资料下载

catonetworks 800x140

检查点软件公司和Cato 网络s联合创始人Shlomo Kramer分享了他的旅程:从“ Firewall-1”软件到当今的防火墙即服务

由管理员撰写。发表于 广域网

5 1 1 1 1 1 评分5.00(7投票)
压住他

shlomo kramer cato网络创始人通过: Shlomo Kramer,Check Point软件&Cato 网络s联合创始人

作为Check Point Software的创始人之一,最近 卡托网络,经常有人问我对整体IT的未来,尤其是安全和网络的未来的看法。对话将始终转向新的网络技术或对最新安全威胁的响应。实际上,我认为防火墙的未来在于解决我们过去开始解决的问题。

防火墙1检查点旗舰防火墙的名称,是产品的一个奇怪名称。成为防火墙的代名词的产品并不是第一个防火墙。当我发明名称并保存第一个项目文件时,该类别已经存在(A Yacc语法 (如果您必须知道的话,请提交有状态检查编译器的文件。)实际上,当我们开始进行市场调研时,吉尔所做的第一件事就是 检查点 1992年,我们为防火墙管理员订阅了一份新成立的防火墙邮件列表。

防火墙1 原为 第一个使网络安全变得简单的防火墙。这是简单的一招 防火墙1。从软件到设备,防火墙的发展很大程度上受到简单性的推动。这与三年前推动的趋势相同 古尔·沙茨(Gur Shatz) 和我开始 卡托网络 并利用下一个防火墙时代, 向云的转变.

为了更好地理解为什么简单性如此有用,请与我一起经历25年的个人防火墙之旅。您将学到一些鲜为人知的安全琐事,并更好地了解防火墙和安全基础架构的发展方向。

软件时代与简单革命

当我们开始开发时 防火墙1,现有的防火墙是复杂的野兽。解决方案,例如 猛禽防火墙 要么 可信信息系统防火墙工具包 (快客)依靠大量的专业服务。两者都来自美国公司(如果我没记错的话 猛禽杜邦快客数字)。

该产品需要持续关注。使用新的Internet应用程序可能意味着在防火墙上安装新的代理服务器。升级现有应用程序可能需要同时升级现有代理服务器,否则可能会损坏应用程序。毫不奇怪,解决方案出售给愿意为实施和维护它们所需的广泛定制和专业服务付费的大型组织。

他们说“必要性是发明之母”,对于 吉尔, 马吕斯I。我们不是美国公司。广泛的现场支持,定制实施,专业服务-规范模型对我们坐在我祖母的距离市场10,000英里的公寓中不起作用,因为以色列夏季酷暑无空调,公司银行账户中只有30万美元。

我们需要一个不同的策略。我们需要的解决方案是:

  • 使用简单,无需客户支持,
  • 易于部署,无需专业服务,
  • 很容易从远处购买,最重要的是,
  • 对于三个有能力的开发人员来说,足够简单,可以在用完预算(约12个月)之前进行构建。

制作防火墙 使用简单,关键是两个要素:

  • A 有状态的万能检查机 可以处理 任何 应用程序给出了正确的轻量级配置文件。不再需要为每个应用程序部署和更新自定义代理服务器。在接下来的几年中,当Internet流量模式改变为包括越来越多的应用程序时, 有状态检查 成为 危急.
  • 一个 直观的图形用户界面 任何系统管理员几乎都能立即理解和使用。

实际上,我们第一次没有正确使用该用户界面。经过几个月的开发,我们与幸运的是PC开发人员的朋友们组成了一个“焦点小组”,在那时,PC开发人员比我们的Sun Workstation团队要先进得多,而且我们的焦点小组讨厌UI。重新开始,并开发类似于PC的界面,如下所示:

 检查点防火墙1规则库编辑器

标题:FireWall-1早期界面的屏幕截图。

 我仍然认为这很棒。顺便说一句,您可能会注意到一个名为“”在规则库中。它是我们拥有的两个Sun工作站之一(实际上是从以色列的Sun分销商那里借来的),并命名为 孤独僧侣,美国爵士钢琴家和作曲家。另一台机器被命名为 迪伦。还有所有这些很酷的图标吗?他们是由 马吕斯 成为我们的图形艺术家的两倍。他在PC上工作。

制作产品 易于部署, 我们特别努力将整个发行版压缩到一个软盘中,并在软盘标签上印有安装手册:

 检查点防火墙1 solaris fdd

标题:早期的FireWall-1磁盘。请注意标签上的安装说明。

最后一个关键点是制造产品 容易购买。在竞争激烈的公司直接销售并从专业服务中获得相当一部分收入的世界中,我们决定成为一家纯粹的渠道公司,仅通过合作伙伴进行销售。

我们很幸运能早日注册 顺软,当时领先的计算机制造商Sun Microsystems的软件部门,成为其流行的Solstice套件的一部分。在早期,Sun的发行专有技术和功能至关重要。在随后的拉动市场中,购买 FW-1 通过我们的合作伙伴,简单变得至关重要。

 检查点防火墙1冬至

标题:作为Sun Solstice套件的一部分打包的早期FireWall-1磁盘

电器时代:大规模简化

随着防火墙的普及,工作站的外形尺寸变得越来越难以维护。由于客户使用产品的方式,我们业务的基本前提(易于购买,易于部署,易于使用)正在受到侵蚀。当您在一个经过改造的工作站上运行单个Internet控制点时,这是一回事,但是现在组织已经分发了数百个在各种计算机和操作系统上运行的防火墙。您可以想象混乱。

从收缩包装的软件过渡到预包装的设备似乎是一个简单而合理的下一步。过渡绝非简单。

市场上已经有一个现有的外围设备- 路由器。将防火墙嵌入到该设备中是非常合理的,至少那是我与之签署OEM协议时所想到的 Wellfleet通讯,然后是第二路由器公司(当然是在思科之后)。我们甚至有一个购买了300个节点的客户(纽约州的一个大Fl)。我们的领先工程师之一 尼尔祖克,搬到波士顿在Wellfleet办公室工作并支持该项目。

 将检查点防火墙1嵌入到Welfleet路由器中

说明文字:将防火墙嵌入Welfleet路由器的概念不错,但由于底层路由器的局限性而使瘫痪。

我记得那天我去过 尼尔。他一点都不开心,随地吐痰和骂人 尼尔 能够。 Wellfleet路由器所基于的硬件和操作系统不是 足够强大 也不 足够动态 解决复杂防火墙的需求。这与为基于Solaris的工作站进行开发相去甚远。工作进展缓慢,最后, 尼尔 有足够的才能去做一些基本的工作,使我们能够实施 300个路由器防火墙节点 由客户购买。但是产品仍然受到底层平台的破坏。总体而言,该产品并不成功。

很明显,需要专用设备,因此我们开始寻找一种足够灵活的平台来运行防火墙的平台。我们针对的早期平台之一是一家名为 阿蒙,他们运行了基于RMON标准的网络监视解决方案。

由于该设备是为运行复杂的软件而构建的,因此我们认为它非常适合 FW-1。的 阿蒙 CEO, 伊加尔·雅各比,是OEM模式的忠实拥护者,并向我们授权包装盒以制造 专用防火墙设备。但 阿蒙 刚被买了 新光通讯,当时领先的布线集线器制造商, Wellfleet 来形成 海湾网络。我们需要 海湾网络 管理层的支持,这意味着与 吉姆·格茨,后来以 红杉.

伊加尔 我穿着最好的服装,就我而言,是唯一的西装 吉姆 在一个咖啡店里 维加斯 在Interop节目对面。会议没有成功。显然, 吉姆 不喜欢我的服装风格,并在会议中大部分时间都在指责我。因此,由于我缺乏时尚感,防火墙的未来遭受了小小的挫折。但是这个想法显然停滞了,因为我们很快就会见面 吉姆 在更幸运的情况下。

将firewall-1嵌入诺基亚设备诺基亚ip1220 

标题:将防火墙嵌入诺基亚设备(如图所示为诺基亚IP1220)被证明是成功的。

无论如何,我没有放弃。我录用了 阿希姆(Asheem Chandna) (后来以Greylock成为著名的投资者) 业务发展和产品管理副总裁,并搬迁了 尼尔祖克海湾地区。两者开始了OEM计划,其中包括 检查点 产生了非常成功的 诺基亚 关系,这是多年的基础 检查点的 电器产品线。

作为结尾, 尼尔, 吉姆麻疹 几年后成立了一家公司 帕洛阿尔托网络 重新定义了网络安全市场,推出了第一台现代统一威胁防护设备。而且,是的,它很容易购买,部署和使用,并且很好地解决了需要保护的不断变化的流量模式带来的挑战。

 Palo Alto通过统一威胁防护设备PA-7000重新定义了网络安全市场

说明文字:Palo Alto用统一的威胁防护设备(这里显示的是PA-7000系列设备)重新定义了网络安全市场。

云端服务:简化当今的业务

防火墙一直是定义外围的业务,但最初我们有雄心勃勃地追求WAN的业务。在 检查点 我们开发了 虚拟专用网-1 释放后立即 防火墙1 (然后将它们合并为一个产品套件), 第一 基于IPsec的VPN 在网关之间,以及以后的远程用户客户端VPN版本。这个想法是要取代MPLS的前身帧中继和ATM。

 在诺基亚设备上运行的VPN-1磁盘

标题:可在诺基亚设备上运行的早期VPN-1磁盘

然后我们开发了 FloodGate-1 提供 广域网优化服务质量 为了 IP 虚拟专用网网络。目标是为高质量的基于Internet的WAN创建一个平台,该平台不需要专用,昂贵的帧中继或ATM连接,并且将扩展到物理位置以外的任何类型的游牧活动(如果我们使用90年代的术语)用户。

失败了MPLS获胜。人们希望得到SLA支持的网络来运行他们的关键任务应用程序。互联网太不可预测了。那是我在的出口项目 检查点。我离开后, FloodGate-1 努力被淘汰。

我还将这个问题放在一边,并开始致力于将防火墙深入到组织的数据中心。那花了大约 12年 并产生了其他公司 Imperva 接着 封装,成立于 古尔·沙茨(Gur Shatz),很快就成为了真正的云创新者。

封装,设备尺寸首次受到攻击。到目前为止,数据中心主要托管在云服务上,甚至只是一个很好的老式托管服务器。当您可以使用第三方云服务时,物理设备毫无意义。封装 取得了巨大的成功(仍然如此),因为它需要应用程序交付和安全性,并将云挑战与云工具集相匹配。

当我们忙于数据中心防火墙时,越来越清楚的是外围正在消失。在我的大多数应用都是第三方的世界中 软件作为服务 (SaaS),我的大部分数据都驻留在第三方公共云上,并且我的大部分工作是在办公室外的移动设备上完成的,当物理设备保护我现在空旷的办公室时,它们有什么用?

组织不得不购买越来越多的产品来保护自己的产品。 SaaS 应用, 基础架构即服务 (IaaS),云数据中心和移动用户,以及他们持续进行的防火墙支出。更糟糕的是,许多分支机构和小型办公室从来没有直接进入Internet,而只是通过MPLS回传到防火墙所在的公司中心。互联网成为一种实用工具。您随时随地都需要以安全的方式使用它。因此,出现了诸如MPLS增强和安全Web网关之类的各种补丁,以提高组织所有元素的Internet可用性。在这个阶段,事情非常混乱。与简单的购买,部署和使用过去的想法相去甚远。

 借助云,您可以为所有位置,资源和用户创建一套具有一套安全策略的网络

标题:使用云,您可以为所有位置,资源和用户创建一个具有一组安全策略的网络

什么时候 古尔 (是的,那个来自 封装 名望),我开始 卡托网络 大约三年前,我们意识到WAN和外围设备的问题是相互关联的,因此需要一种新的体系结构,以使安全的Internet和WAN随时随地可用于组织的任何部分–分支机构,数据中心,云段,移动用户。就像回到17年前 虚拟专用网-1水闸1 并在此问题上进行了第二轮,但这一次是在由云和移动性驱动的完全不同的世界中。关键保持不变:将简单性带入一个日益复杂的世界。

 Cato网络提供了多种SD-WAN用例

标题:Cato解决了各种用例。

封装 我们建立的剧本 云网络 能够随时随地提供网络和安全服务。认为 AWS 用于网络和网络安全。我相信这是从现在起10年后将主导企业WAN的体系结构。

但这不只是我的信念。在进入市场18个月后,数百家在各个垂直领域拥有数千家分支机构的客户现在都依赖于 卡托云 连接并保护他们的公司网络。他们同意我们的观点: Cato是网络的未来.

返回SD-WAN部分

压住他

文章 阅读下一篇:

CCENT / CCNA

思科公司 路由器

  • SSL WebVPN
  • 保护路由器
  • 基于策略的路由
  • 棒上路由器

虚拟专用网安全

  • 了解DMVPN
  • GRE / IPSec配置
  • 站点到站点IPSec 虚拟专用网
  • IPSec模式

思科公司 救命

  • 视窗 8 虚拟专用网客户端
  • 视窗 7的VPN客户端
  • CCP显示问题
  • 思科支持应用程序。

视窗 2012

  • 新的功能
  • 发牌
  • Hyper-V / VDI
  • 安装Hyper-V

的Linux

  • 文件权限
  • Webmin
  • 群组-用户
  • Samba设置