相比并不低。考虑到它们可以处理的流量,最低端防火墙的吞吐量非常低,而数据中心防火墙的价格相对较高。
-
客户反馈:与中国市场上的其他中国区域供应商相比,山石网科的客户认为缺乏高吞吐量和高性能的硬件设备是一个弱点。
华为
华为是这个魔力象限的挑战者。庞大的产品组合使华为成为想要整合的客户理想的供应商。华为针对不同的用例有不同的防火墙。它经常根据其性价比赢得交易。
华为是一家大型基础设施供应商,拥有多元化的产品组合。其防火墙包括面向企业的USG系列和面向运营商的Eudemon系列,是其网络安全产品组合的一部分。
2022 年与华为防火墙相关的主要更新包括路由、SD-WAN 和沙箱功能的增强。
-
可扩展性:华为拥有庞大的运营商和数据中心客户群。因此,它提供了高度可扩展的设备。在本魔力象限中评估的所有供应商中,华为在其专用硬件设备模型和可扩展管理控制台中提供了对大多数虚拟防火墙实例的支持。
-
云原生防火墙:华为为华为云提供云原生防火墙服务,同时还提供容器防火墙服务Container Guard Service(仅适用于华为云)。容器防火墙提供容器运行时安全性和具有漏洞管理的图像安全性等功能。可以通过华为云内的集中控制台进行管理。
-
高级威胁检测:华为在其防火墙、本机EDR和XDR平台之间提供威胁关联功能。客户还可以利用华为直接提供的托管检测和响应(MDR)服务,该服务以乾坤边境保护和响应的名称出售。
-
定价:华为防火墙具有具有竞争力的性价比。他们的 TCO 是市场上最低的之一。华为经常以此为基础赢得交易。
-
区域合作伙伴:华为的合作伙伴大多限于中国企业。例如,其ZTNA产品可以与竹云的IAM解决方案集成,而在EDR方面,华为与江民和Leagsoft合作。
-
华为云之外的产品:虽然华为提供虚拟云防火墙、容器防火墙和微分段产品,但这些产品主要面向华为云。直到最近,华为才与微软Azure合作开发云防火墙。
-
物联网安全:华为防火墙仅提供基本的物联网相关安全。它们缺乏物联网发现等功能。华为仅通过其防火墙中的 IPS 签名数据库对常规物联网漏洞提供有限的基于签名的保护。
-
ELA:尽管华为拥有庞大的产品组合,但并不提供基于ELA的交易。ELA 将使涉及多年和多种产品的交易更容易让客户理解和接受。
Juniper
Juniper 是该魔力象限中的挑战者。它拥有广泛的防火墙产品线,涵盖许多用例和部署类型,包括 FWaaS 和容器防火墙。我们通常会看到瞻博网络防火墙与瞻博网络网络产品一起入围,这限制了它们的市场渗透率。
瞻博网络提供广泛的产品,包括网络和安全产品。它在 SRX、vSRX 和 cSRX 产品线中提供基于设备的防火墙。它还提供 FWaaS 产品。其他产品提供安全信息和事件管理、DDoS 缓解和威胁情报。
最近的更新包括引入 Security Director Cloud、Secure Edge(SSE 产品)和 Cloud Workload Protection。瞻博网络还通过收购WiteSand获得了基于云的网络访问控制产品。
-
防火墙部署用例:瞻博网络的防火墙产品线 SRX 系列包括具有原生成熟 SD-WAN 支持的硬件设备和虚拟设备 (vSRX)。FWaaS 随 Secure Edge 产品一起提供,并且 cSRX 系列中包含功能齐全的容器化防火墙。
-
平台方法:瞻博网络提供单一控制台,通过其 Security Director 和 Security Director Cloud 管理其所有安全产品。瞻博网络还提供高级威胁防御和 SecIntel 作为其网络和防火墙产品线之间的共享威胁情报产品。
-
物联网和 OT 安全:瞻博网络通过增强其自动化设备指纹识别和控制,展示了对物联网安全的关注。与 Dragos 和 SEL 的合作为 OT 和 SCADA 环境中的工业应用提供威胁检测和响应功能。
-
可扩展性:瞻博网络提供高吞吐量防火墙,即使在解密流量时也能保持良好的吞吐量。Junos Space Security Director 和 Juniper Security Director Cloud 是一个集中式管理器,可以管理多达 25,000 个瞻博网络设备,包括防火墙、交换机和路由器。
-
可见性:尽管瞻博网络为所有部署用例提供了防火墙产品,但在 Gartner 的客户候选名单上,瞻博网络并不像其直接竞争对手那样可见。瞻博网络防火墙主要由电信运营商入围,或用于与瞻博网络的其他网络产品线整合。
-
市场响应能力:网络安全市场竞争激烈,供应商之间的竞争非常激烈,以确定关键的新兴用例,例如 FWaaS、ZTNA、云安全、SSE 和安全运营。尽管瞻博网络是一家大型网络供应商,但它在识别此类用例并为其推出产品方面进展缓慢。
-
产品策略:与积极扩展安全产品供应的直接竞争对手相比,瞻博网络缺乏强大的内部安全产品组合。因此,Gartner 客户不认为它是安全供应商整合的理想候选者。
-
客户反馈:Gartner 客户认为响应速度慢和新兴安全用例缺乏创新是未将瞻博网络列入候选名单的原因。他们还发现,相对于竞争对手而言,其价格较高。SD-WAN 和 DLP 功能可用,但需要额外付费。
微软
微软是这个魔力象限中的利基玩家。寻求整合的现有微软客户主要考虑其Azure防火墙。寻求本机防火墙以与 Azure 工作负载无缝集成的应用程序团队也更喜欢 Microsoft Azure 防火墙。
Microsoft Azure 防火墙可通过两种订阅获得:标准版和高级版。它可以由 Azure 防火墙管理器集中管理,并使用 Azure Monitor 和 Microsoft Sentinel 进行监视。
Microsoft 继续在安全性方面进行投资,例如向 Azure 防火墙管理器添加 DDoS 管理以及向 Azure 防火墙管理器添加 WAF 策略就表明了这一点。此外,微软还在其高级订阅中添加了 IPS。
-
供应商整合:想要整合到单一供应商的现有 Microsoft 客户广泛考虑 Microsoft 防火墙。Microsoft 提供了一系列安全服务,包括 Azure 防火墙、Azure Web 应用程序防火墙和 Azure Active Directory,这些服务可以一起部署。
-
易于使用:Microsoft Azure 防火墙与其他 Azure 托管服务无缝集成。它的部署比第三方防火墙简单,因为它是具有内置大小调整和扩展功能的内联产品。
-
销售执行:微软通过提供满足基本需求的简单防火墙,利用客户将工作负载转移到 Azure 的机会。Gartner 看到客户考虑将 Azure 防火墙用于 Azure 工作负载,而 Microsoft 的这一产品经常与专用防火墙供应商的产品竞争。
-
客户体验:用户认为易于部署是使用 Microsoft Azure 防火墙的主要原因。一个重要的次要原因是它与 Azure 生态系统的紧密集成,这有助于 DevOps。客户还赞赏 Microsoft 作为供应商的信誉及其对产品的支持。
-
创新:Microsoft 专注于将 Azure 防火墙与本机 Azure 产品集成,但在引入支持新兴云防火墙用例的功能方面落后。它缺乏专用的容器防火墙产品。微分段是通过安全标签而不是防火墙产品来处理的。
-
功能差距:Microsoft Azure 防火墙缺乏云防火墙所需且竞争对手提供的多种功能。不支持 IPv6,没有沙箱,也没有基于签名的应用程序控制。
-
性能:启用具有 TLS 的 IPS 时,网络流量吞吐量会下降 90%。不过,微软确实提供了一个选项,可以手动将站点添加到列表中,以绕过 TLS 解密。
-
客户反馈:客户表示高级防火墙订阅价格昂贵,文档质量较差,缺乏培训材料,并且日志记录缺乏对调试问题的支持。
Palo Alto Networks
Palo Alto Networks 是该魔力象限的领导者。根据 Gartner 客户的询问来看,它具有针对不同防火墙用例的最明显的防火墙。随着最近推出 PA-400 系列,Palo Alto Networks 的防火墙已成为中型企业使用的良好选择。
Palo Alto Networks 是一家拥有大量产品组合的安全供应商。除了最受欢迎的防火墙产品线 PA 系列之外,该供应商还拥有 SSE、云安全和安全运营产品线。
过去一年中与防火墙相关的主要更新包括发布了两个主要固件版本,增强了 URL 过滤、DNS 安全、物联网安全和威胁防御。该供应商还引入了 AIOps 并增强了其防火墙的 DLP 功能。
-
产品组合:Palo Alto Networks 拥有庞大的产品组合。Gartner 经常看到该供应商除了防火墙之外还签订了多个产品线的合同。Prisma Access (SASE) 和 Cortex Data Lake (XDR) 经常与防火墙一起入围。
-
部署模式:Palo Alto Networks 支持多种形式的防火墙部署,包括 PA 系列(硬件防火墙)、VM 系列(虚拟防火墙)、Prisma Access (FWaaS)、Cloud NGFW(AWS 云原生防火墙)和 CN -系列(容器化防火墙)。这使其成为混合环境(客户需要单一防火墙提供商)的理想选择。
-
高级安全功能:Palo Alto Networks 的防火墙在高级安全功能方面得分很高。该供应商提供强大的威胁检测和预防能力。其物联网安全订阅提供物联网设备的自动发现。Palo Alto Networks 还提供先进的 DNS 安全和 5G 安全功能。
-
FWaaS:Palo Alto Networks 的 FWaaS 产品 Prisma Access 不断成熟并支持完整的 SSE 功能,包括安全 Web 网关 (SWG)、CASB 和 ZTNA。它可以作为 Panorama(本地集中管理器)的插件进行管理,也可以作为独立的基于云的管理产品进行管理。
-
技术支持:Gartner 收到 Palo Alto Networks 客户的一致反馈,表明其技术支持质量下降,尤其是与 1 级支持相关的升级周期较长。因此,客户常常觉得需要将其支持升级到更高级别,以提供更快的 SLA,但价格更高。
-
基于云的管理器:Palo Alto Networks 的基于云的防火墙管理器用于分布式办公室和集中管理用例,与本地管理不相上下。其基于云的管理器主要用于 Prisma Access 产品线和“第 4 代”硬件型号。
-
客户反馈:一些 Gartner 客户报告了 Prisma Access 服务的连接和路由问题。这种反馈尤其来自其 FWaaS 和 Prisma Access GlobalProtect 服务的用户(因为它与防火墙客户端相关)。
-
ELA 合约的不透明性:Palo Alto Networks 提供多种类型的许可证,例如 ELA 和基于信用的许可证,但其报价往往缺乏透明度。它们大多包括批量定价,并且在逐项零件编号和逐项成本方面缺乏明确性。
深信服科技
深信服科技是这个魔力象限中的远见者。这家中国供应商对亚太地区和欧洲、中东和非洲(尤其是中东)希望通过单一供应商整合其安全产品的企业具有吸引力。
深信服的网络防火墙产品均属于下一代应用防火墙(NGAF)产品线,该产品线还包括WAF功能。除了网络防火墙之外,深信服还为 WAAP、SASE、ZTNA、IAM、端点安全、微分段和云工作负载保护提供广泛的安全产品。
深信服近期发布了多款新的硬件防火墙设备。新功能包括云欺骗订阅,以改进攻击检测。深信服还提供与其 ZTNA 和 SASE 产品完全集成的网络防火墙。
-
平台方法:深信服打造可共同管理的产品。其Platform-X云管理平台可以管理深信服的网络防火墙、Endpoint Secure和微分段解决方案,以及深信服的SWG和SD-WAN功能。
-
物联网安全:作为其基本许可证套件的一部分,深信服提供差异化的物联网签名,包括对 IP 摄像头协议的支持。深信服支持物联网资产分类、访问控制、协议识别与控制、弱口令检测以及监控网络物联网漏洞检测。
-
可扩展性:Sangfor Central Manager是供应商的本地中央管理设备,具有高度可扩展性。可以通过单个控制台管理大量设备。
-
定价策略:作为拥有众多大客户的供应商,深信服将其ELA作为战略产品包装工具。它通常会在 ELA 期限内提供大幅折扣、灵活的虚拟防火墙部署条款以及新产品添加,并在续订时进行调整。
-
高级网络:深信服防火墙缺乏5G支持。对于中国、其他几个亚太国家和中东部分地区(5G 基础设施主要分布在这些地区)的客户来说,这是一个重大缺陷。
-
公有云集成:深信服缺乏与许多地区流行的Microsoft Azure和GCP公有云的集成。
-
威胁检测:深信服的 IPS 签名比本魔力象限中评估的其他防火墙供应商少,并且没有与 IPS 结合进行机器学习分析来提高检测效率。此外,深信服缺乏与第三方工具的集成来改进恶意软件检测。
-
地理战略:深信服在亚洲和中东以外地区的业务很少。在这个魔力象限中评估的其他区域竞争对手更多地被考虑和部署在拉丁美洲。
SonicWall
SonicWall 是该魔力象限中的利基市场参与者。它是中型企业选择的有力候选者,因为它提供了强大的安全性并代表了良好的价值。其带有 FWaaS 的原生 SD-WAN 功能使其成为分布式办公室和远程访问用例的不错选择。
SonicWall 提供三种硬件设备防火墙产品线 – TZ、NSa 和 NSsp 系列 – 以及虚拟设备防火墙产品线 NSv 系列。除防火墙外,SonicWall 还销售集成 EDR、安全电子邮件网关、ZTNA 和 CASB 功能。
最近的更新包括对集中管理器的增强,包括规则优化和 SD-WAN 工作流程,以简化分支机构防火墙的配置。SonicWall 还引入了对 SonicWall 交换机、SonicWave 无线接入点和 SonicWall Capture 客户端的集中管理。
-
分布式办公室用例:SonicWall 在其所有防火墙型号和 SonicWall 网络安全管理器中提供本机 SD-WAN 功能。它还提供 Cloud Edge Secure Access,这是一种 SASE 产品,具有分布式办公用例所需的 FWaaS、ZTNA、网络访问控制和 CASB 功能。
-
定价:SonicWall 提供具有竞争力的价格,这使其成为中型企业的不错选择。SD-WAN 功能包含在其所有设备中,无需额外费用。DLP 功能是基础包的一部分,也无需额外付费。
-
客户反馈:客户对 SonicWall 用于管理不同 SonicWall 产品的单一管理界面表示赞赏。此外,他们还认为低 TCO 是选择 SonicWall 防火墙的一个原因。
-
集中管理:SonicWall 的 Capture Security Center (CSC) 是 SonicWall 产品的“单一管理平台”管理门户,包括其防火墙和 Cloud Edge Secure Access 产品。它简化了管理。
-
可见性:Gartner 认为 SonicWall 主要出现在中型企业的防火墙候选名单上。它缺乏其他用例的可见性,特别是分布式办公室用例(尽管具有本机 SD-WAN 功能和 FWaaS 产品)和数据中心用例。
-
产品功能:SonicWall 在其硬件设备上仅支持有限的虚拟实例(适合数据中心用例)。与此魔力象限中评估的其他供应商相比,它支持的 Web 应用程序类别更少。SonicWall 缺乏原生 XDR 产品;相反,它提供与第三方 XDR 平台的集成。
-
云防火墙:SonicWall 对公有云的支持落后于该魔力象限中的其他供应商,仅支持 AWS 和 Microsoft Azure;不支持 GCP。Azure 不提供即用即付选项。SonicWall 缺乏容器防火墙和微分段产品。
-
客户反馈:SonicWall 客户表示防火墙产品的报告功能有限且缺乏粒度。他们在联系技术支持后也经历了长时间的延迟。
Sophos
Sophos 是这个魔力象限中的利基玩家。其产品策略和基于平台的方法专注于中型企业的需求,在防火墙和 EDR 之间提供强大的集成。Sophos 正在逐步扩展其云安全产品线。
Sophos 提供网络安全、端点安全、云安全和 MDR 产品。其防火墙产品属于不同的产品线。Sophos 的防火墙和 Intercept X 端点安全产品是其最受欢迎的产品。
过去一年中与防火墙相关的主要更新包括推出 Sophos XGS 系列硬件防火墙,以及推出 Sophos ZTNA 产品和新软件订阅。Sophos 还改进了 XGS 性能并增强了 SD-WAN 编排。
-
平台方法:Sophos 将其防火墙、EDR 和 XDR 作为统一平台提供,具有强大的集成、集中管理和关联功能。它提供带有单个端点代理的单个云控制台来管理这两种产品。
-
中型企业用例:Sophos 的战略和销售执行重点针对中型企业。除了整合防火墙和 EDR 功能外,Sophos 还为寻求外包 MDR 服务的客户推出了托管威胁响应和快速响应服务。
-
基于云的集中管理器:Sophos 提供单一的基于云的集中管理器来管理其所有产品。这使得管理更加容易。
-
客户反馈:客户经常将 Sophos 的客户支持和成熟的产品文档视为主要优势。Sophos 引入了上下文相关帮助、指导教程和嵌入式操作视频,以进一步改善产品管理体验。
-
可见性:Sophos 通常对中型企业可见,但在其他防火墙用例中不太常用。尽管 Sophos 为 ZTNA 提供了单独的产品和包含容器防火墙的云防火墙。
-
ELA:尽管 Sophos 拥有广泛的产品组合,但并不提供 ELA 定价,尽管旨在整合同一供应商产品的客户希望这样做。相反,Sophos 提供了更简单的多年消费模型。
-
特点:Sophos 不提供 FWaaS,尽管 FWaaS 对于涉及分支机构和漫游用户的用例来说是理想的选择。它的防火墙也缺乏对 5G 的支持,而防火墙支持 SD-WAN。
-
客户反馈:随着中型企业市场供应商之间的竞争加剧,一些 Gartner 客户发现与其他向中型企业销售的供应商相比,Sophos 价格昂贵。
WatchGuard
WatchGuard 是这个魔力象限中的利基市场参与者。它为中型企业和分布式企业用例提供防火墙。除了Firebox防火墙之外,WatchGuard还有虚拟设备(FireboxV)和专为公共云环境设计的虚拟设备(Firebox Cloud)。
WatchGuard Dimension 是该供应商的本地防火墙管理解决方案。所有 WatchGuard 安全产品都可以通过其基于云的控制台 WatchGuard Cloud 进行管理。WatchGuard 安全产品组合中的其他产品提供多重身份验证 (MFA)、安全 Wi-Fi 和端点安全。
WatchGuard 最近发布了几款新的防火墙硬件设备。新功能的示例包括 Firebox 与 WatchGuard 的 MFA 和安全 Wi-Fi 产品的集成,以及供应商的防火墙上 SD-WAN 功能的负载共享功能。
-
产品策略:在过去的几年里,WatchGuard已经从传统的基于增值经销商(VAR)的进入市场策略转向以托管服务提供商(MSP)为中心的策略。这种重新关注使供应商使 WatchGuard Cloud 服务提供商友好且易于使用,同时还可以在每个服务提供商的多个最终用户客户之间进行扩展。
-
端点集成:WatchGuard 的 Firebox 防火墙与其端点安全产品一起进行管理。供应商有一个名为 ThreatSync 的流程,可以从 WatchGuard 防火墙、端点传感器和威胁情报源收集事件数据,分析集体数据并分配威胁评分。
-
OT 安全:WatchGuard 具有坚固耐用的网络防火墙,有时在某些制造和公用事业环境中使用。该供应商还在其基本安全套件和全面安全套件功能包中包含 SCADA 签名。
-
定价策略:在FlexPay许可模式下,WatchGuard提供使用预付款、WatchGuard积分或WatchGuard即用即付方式购买防火墙的选择,这在传统的基于资本支出的防火墙设备市场中是独一无二的。
-
IaaS 安全性:WatchGuard 具有仅适用于 AWS 和 Microsoft Azure 的公有云友好型防火墙。在这方面,它落后于大多数竞争对手,后者通常支持三个或更多基础设施即服务 (IaaS) 提供商。缺乏 GCP 支持限制了 WatchGuard 为“云中诞生”中型企业提供服务的机会,这些企业有时会选择 Google 作为其基础设施提供商。
-
FWaaS 和 ZTNA:许多中小型 Gartner 客户询问 FWaaS 作为传统分支机构防火墙的替代方案。但是,WatchGuard 不提供 FWaaS。它还缺乏 ZTNA 产品。
-
产品策略:WatchGuard 缺乏针对新兴云安全用例的产品,例如容器化防火墙和微分段。因此,除了寻求硬件防火墙的中型组织之外,它在 Gartner 的候选名单中缺乏可见性。
-
高级网络:截至本分析时,WatchGuard 尚未提供任何支持 5G 的防火墙。这限制了它在许多已经建立了广泛 5G 基础设施的地区的采用。
添加和删除的供应商
随着市场的变化,我们会审查并调整魔力象限的纳入标准。由于这些调整,任何魔力象限中的供应商组合可能会随着时间的推移而发生变化。供应商在一年而不是下一年出现在魔力象限中并不一定表明我们已经改变了对该供应商的看法。这可能反映了市场的变化,因此评估标准也发生了变化,或者供应商的关注点发生了变化。
添加
没有任何。
掉落
-
卡托网络
-
Versa网络
纳入和排除标准
纳入标准代表了 Gartner 分析师认为供应商必须具备的特定属性才能纳入该魔力象限。
市场定义/描述部分涵盖的网络防火墙功能供应商被考虑在本魔力象限中进行评估,条件如下:
-
供应商必须将硬件/虚拟设备或云原生防火墙作为其主要防火墙产品。
-
供应商必须至少在以下三个地区开展业务,包括其所在地区:亚太地区、北美、拉丁美洲、欧洲、中东。
-
提供硬件设备/虚拟设备作为主要防火墙产品的供应商在 2021 年必须在仅硬件设备/虚拟设备防火墙方面产生至少 7000 万美元的收入。
-
供应商必须拥有满足公共云用例需求的记录。
-
Gartner 分析师肯定已经评估过供应商能够在网络防火墙市场上有效竞争。
-
Gartner 分析师肯定已经确定,由于这些供应商的市场影响力、竞争知名度或技术创新,他们是网络防火墙市场的重要参与者。
-
供应商必须有能力满足市场定义/描述部分中提到的多个网络防火墙部署用例。
-
公共云供应商必须提供专用的防火墙产品。
排除标准:
-
Gartner 认为提供 FWaaS 作为主要防火墙产品线的供应商没有资格纳入此魔力象限。
评价标准
执行能力
Gartner 分析师根据流程、系统、方法或程序的质量和功效对供应商进行评估,这些流程、系统、方法或程序使供应商的绩效具有竞争力、高效且有效,并对收入、保留率和声誉产生积极影响。以下标准用于评估供应商的执行能力。
产品或服务:供应商为特定市场提供的核心商品和服务。这包括当前的产品/服务能力、质量、功能集、技能等,无论是本地提供还是通过市场定义中定义并在子标准中详细说明的 OEM 协议/合作伙伴关系提供。
子标准:
-
产品能够满足不同网络防火墙用例的需求并专注于不同的网络防火墙用例。
-
平台方法。
-
支持是根据特别与企业和云用例相关的产品的质量、广度和价值来评估的。
整体生存能力:
生存能力包括对整个组织的财务状况、业务部门的财务和实际成功的评估,以及各个业务部门继续投资产品、继续提供产品并在范围内推进最先进技术的可能性。该组织的产品组合。
销售执行/定价:供应商在所有售前活动中的能力以及支持这些活动的结构。这包括交易管理、定价和谈判、售前支持以及销售渠道的整体有效性。
子标准:
-
客户对定价的反馈。
-
合同的透明度。
-
B清晰易懂的定价模型。
-
有竞争力的总拥有成本。
-
强大的售前和售后支持和服务。
市场响应能力/记录:随着机会的发展、竞争对手的行动、客户需求的发展和市场动态的变化,能够做出响应、改变方向、灵活并取得竞争成功。该标准还考虑了供应商的响应历史。
子标准:
-
及时推出新功能,满足客户的需求。
-
能够支持新兴用例,例如 SASE、云安全和物联网安全。
-
及时的合作伙伴集成来支持客户的需求。
营销执行:旨在传达组织信息以影响市场、推广品牌和业务、提高产品知名度并在市场中建立对产品/品牌和组织的积极认同的计划的清晰度、质量、创造力和有效性买家的心思。这种“思想分享”可以通过宣传、促销活动、思想领导力、口碑和销售活动的结合来推动。
子标准:
-
供应商在客户候选名单上的可见性。
-
最终用户从供应商迁移的程度。
-
供应商的营销面临直接竞争的程度。
-
最终用户对供应商品牌的认知度。
客户体验:使客户能够利用所评估的产品取得成功的关系、产品和服务/计划。具体来说,这包括客户获得技术支持或帐户支持的方式。这还可以包括辅助工具、客户支持计划(及其质量)、用户组的可用性、服务级别协议等。
最重要的因素是整个销售和产品生命周期的客户满意度。同样重要的是易用性、平台方法、集中管理和针对最新攻击的防护。关于供应商产品或支持的趋势反馈(正面或负面)也具有很高的权重。
运营:组织实现其目标和承诺的能力。因素包括组织结构的质量,包括技能、经验、计划、系统和其他使组织能够持续有效和高效运营的工具。
愿景的完整性
Gartner 分析师评估供应商是否有能力令人信服地阐明有关市场当前和未来方向、创新、客户需求和竞争力的逻辑陈述。他们评估这些陈述与 Gartner 对市场的看法的相符程度。
市场理解:供应商了解买家的需求并将其转化为产品和服务的能力。具有最高远见的供应商会倾听并了解买家的需求,并可以通过他们的远见来塑造或增强这些需求。
子标准:
-
能够理解并添加功能以满足客户对不同用例的需求。
-
能够理解并响应客户的产品和市场相关要求。
-
能够满足客户要求所规定的时间表。
-
支持混合环境和不同的防火墙部署用例、平台方法、集中管理和可见性、云安全、云工作负载保护和自动化。
营销策略:在整个组织内一致传达并通过网站、广告、客户计划和定位声明具体化的一组清晰、差异化的信息。
子标准:
-
能够提供与客户的用例和要求产生共鸣的清晰消息。
-
能够与销售和分销渠道、最终用户和不同类型的买家就功能、产品固件、愿景进行有效沟通,并关注不断发展的用例,以建立品牌。
-
关于不断发展的用例的强有力、清晰的信息。
销售策略:销售产品的策略,利用适当的直接和间接销售、营销、服务和通信附属网络来扩大市场覆盖范围和深度、技能、专业知识、技术、服务和客户群。
子标准:
-
有效的销售和定价模型,满足客户对不同部署用例的要求。
-
清晰透明的定价模型。
-
全面的渠道和合作伙伴策略,可向多个部署用例进行销售。
-
网络安全和/或云工作负载购买中心的方法。
提供(产品)策略:供应商的产品开发和交付方法,强调差异化、功能、方法和特性集,以满足当前和未来的需求。
子标准:
-
开发强大的功能以增强威胁防御。
-
集成的功能和自动化,而不是具有重叠产品的广泛产品组合。
-
强大的功能和实施支持所有网络防火墙用例。
-
与合作伙伴进行成熟的产品集成,增强针对OT、分支机构/园区、云安全和在家工作用户等环境的网络防火墙功能。
商业模式:供应商基本业务主张的健全性和逻辑性。
垂直/行业战略:供应商引导资源、技能和产品以满足各个细分市场(包括垂直市场)特定需求的战略。
创新:出于投资、整合、防御或先发制人目的而对资源、专业知识或资本进行直接、相关、互补和协同的布局。
子标准:
-
平台方法。
-
针对特定防火墙部署用例的强大愿景和卓越功能。
-
功能成熟度。
-
与重叠产品集成。
-
使用技术来检测和预防威胁。
-
卓越、差异化的功能和创新,可支持一个或多个网络防火墙用例。
地理战略:供应商的战略,旨在直接或通过适合该地理位置和市场的合作伙伴、渠道和子公司,直接或通过合作伙伴、渠道和子公司,引导资源、技能和产品,以满足“本土”或本地地理以外地区的特定需求。
象限描述
领导者
领导者象限包含能够通过率先引入额外功能并提高人们对这些功能重要性的认识来塑造市场的供应商。领导者有潜力在单一平台解决方案中满足企业对多个防火墙用例的需求。
领导者提供新功能来保护客户免受新出现的威胁。它们满足不断发展的混合网络(包括公共云和私有云)的要求。他们提供专家功能,而不是将防火墙视为商品。他们在避免安全产品漏洞方面拥有良好的记录。
领先者提供创新功能来简化混合环境中防火墙策略的配置和管理。它们通常能够以最小的性能损失处理最高的吞吐量。此外,它们通常还提供硬件加速选项、对私有云和公共云平台的支持,以及在企业转向新基础设施外形尺寸时保护企业的外形尺寸。领导者提供了第一个特性和功能来深入支持新兴的防火墙用例。他们采用集成平台方法,而不是为不同的用例提供多个不同的产品线,而缺乏集成。
除了提供非常适合客户当前需求的技术外,领导者还针对未来可能的需求和混合网络的发展展现出卓越的愿景和执行力。
挑战者
挑战者拥有健全的经销商渠道和客户,但并不能始终以差异化的下一代能力处于领先地位。许多挑战者的防火墙功能尚未完全成熟。他们可能拥有在企业领域取得成功的其他安全产品,并且可能依靠与客户的现有关系而不是防火墙产品来赢得交易。
挑战者的产品通常价格合理,而且由于执行力强,这些供应商可以提供许多其他供应商无法提供的经济的安全产品捆绑包。
许多挑战者通过在整体产品集中给予安全或防火墙产品较低的优先级来阻止自己成为领导者。
挑战者通常拥有重要的市场份额,但在发布新功能时可能会落后于市场份额较小的人。
有远见者
有远见的人在创新方面处于领先地位,但仅限于一两个防火墙部署用例。他们拥有正确的设计和功能,但缺乏与领导者和挑战者持续竞争的销售基础、战略或财务手段。有时,有远见的人会做出有意识的决定,专注于有限数量的防火墙用例。大多数Visionaries的产品都具有良好的下一代防火墙功能,但在性能和支持网络方面有所欠缺。
有远见的人在保护在家工作的用户、确保工作负载的安全、在公共云和软件定义的网络环境中实现东西向分段以及自动化威胁检测等方面展现了强大的愿景和市场领先的创新。
利基玩家
大多数利基玩家都拥有特定用例的主要安装基础或突出地位,例如涉及数据中心、电信公司、分布式企业、中型企业和公共 IaaS 的用例。一些提供防火墙作为模块以及其他服务或组件的利基玩家专注于特定的用例。
利基玩家由于客户群有限,缺乏执行能力,而且往往不会表现出太多创新。有些仅限于特定地区。
语境
随着网络的发展,网络防火墙供应商不断扩大其产品组合,以覆盖重叠的安全市场并吸引寻求整合的买家。然而,从同一供应商购买并不一定能保证简单性和集中管理。
基于设备的防火墙仍然与多种防火墙用例相关。硬件设备更新仍然相当稳定。对高吞吐量硬件防火墙的需求,特别是对于数据中心和企业外围用例。
FWaaS 对远程用例的需求不断增长,无论它们涉及分支机构还是家庭。在这方面,整合也很明显,结合了 CASB、ZTNA 和 SWG 功能的 SSE 越来越成为一种需求。具有高吞吐量要求或合规性限制的分支机构继续为分支机构用例选择硬件设备。(独立的 FWaaS 供应商没有出现在今年的魔力象限中,因为对其产品的需求不足以保证包括在内。)
由于对云防火墙(云原生防火墙和容器防火墙)的强烈需求,针对云安全用例进行创新的供应商正在获得关注。因此,我们将云服务提供商纳入此魔力象限。
由于客户对其重要性的一致反馈以及网络防火墙价格的频繁上涨,销售执行/定价标准的权重很大。更复杂的合同、更高的续签成本和更高的总体拥有成本正在引起客户的不满。
市场概况
网络防火墙市场仍然是最大的安全市场之一,并且一直随着更广泛的安全市场的发展而发展。因此,现在有多种因素推动着网络防火墙市场。
混合环境的兴起是供应商引入多种防火墙部署类型(例如 FWaaS 和云原生)的关键因素。使用防火墙保护本地环境、多个云环境和远程用户的需求不断增长。
对零信任的兴趣倾向于选择能够帮助企业实现 ZTNA 的单一防火墙供应商,这样他们就不必使用多个供应商。客户在从同一供应商购买重叠技术时期望获得成熟的集成能力。
人们对东西向分割策略的可见性和控制以及增强的安全操作集成非常感兴趣。
先进的安全功能仍然是一个关键的驱动因素,因为威胁媒介正在使用更复杂的手段来攻击混合劳动力和云网络。大多数供应商都在尝试开发或获取提供这些功能的产品,但他们面临着来自为该特定用例提供精细功能的最佳供应商的激烈竞争。
网络防火墙市场已发展为包括以下细分市场,每个细分市场都有一组特定的功能:
-
云防火墙:这些来自云基础设施供应商的防火墙旨在作为单独的虚拟实例或容器中的云原生部署。容器防火墙还可以保护容器之间的连接。
-
混合网状防火墙:这些平台可将现代网络防火墙控制扩展到多个实施点(包括 FWaaS 和云防火墙),并通过单个基于云的管理器进行集中管理,从而帮助保护混合环境。
-
防火墙即服务 (FWaaS):FWaaS 是作为基于云的服务提供的多功能安全网关,通常用于保护小型分支机构和移动用户。
关于该市场的其他重要观察:
-
客户继续对网络防火墙产品价格上涨给出负面反馈。似乎只有区域供应商提供简单且有竞争力的价格。其他供应商继续定期提高价格。
-
高级威胁检测和预防仍然是一个重要的入围标准。网络防火墙供应商一直在增强其在该领域的功能,其中主要增强了与物联网安全和 DNS 安全相关的功能。
-
更多供应商推出了云防火墙产品,尽管这些产品的成熟度不同。容器防火墙仍然只有少数供应商提供。
-
供应商可能会将引入 FWaaS 产品作为优先事项,但更多供应商首先引入 ZTNA 和/或 SWG。
-
尽管供应商声称其网络防火墙与其他重叠产品线之间具有强大的集成,但 Gartner 发现这些集成非常基础。
-
数据中心网络防火墙供应商不断推出性能更高的防火墙。
-
此魔力象限中评估的所有防火墙供应商都在其防火墙设备中提供本机 SD-WAN 功能。
-
随着中型企业逐渐成为混合环境组织,他们对成熟安全性的需求促使安全预算增加。因此,中型企业防火墙的使用案例似乎正在增长,越来越多的供应商引入设备和捆绑许可来吸引这些企业。现在,赢得业务的竞争非常激烈。
评估标准定义
执行能力
产品/服务:供应商为特定市场提供的核心商品和服务。这包括当前的产品/服务能力、质量、功能集、技能等,无论是本地提供还是通过市场定义中定义并在子标准中详细说明的 OEM 协议/合作伙伴关系提供。
整体生存能力:生存能力包括对整个组织的财务状况、业务部门的财务和实际成功以及各个业务部门继续投资产品、继续提供产品并推进产品状态的可能性进行评估。组织产品组合中的艺术。
销售执行/定价:供应商在所有售前活动中的能力以及支持这些活动的结构。这包括交易管理、定价和谈判、售前支持以及销售渠道的整体有效性。
市场响应能力/记录:随着机会的发展、竞争对手的行动、客户需求的发展和市场动态的变化,能够做出响应、改变方向、灵活并取得竞争成功。该标准还考虑了供应商的响应历史。
营销执行:旨在传达组织信息以影响市场、推广品牌和业务、提高产品知名度并在市场中建立对产品/品牌和组织的积极认同的计划的清晰度、质量、创造力和有效性买家的心思。这种“思想分享”可以通过宣传、促销活动、思想领导力、口碑和销售活动的结合来推动。
客户体验:使客户能够利用所评估的产品取得成功的关系、产品和服务/计划。具体来说,这包括客户获得技术支持或帐户支持的方式。这还可以包括辅助工具、客户支持计划(及其质量)、用户组的可用性、服务级别协议等。
运营:组织实现其目标和承诺的能力。因素包括组织结构的质量,包括技能、经验、计划、系统和其他使组织能够持续有效和高效运营的工具。
愿景的完整性
市场理解:供应商了解买家的需求并将其转化为产品和服务的能力。具有最高远见的供应商会倾听并了解买家的需求,并可以通过他们的远见来塑造或增强这些需求。
营销策略:在整个组织内一致传达并通过网站、广告、客户计划和定位声明具体化的一组清晰、差异化的信息。
销售策略:使用适当的直接和间接销售、营销、服务和通信附属公司网络来销售产品的策略,扩大市场覆盖范围、技能、专业知识、技术、服务和客户群的范围和深度。
提供(产品)策略:供应商的产品开发和交付方法,强调差异化、功能、方法和特性集,以满足当前和未来的需求。
商业模式:供应商基本业务主张的健全性和逻辑性。
垂直/行业战略:供应商引导资源、技能和产品以满足各个细分市场(包括垂直市场)特定需求的战略。
创新:出于投资、整合、防御或先发制人目的而对资源、专业知识或资本进行直接、相关、互补和协同的布局。
地理战略:供应商的战略,旨在直接或通过适合该地理位置和市场的合作伙伴、渠道和子公司,直接或通过合作伙伴、渠道和子公司来引导资源、技能和产品,以满足“本土”或本地地理之外的地理区域的特定需求。
(转自:https://www.gartner.com/)
-2-110x80.jpg)
-1-110x80.jpg)
-3-110x80.jpg)
-1-110x80.jpg)
-110x80.jpg)
-110x80.png)