Check Point防火墙竞争分析_Juniper

©2010CheckPointSoftwareTechnologiesLtd.|[Confidential]ForCheckPointusersandapprovedthirdpartiesCheckPoint防火墙竞争分析Mar30,201022©2010CheckPointSoftwareTechnologiesLtd.|[Confidential]ForCheckPointusersandapprovedthirdparties|面临的主要问题（1）-价格宝马和桑塔纳的故事XX防火墙价格很便宜，CheckPoint价格好像挺贵的安全性操控性可靠性33©2010CheckPointSoftwareTechnologiesLtd.|[Confidential]ForCheckPointusersandapprovedthirdparties|面临的主要问题（2）-产品同质化防火墙都和大白菜普及了，选哪个产品都一样嘛其实不一样“传统”防火墙已经无法满足安全防御的需求“应用安全”已经成为防火墙发展的必然方向防火墙安全管理已经仅仅在WEB界面上配置规则如何方便的监控企业安全状况，分析事故，解决问题？©2010CheckPointSoftwareTechnologiesLtd.|[Confidential]ForCheckPointusersandapprovedthirdpartiesJuniper竞争分析55©2010CheckPointSoftwareTechnologiesLtd.|[Confidential]ForCheckPointusersandapprovedthirdparties|Juniper的产品线和困局Juniper有新、旧2条产品线旧产品线：SSG系列（中低端）、ISG系列（中高端）、NS5200，5400（高端）新产品线：SRX系列旧产品主要来源于以前收购的Netscreen产品线，新产品线为Juniper研发的新一代产品新旧两条产品线的区别硬件的区别：旧产品线主要采用ASIC芯片；新产品采用X86芯片软件的区别：旧产品线采用ScreenOS（专用系统），新产品线采用JuniperOS（基于BSDUNIX)看起来，新产品线并不是旧产品线的简单升级，几乎相当于重新研发一个产品Juniper的困局旧产品线，7年没有更新硬件，后续发展方向如何？如果现在购买，后续的产品支持和升级如何保障？新产品线：现有产品线在中国应用很少，稳定性、可靠性如何保证。如果现在购买，是否会成为小白鼠？66©2010CheckPointSoftwareTechnologiesLtd.|[Confidential]ForCheckPointusersandapprovedthirdparties|Juniper为什么要更新产品线应用安全已经成为防火墙发展的必然趋势，基于多核CPU技术的硬件平台是应用安全防火墙发展的未来Juniper老产品线基于ASIC技术，已经无法满足应用安全灵活多变的特点，因此，新产品线采用至强芯片77©2010CheckPointSoftwareTechnologiesLtd.|[Confidential]ForCheckPointusersandapprovedthirdparties|产品对位分析表（1）-对应Juniper老产品线Power-150759GUTM-13073/30764.5GUTM-11073/10762GUTM-1572/5761.1G600MUTM-1272/6400MUTM-1132/136Power-1907516GUTM-1Edge190MSSG5/SSG20160M/160M450M/550MSSG320/SSG350SSG520/SSG550650M/1GISG10002GISG20004G10GNetscreen520030GNetscreen5400UTM-12073/20763GPower-11108525GIP245529GIP128510.3GIP5656.3GIP3953GIP2951.5G88©2010CheckPointSoftwareTechnologiesLtd.|[Confidential]ForCheckPointusersandapprovedthirdparties|产品对位分析表（2）-对应Juniper新产品线Power-150759GUTM-13073/30764.5GUTM-11073/10762GUTM-1572/5761.1G600MUTM-1272/6Power-1907516GSRX100650M750MSRX210SRX2401.5GSRX6507GSRX340010/20GUTM-12073/20763GPower-111065/110751108515/20/25GIP245529GIP128510.3GIP5656.3GIP3953GIP2951.5G10/20/30GSRX3600IP6957.2G99©2010CheckPointSoftwareTechnologiesLtd.|[Confidential]ForCheckPointusersandapprovedthirdparties|总体分析篇市场面CheckPoint是专业的安全厂商，专注于防火墙产品和技术的发展Juniper是网络厂商，防火墙产品线不是其发展的重点解决方案CheckPoint提供了从网关安全、终端安全和安全管理的整体安全解决方案Juniper终端软件功能薄弱，也无法提供”网关“和”终端“的统一管理方案。Juniper终端缺乏防病毒、数据加密、USB设备管理、程序控制等功能用户希望面对更少的产品/服务提供商，更简单（统一）的管理功能产品线CheckPoint提供了功能一致的稳定发展的产品线；Juniper产品线正处在新旧交替过程中，对用户采购带来很大的技术困扰；1010©2010CheckPointSoftwareTechnologiesLtd.|[Confidential]ForCheckPointusersandapprovedthirdparties|传统功能篇（1）-防火墙防火墙技术CheckPoint是状态检测技术的发明者，引擎技术先进、成熟Juniper（Netscreen）是防火墙领域的后来者精细粒度访问控制CheckPoint可以实现基于用户的透明访问控制，日志可以详细记录用户,主机信息Juniper无法实现基于用户的透明访问控制，日志无法记录用户、主机信息1111©2010CheckPointSoftwareTechnologiesLtd.|[Confidential]ForCheckPointusersandapprovedthirdparties|传统功能篇（2）-VPNVPN技术-网关到网关VPNCheckPoint采用一键式VPN技术，集中配置VPN配置，管理1台设备和100台设备工作量相差不大；Juniper的VPN配置必须要在每台设备上进行，管理工作量随着设备数量线性增长配置1台1分钟，10台10分钟；Juniper并不适合于大型VPN系统的配置和管理VPN技术-VPN客户端认证CheckPoint内置数字证书系统，提供免费的数字证书用于VPN客户端认证；Juniper不支持该功能；为什么使用数字证书？数字证书认证将比user/password更加安全，且免费，免维护VPN技术-VPN客户端安全检查CheckPoint的VPN客户端提供健康检查功能，对于存在恶意软件、未升级补丁的客户端，将禁止其登录VPN；Juniper的VPN客户端自身无法提供健康检查功能；1212©2010CheckPointSoftwareTechnologiesLtd.|[Confidential]ForCheckPointusersandapprovedthirdparties|传统功能篇（3）-SSLVPNVPN技术-SSLVPNCheckPoint所有系列防火墙设备支持全功能的SSLVPN；Juniper的所有防火墙设备部支持SSLVPN；如果用户需要SSLVPN功能，必须购买额外的SSLVPN设备；1313©2010CheckPointSoftwareTechnologiesLtd.|[Confidential]ForCheckPointusersandapprovedthirdparties|传统功能篇（4）-高可用性防火墙双机负载均衡CheckPoint可以实现真正的双机负载均衡功能，对外提供单一虚拟IP地址；Juniper负载均衡功能无法对外提供单一虚拟IP地址，在真实网络环境中，无法实现负载均衡；如果要实现和CheckPoint相同的功能，必须购买额外的负载均衡交换机Cluster动态流量分配CheckPoint可以在Cluster的防火墙之间进行动态流量分配；Juniper无法实现该功能；1414©2010CheckPointSoftwareTechnologiesLtd.|[Confidential]ForCheckPointusersandapprovedthirdparties|应用安全篇（1）-安全架构应用安全管理CheckPoint集中所有应用安全功能模块，通过单一界面实现集中管理；Juniper必须要用NSM*管理服务器实现应用安全模块集中管理。NSM应用案例极少JuniperSRX可以通过WEB界面配置应用安全模块（如IPS），但是，无法记录详细日志，无法提供实时监控。应用安全扩展CheckPoint即将发布DLP模块（数据防泄漏），网关安全发展已经拓展到数据安全领域；Juniper目前尚无法实现数据安全保护网络安全——应用安全——数据安全，CheckPoint引领下一代防火墙的发展方向应用安全架构CheckPoint采用基于软件刀片的应用安全架构，每个应用安全功能模块（FW,VPN,AV,IPS…)，其本质是软件模块，通过鼠标就可以操作；JuniperSRX系列、ISG系列需要硬件模块的插拔，以启用应用安全功能。SRX系列不支持热插拔；1515©2010CheckPointSoftwareTechnologiesLtd.|[Confidential]ForCheckPointusersandapprovedthirdparties|应用安全篇（2）-IPS刀片（第一年免费*）IPS刀片-产品线CheckPoint全系列网关都采用相同的IPS引擎技术；Juniper的SSG系列，Netscreen5200/5400系列采用了其”deepInspection“*技术，其他产品线采用IDP*技术-管理、培训不方便IPS刀片-性能CheckPoint网关的IPS性能从300M~15G，适应不同规模的企业需求；Juniper的SSG系列，Netscreen5200/5400系列上IPS功能少，性能极差。即便在Netscreen5200上开启”deepinspection“功能时，吞吐量只有140M；JuniperSRX的IPS性价比低*IPS刀片-管理CheckPoint提供了独有IPS管理功能，包括：时间线技术、终端查询技术、性能参考、事件可信度技术、基于国家的IP地址过滤；JuniperISG系列必须采用NSM*专用设备才能够配置和管理IPS；Juniper即便采用NSM设备，也无法实现CheckPoint所提供的管理功能；IPS刀片-功能CheckPoint的IPS刀片连续2年对微软的漏洞检测率最高；Juniper的IPS模块功能较弱，无法拦截QQ/迅雷等应用程序；微软漏洞几乎已经成为企业最大的安全威胁1616©2010CheckPointSoftwareTechnologiesLtd.|[Confidential]ForCheckPointusersandapprovedthirdparties|管