欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

新一代防火墙的撕X大戏:Palo Alto Networks安全公司全解读

来源:本站整理 作者:佚名 时间:2017-03-17 TAG: 我要投稿

“防火墙”到底是谁发明的?如果你去追本溯源,会发现“防火墙之父”的这个头衔似乎存在于很多人身上。早在90年代初,William Cheswick和Steven Bellovin撰写了有关防火墙的一本书《防火墙与互联网安全》;David Pensak宣称他构建了首个在商业上成功的防火墙;Marcus Ranum说他的成就就是防火墙发明者;还有个名叫Nir Zuk的家伙说,当代防火墙是他发明的…
Gartner副总裁、著名分析师John Pescatore对此有这样一番解释:“Cheswick和Bollovin是网络防火墙概念之父:即采用包过滤的方式Deny All,并设定Allow例外;而Ranum是初代防火墙‘产品’——DEC SEAL之父,就是那个著名的开源防火墙(1992年就正式推出了)。”
“Presotto(及其同事)创造了状态检测防火墙的概念。Zuk则是状态防火墙产品之父(在Check Point的时候),随后Zuk在NetScreen公司的时候则推出了应用防火墙,所以我觉得应该称他为防火墙设备之父。”[1]
我们来单独看看最后这个叫Nir Zuk的以色列人,他曾经说过:
“现如今这个世界只有一种防火墙技术,那就是我发明的这种。而其他人所有的工作都纯粹只停留在纸面上。”
细究谁是防火墙之父的问题并没有多大价值,而这个叫Nir Zuk的家伙乃是这篇文章将要详细讨论的公司,Palo Alto Networks的联合创始人兼CTO。然而,Nir Zuk帮助构建状态检测防火墙技术,其实是他还在Check Point这家公司的事情了。

 
Palo Alto Networks联合创始人兼CTO Nir Zuk
在FreeBuf看来,即便对于防火墙技术研发有杰出贡献的人有很多,Nir Zuk也不愧“防火墙之父”的名号。可以说,这两年很火的“新一代防火墙(Next-Generation Firewall,NGFW)”概念就是Palo Alto Networks一手打造的。
Palo Alto Networks这家公司也因此从未脱离“革命”二字,这与Zuk的个性和经历存在莫大关联。本文尝试以Zuk的故事为出发点,以“革命”为关键词,探讨Palo Alto Networks这家公司的特色。
与Check Point不得不说的那些年
有关状态检测防火墙,和新一代防火墙(或者叫下一代防火墙)的概念,我们在先前思科防火墙的评测中已经花了比较大的篇幅去介绍(点击这里)。用一句话来概括,新一代防火墙相较状态检测防火墙,其特点是将对流量的检测提升到了应用层(第七层),而状态检测防火墙仅停留在网络层和传输层(第三层&第四层)。

 
2016Q1防火墙设备的市场占比排名
前些年,思科的ASA状态检测防火墙市场占有率就在连年下滑,其根本原因是思科对于新一代防火墙的反映比较慢,自2013年收购Sourcefire之后才开始力推FirePOWER系列“新一代防火墙”——这部分市场正被Check Point和Palo Alto Networks全面蚕食。从Gartner去年的统计数据也不难发现防火墙市场现如今的格局。
故事在此背景下便可说开去。状态检测防火墙就是Check Point公司最早推出的。当时从Unit 8200(以色列国防部旗下的神秘间谍部队)退役、二十多岁的Nir Zuk就是Check Point公司的技术主力——他和Check Point联合创始人Gil Shwed,早在Unit 8200部队的时候就是非常要好的朋友。
Shwed说来也是个神人,他在Unit 8200服役期间就打造了全球首款基于IP地址对流量进行筛选的包过滤设备。Zuk在1990年加入了Shwed的队伍,直到Shwed退役并于1993年成立了Check Point(和另外两个同为军人出身的Shlomo Kramer和Marius Nacht)。1994年,Zuk也加入了Check Point,并帮助公司打造了极富盛名的状态检测防火墙。[2]

 
Check Point联合创始人兼CEO Gil Shwed
用现在的话来说,Zuk本人当时就是个极客,每天都在想着开发新产品,似乎没有“革命”就没法活下去。这也是Zuk被称作“防火墙之父”的原因之一。1997年之后,Zuk搬去美国加州为Check Point开发新产品,他与妻子还一起在美国买了房子准备在美国常住。当时他对于团队打造的新产品极具信心,但Check Point以色列总部在这款产品即将发布之际砍掉了该项目。按照Zuk本人的说法,总部给的理由是:“以色列总部的工程师对于有人只是为了好玩,而在美国打造新产品感到很愤怒。”(2010年在ITWorld采访Zuk的时候,他特别补充说:我没在开玩笑,这就是他们给的理由。[3])
Zuk旋即选择了离开Check Point。在离开Check Point之后,他自己开办了一家公司,这家公司2002年被Netscreen收购。在不到一年的时间里,NetScreen就成为全球第二大防火墙供应商。2004年,NetScreen又被Juniper Networks收购。Juniper在当时的安全行业已经是家大公司了,Zuk觉得他根本就不能适应大公司整天削减支出,一个决策就要在企业内部打转好几圈的这种官僚作风,所以再度决定辞职。Juniper在对他挽留的当下,他提要求说:
要我留下,我的要求包括:我想要个自己的项目,我要打造一款全新的防火墙,我需要1000万美元的预算,我还需要挑选25个人,给我两年时间!
Juniper并没有满足Zuk的要求,Zuk便离开了这家公司。现在想想,假若Juniper真的拨出了这些人和预算,“新一代防火墙”的话语权说不定就已经在Juniper手中了。只不过大企业错失良机的故事比比皆是,这样的事也算不得稀罕。
2005年,Zuk的生活和事业陷入低谷,10年婚姻也随工作变迁而消失。此时的Zuk已经35岁,他搬到了山景城的一座小公寓中生活,位于Palo Alto外围。在Zuk的生活不如意之际,他接到了Asheem Chandna的电话——Chandna是谁?这人原本是Check Point的副总裁,比先前Zuk还早2年从Check Point离职。Chandna当时在一家名叫Greylock风投公司,据说他一直在关注Zuk这些年的动向,因为Zuk是Check Point团队中“最醒目的(brightest)”。

[1] [2] [3] [4] [5] [6] [7]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载