防火墙竞争分析 Fortigate.ppt

* * ?2010 Check Point Software Technologies Ltd. | [Confidential] For Check Point users and approved third parties | ?2010 Check Point Software Technologies Ltd. | [Confidential] For Check Point users and approved third parties Check Point 防火墙竞争分析 面临的主要问题（1）-价格 宝马和桑塔纳的故事 XX防火墙价格很便宜，Check Point价格好像挺贵的 安全性 操控性 可靠性 面临的主要问题（2）-产品同质化 防火墙都和大白菜普及了，选哪个产品都一样嘛 其实不一样 “传统”防火墙已经无法满足安全防御的需求 “应用安全”已经成为防火墙发展的必然方向 防火墙安全管理已经仅仅在WEB界面上配置规则 如何方便的监控企业安全状况，分析事故，解决问题？ Fortinet 竞争分析 产品对位分析表（1）-对应Juniper老产品线 Power-1 5075 9G UTM-1 3073/3076 4.5G(IPS 4G) UTM-1 1073/1076 2G UTM-1 572/576 1.1G 600M UTM-1 272/6 400M UTM-1 132/136 Power-1 9075 16G UTM-1 Edge 190M UTM-1 2073/2076 3G(IPS 1G) Power-1 11085 25G IP2455 29G IP1285 10.3G IP565 6.3G IP395 3G IP295 1.5G FG 50/80/110 SMB 产品线 50/350/500M 150/400/500/600M FG 200A/300A/400A/500A FG 800/1000A 1G/2G FG 310B 12G(IPS 800M) FG 620B 16G(IPS 1G) 6G(10G) FG 3600A 7G(37G) FG 3810A 26G FG 5020 总体分析篇 市场面 Check Point产品在业界广泛应用，在全球高端的运营商、金融市场广受好评； Fortigate产品在高端市场应用较少，主要是因为其产品成熟度、可靠性相对较弱； 解决方案 Check Point提供了从网关安全、终端安全和安全管理的整体安全解决方案 Fortigate终端软件功能简单，缺乏数据加密、USB设备管理、程序控制等功能； Fortigate VPN客户端和终端软件无法集成为1个客户端Agent； 用户希望面对更少的产品/服务提供商，更简单（统一）的管理功能 产品线 Check Point提供了功能一致的稳定发展的产品线；拥有业界最优秀的管理系统； Fortigate的集中安全管理功能很弱，在第三方评测中口碑不佳；当然，这也是影响其在大型企业（高端市场）推广的重要原因之一； 传统功能篇（1）-防火墙 防火墙技术 Check Point是状态检测技术的发明者，引擎技术先进、成熟 Fortigate是防火墙领域的后来者 精细粒度访问控制 Check Point可以实现基于用户的透明访问控制，日志可以详细记录用户,主机信息 Fortigate无法实现基于用户的透明访问控制，日志无法记录用户、主机信息 传统功能篇（2）-VPN VPN技术-网关到网关VPN Check Point采用一键式VPN技术，集中配置VPN配置，管理1台设备和100台设备工作量相差不大； Fortigate的VPN配置必须要在每台设备上进行，管理工作量随着设备数量线性增长配置1台1分钟，10台10分钟； Fortigate的VPN管理功能在业界屡受恶评（需要繁琐的操作） VPN技术-VPN客户端认证 Check Point内置数字证书系统，提供免费的数字证书用于VPN客户端认证； Fortigate不支持该功能； 为什么使用数字证书？数字证书认证将比user/password更加安全，且免费，免维护 VPN技术-VPN客户端安全检查 Check Point的VPN客户端提供健康检查功能，对于存在恶意软件、未升级补丁的客户端，将禁止其登录VPN； Fortigate的VPN客户端自身无法提供健康检查功能； 传统功能篇（3）-高可用性 防火墙双机负载均衡 Check Point可以实现真正的双机负载均衡功能，对外提供单一虚拟IP地址； Fortigate负载均衡功能无法对外提供单一虚拟IP地址，在真实网络环境中，无法实现负载均衡；如果要实现和Check Point相同的功能，必须购买额外的负