【企業研究報告】新一代防火牆的撕X大戲：Palo Alto Networks安全公司全解讀

「防火牆」到底是誰發明的？如果你去追本溯源，會發現「防火牆之父」的這個頭銜似乎存在於很多人身上。

早在90年代初，William Cheswick和Steven Bellovin撰寫了有關防火牆的一本書《防火牆與互聯網安全》；David Pensak宣稱他構建了首個在商業上成功的防火牆；Marcus Ranum說他的成就就是防火牆發明者；還有個名叫Nir Zuk的傢伙說，當代防火牆是他發明的…

Gartner副總裁、著名分析師John Pescatore對此有這樣一番解釋：「Cheswick和Bollovin是網路防火牆概念之父：即採用包過濾的方式Deny All，並設定Allow例外。

而Ranum是初代防火牆『產品』——DEC SEAL之父，就是那個著名的開源防火牆（1992年就正式推出了）。」

「Presotto（及其同事）創造了狀態檢測防火牆的概念。Zuk則是狀態防火牆產品之父（在Check Point的時候），隨後Zuk在NetScreen公司的時候則推出了應用防火牆，所以我覺得應該稱他為防火牆設備之父。」

[1]

我們來單獨看看最後這個叫Nir Zuk的以色列人，他曾經說過：

「現如今這個世界只有一種防火牆技術，那就是我發明的這種。而其他人所有的工作都純粹只停留在紙面上。」

細究誰是防火牆之父的問題並沒有多大價值，而這個叫Nir Zuk的傢伙乃是這篇文章將要詳細討論的公司，Palo Alto Networks的聯合創始人兼CTO。然而，Nir Zuk幫助構建狀態檢測防火牆技術，其實是他還在Check Point這家公司的事情了。

Palo Alto Networks聯合創始人兼CTO Nir Zuk

在FreeBuf看來，即便對於防火牆技術研發有傑出貢獻的人有很多，Nir Zuk也不愧「防火牆之父」的名號。可以說，這兩年很火的「新一代防火牆（Next-Generation Firewall，NGFW）」概念就是Palo Alto Networks一手打造的。

Palo Alto Networks這家公司也因此從未脫離「革命」二字，這與Zuk的個性和經歷存在莫大關聯。

本文嘗試以Zuk的故事為出發點，以「革命」為關鍵詞，探討Palo Alto Networks這家公司的特色。

與Check Point不得不說的那些年

有關狀態檢測防火牆，和新一代防火牆（或者叫下一代防火牆）的概念，我們在先前思科防火牆的評測中已經花了比較大的篇幅去介紹（點擊這裡）。

用一句話來概括，新一代防火牆相較狀態檢測防火牆，其特點是將對流量的檢測提升到了應用層（第七層），而狀態檢測防火牆僅停留在網路層和傳輸層（第三層&第四層）。

2016Q1防火牆設備的市場佔比排名

前些年，思科的ASA狀態檢測防火牆市場佔有率就在連年下滑，其根本原因是思科對於新一代防火牆的反映比較慢，自2013年收購Sourcefire之後才開始力推FirePOWER系列「新一代防火牆」——這部分市場正被Check Point和Palo Alto Networks全面蠶食。從Gartner去年的統計數據也不難發現防火牆市場現如今的格局。

故事在此背景下便可說開去。

狀態檢測防火牆就是Check Point公司最早推出的。

當時從Unit 8200（以色列國防部旗下的神秘間諜部隊）退役、二十多歲的Nir Zuk就是Check Point公司的技術主力——他和Check Point聯合創始人Gil Shwed，早在Unit 8200部隊的時候就是非常要好的朋友。

Shwed說來也是個神人，他在Unit 8200服役期間就打造了全球首款基於IP地址對流量進行篩選的包過濾設備。

Zuk在1990年加入了Shwed的隊伍，直到Shwed退役並於1993年成立了Check Point（和另外兩個同為軍人出身的Shlomo Kramer和Marius Nacht）。1994年，Zuk也加入了Check Point，並幫助公司打造了極富盛名的狀態檢測防火牆。[2]

Check Point聯合創始人兼CEO Gil Shwed

用現在的話來說，Zuk本人當時就是個極客，每天都在想著開發新產品，似乎沒有「革命」就沒法活下去。這也是Zuk被稱作「防火牆之父」的原因之一。

1997年之後，Zuk搬去美國加州為Check Point開發新產品，他與妻子還一起在美國買了房子準備在美國常住。當時他對於團隊打造的新產品極具信心，但Check Point以色列總部在這款產品即將發布之際砍掉了該項目。

按照Zuk本人的說法，總部給的理由是：「以色列總部的工程師對於有人只是為了好玩，而在美國打造新產品感到很憤怒。」（2010年在ITWorld採訪Zuk的時候，他特別補充說：我沒在開玩笑，這就是他們給的理由。[3]）

Zuk旋即選擇了離開Check Point。在離開Check Point之後，他自己開辦了一家公司，這家公司2002年被Netscreen收購。在不到一年的時間裡，NetScreen就成為全球第二大防火牆供應商。

2004年，NetScreen又被Juniper Networks收購。Juniper在當時的安全行業已經是家大公司了，Zuk覺得他根本就不能適應大公司整天削減支出，一個決策就要在企業內部打轉好幾圈的這種官僚作風，所以再度決定辭職。Juniper在對他挽留的當下，他提要求說：

要我留下，我的要求包括：

我想要個自己的項目，我要打造一款全新的防火牆，我需要1000萬美元的預算，我還需要挑選25個人，給我兩年時間！

Juniper並沒有滿足Zuk的要求，Zuk便離開了這家公司。現在想想，假若Juniper真的撥出了這些人和預算，「新一代防火牆」的話語權說不定就已經在Juniper手中了。只不過大企業錯失良機的故事比比皆是，這樣的事也算不得稀罕。

2005年，Zuk的生活和事業陷入低谷，10年婚姻也隨工作變遷而消失。此時的Zuk已經35歲，他搬到了山景城的一座小公寓中生活，位於Palo Alto外圍。

在Zuk的生活不如意之際，他接到了Asheem Chandna的電話——Chandna是誰？這人原本是Check Point的副總裁，比先前Zuk還早2年從Check Point離職。

Chandna當時在一家名叫Greylock風投公司，據說他一直在關注Zuk這些年的動向，因為Zuk是Check Point團隊中「最醒目的（brightest）」。

Greylock和Sequoia Capital兩家風投公司隨後給了Zuk 25萬美元的啟動資金，Zuk就是在這兩家公司的辦公室一手打造了當下極富盛名的「新一代防火牆」，這便是Palo Alto Networks公司的由來。

值得一提的是，第二年，這兩家風投公司又給Palo Alto Networks注資超過900萬美元，而Check Point的另一名聯合創始人Shlomo Kramer也選擇了給這家新公司注資。

這樣一來，Palo Alto Networks與Check Point這種千絲萬縷的聯繫便始終不曾斷過。前者的董事會成員就包括了後者的兩名「叛兵」，Check Point聯合創始人Shlomo Kramer和前副總裁Asheem Chandna。

這已經足夠說明Zuk在技術上是何等受到其他人的肯定。

新一代防火牆的撕X大戲

似乎在早前Zuk離開Check Point之後，便與昔日好友Shwed（Check Point的聯合創始人，也是現在的CEO）真正變得勢不兩立。

即便是Palo Alto Networks早已上市的今天（2012年6月，PAN募集2.6億美元資金IPO上市），依然可以看到Zuk隔空與Shwed撕X，諷刺對方的產品很糟糕。

福布斯雜誌當年追問Shwed這段歷史的時候，Shwed甚至對於Zuk和Palo Alto Networks的名字都絕口不提。

「我覺得一個好人這樣做事是件很悲哀的事情。這個人是先前Check Point的一個很不開心的員工，一個很聰明的人」，「他們也有好的一面，我傾向於去考慮我們越來越好，技術也越來越棒」。

這番話中不知省略了幾萬字用以表達雙方現如今的狀態。

其實無論Palo Alto Networks如何諷刺Check Point的防火牆產品根本就不能算是新一代防火牆，我們從Gartner的企業防火牆魔力象限之上也依舊能看到，這兩家公司的防火牆常年佔據第一象限的制高點，幾乎被Gartner認為是現如今最優秀的防火牆產品。

2016年Gartner企業網路防火牆魔力象限

看Gartner在去年5月份發布的企業網路防火牆魔力象限，Palo Alto Networks已經連續第五年位於Leaders領導者象限，而且在縱坐標的執行能力（Ability to Execute）方面冠壓群雄。

然而，「唯二」與Palo Alto Networks位於Leaders象限的，也就只有Check Point了，且Check Point在橫坐標的前瞻性（Completeness of Vision）方面表現得更優秀。（看看Juniper…）

實際上Check Point在這個魔力象限中也已經連續數年蟬聯Leaders位置，所以這兩者的實力都並不是吹出來的。

翻看這兩家公司近期的季度財報，其季度營收都越來越靠近，可Check Point早在1993年就成立了，Palo Alto Networks卻整整晚了12年，其追趕速度不可謂不神速。

那麼這兩位撕X的點究竟在哪兒呢？這是本文接下來要分析的重點，理解了這個問題，自然也就能夠了解「新一代防火牆」這個概念究竟誰才是正統。

從2009年Gartner正式對「新一代防火牆」這個名詞下定義[5]，新一代防火牆就已經不光是個營銷噱頭了。我們再回顧一下新一代防火牆需要滿足的主要要求：

- 標準第一代防火牆能力（包過濾、NAT、狀態協議檢查、VPN等）；

- 不僅限於融入網路入侵防禦能力；

- 應用感知，和全棧可視性；

- 支持防火牆以外的威脅情報。

實際上，這其中最重要的部分就是所謂的「應用感知和全棧可視性」。這是新一代防火牆相較狀態檢測防火牆最大的區別，將針對流量的檢測提升到了OSI模型中的第七層，並依據對應用層的流量檢查，實現對應用的識別，以及直觀的可視化。

比如說，在這種功能的加持下，防火牆可以實現允許Skype應用流量，但同時卻禁止Skype應用中的文件共享功能。這是以前的防火牆無法實現的功能。

當代很多防火牆提供商都宣稱自己所推的是新一代防火牆，但我們認為，從Gartner針對新一代防火牆的完整定義來看，Palo Alto Networks可能是為數不多真正有底氣可以說自己的產品才是新一代防火牆的廠商（畢竟這貨就是他們發明的）。

如Fortinet之類前期在推UTM（統一威脅管理）設備的廠商曾經說，新一代防火牆只是個營銷噱頭，本質上新一代防火牆就是UTM。

如果你對UTM有過了解就不難發現，UTM的理念是對諸多網路安全設備做整合，企業購買一台設備就能解決很多問題，UTM中的IPS模塊本質上的確也有應用層的深度包檢測能力，這應該是Fortinet認為新一代防火牆和UTM本質相同的原因所在。

但這些年，不難發現像Fortinet這樣的廠商也開始熱推「新一代防火牆」產品，且與其看家的UTM是區分開的，兩者是否有差異也就不難理解了。

那麼Palo Alto Networks說自家新一代防火牆「正宗」的底氣在哪兒？

從其產品的源起開始，Palo Alto Networks的幾大殺手鐧就包括了防火牆的單流架構（Single-Pass Architecture，或者譯作單通架構）、對App-ID、User-ID和Content-ID的識別，從應用、內容和用戶三個層面，做到七層可視性。

其中的

單流架構

可能就是根源所在了。

我們先前在分析思科的防火牆產品的時候曾經提到過，思科剛開始應對新一代防火牆來勢洶洶的方法是，相對機械地給ASA狀態檢測防火牆，直接搭配FirePOWER模塊（來自收購的SourceFire）。

就好像一個機架上有兩台設備，ASA代碼和FirePOWER部分分開，在流量流經的時候，一個包至少需要被檢查2次，首先是ASA部分，隨後再藉由FirePOWER引擎處理檢查。

即便後來推出的FirePOWER防火牆已經採用統一鏡像，也仍然是ASA運行在FTD OS之上的容器中，FTD鏡像或本身更像是設備中跑在eXtensible OS系統上的虛擬機。

這很大程度上是上一代做防火牆產品的常規思路，Palo Alto Networks的說法是，「傳統安全整合的方式就是在基礎防火牆之上加入功能。」

「這甚至不能稱為整合，而是合并（consolidation），

只是簡單將多個產品做成一個獨立的設備

。」「由於功能都在同一台設備上實現，所以會有整合的錯覺。」「每個功能都在消耗系統資源。」[6]這些用詞看起來很大程度上是在諷刺UTM。

從結構複雜性、網路性能的角度來看，在安全部署中每加入一台新的安全設備的確會增加架構和管理的複雜性；且新設備的加入意味著網路延遲會有增加。

如上圖所示，不同模塊捕捉不同的應用，這是個相對混亂的局面，最終要呈現的綜合可視性也有難度。這種非持續性在流量分類的問題上是存在缺陷的，也一定程度增大了安全風險。

Palo Alto Networks相較當前絕大部分防火牆市場的玩家都更年輕，所以的確是如Zuk想的那樣從頭打造了一款防火牆。

其防火牆從設計之初就想到採用單流架構來處理包。這種架構針對每個包只執行一次操作。

在防火牆進行包處理的時候，針對所有流量，networking、策略查詢、應用與解碼以及簽名匹配都只執行一次；而且這種架構在首先執行全棧（full-stack）檢查後，將結果上下文面向所有安全執行選項開放。總結成一句話，是

「掃描全部，掃描一次」

。

實際上，這是相當理想化的一種防火牆架構，尤其是在增加了第七層應用可視性之後。

從理論上來說，這樣的架構的確更有助於節約硬體資源，也能保持更低的網路延遲。而且其技術亮點還有一點是值得一提的，就是硬體加速。

其實硬體加速在傳統多安全設備疊加的架構上是個很奢侈的概念，一旦涉及到多引擎掃描，硬體加速就很難了——因為很多廠商開發的「新一代防火牆」針對應用層的內容掃描是後來添加到設備之上的，而不是從設計伊始就從硬體和軟體層面做到貫穿整合。

所以Palo Alto Networks宣稱他們的防火牆產品能為每個主要功能模塊提供硬體加速，各種功能（包括User-ID、App-ID等）都在專門的處理器上執行，而且實現了並行處理，這就是依據所在。

PA-5000系列的硬體核心模塊示意圖

從我們掌握的信息來看，這裡所謂的「專用處理器」算不上什麼黑科技，或者說並沒有奢侈到採用非標準器件的程度。

以PA5000系列為例，防火牆採用Intel Xeon四核處理器，依據其宣傳冊上畫的處理流程，我們猜測應該是令FPGA（或為ASIC？）通過PCIe匯流排連接Xeon處理器。所以Palo Alto Networks防火牆的價格並不便宜，這部分當然也是需要研發成本的。

只不過這應該不算是單流架構的最大功臣，整體架構的單流才的確讓主要模塊都實現了硬體加速和並行處理。

基於這種單流架構，Palo Alto Networks和其他競爭對手撕X的主要立足點就在於此。

比如

Palo Alto Networks嘲笑Check Point的所謂新一代防火牆，其實就是狀態檢測簡單地疊加了「Application Blade」

，甚至說「Check Point基於狀態檢測的防火牆，加上像UTM似的blade，無法提供Palo Alto Networks所能提供的安全應用能力[7]」。

Palo Alto Networks防火牆簡要解析

自2011年Palo Alto Networks在Gartner的企業防火牆魔力象限位居Leaders象限以來，Gartner都言明這種單流架構都為其客戶所樂道，而且的確在性能方面相較競品更出色。

而除此之外，Gartner這些年反覆強調Palo Alto Networks的另一個強項在App-ID應用識別能力上，在管理類設備中，其防火牆產品總是在配置方便性和應用識別上拿到最高分。

這也就要談到Palo Alto Networks防火牆在應用可視化、威脅防護方面的三板斧了——這三板斧可能是目前所有新一代防火牆產品學習的對象。它們分別是：

-

App-ID：

從這個宣傳辭彙不難理解，就是指識別穿越網路的應用是什麼。這實際上是新一代防火牆都在著力的能力，也是實現應用可視性的基礎。

Palo Alto Networks的防火牆針對應用的識別也並不依賴單一要素，包括應用簽名、TLS/SSL和SSH流量的解密、應用和協議Decode（檢查那些可能在協議內部搞隧道技術的應用，以及在應用內識別某個特別的功能）、啟發式識別（針對隱蔽性更強的應用，比如使用專門加密的VoIP應用）。

新一代防火牆的七層檢查特性不止用於威脅檢測攔截，還在於應用控制，而且是細粒度的應用功能控制。

比如說允許企業員工瀏覽Facebook，但是不允許使用Facebook郵件、聊天、內容發布和應用的使用；再比如說允許用戶用即時通訊工具聊天，但是禁止文件傳輸，或者只允許特定文件類型的傳輸。這也是App-ID能夠實現的。

Palo Alto Networks本身會維護一個雲端App-ID資料庫，每周都會更新（每周更新3-5個可識別的App），增加更多已知的商業應用。

對於App-ID未知的企業內部自製應用，防火牆也支持用戶定製一個App-ID，由用戶定義應用分類和檢查，且不會受到每周App-ID更新的影響。

-

User-ID：

基於用戶和分組——而非IP，來實現可視性、安全策略和報告的一種能力。從名字就不難理解，利用User-ID可以基於用戶身份信息，進行應用和內容啟用策略的部署；也就是了解誰在網路中使用應用。實現以非IP的方式來識別用戶和分組，其中的方式還是比較多的。

針對User-ID的識別方式包括GlobalProtect客戶端（而且是跨主流平台的）、XML API、syslog監聽、埠映射（針對如Citrix XenApp多用戶使用相同IP的情況，這種識別方式可以區分用戶和應用）、XFF Headers（代理伺服器會隱藏用戶IP，這種方式則從HTTP客戶端請求的XFF header中讀取IP地址，將用戶真正的IP地址和用戶名對應起來）、伺服器監聽（針對Microsoft Active Directory、Exchange和Novell eDirectory環境）、客戶端探查。

-

Content-ID：

這才是防火牆威脅防護的根本；主要是用於限制未經授權的數據和文件傳輸，依據類型阻止敏感數據和文件傳輸；檢測和阻止大範圍exploit、惡意程序、具有威脅的web瀏覽；通過整合的URL資料庫進行web過濾。在具體實現上包括了與App-ID中的應用與協議Decoder結合、SSL解密、繞行技術控制等方式，對所有的流量和埠進行分析。

這三板斧解決的問題概括成三句話就是：

通過的流量是什麼以及是否允許通過（App-ID）？是否允許特定用戶或分組通過（User-ID）？流量中存在哪些風險和威脅（Content-ID）？

這其中尤為值得一提的是WildFire

，本質上這是Palo Alto Networks的威脅情報雲，是這家公司安全版圖布局中相當重要的一部分——威脅情報本身就是從端點到網路安全設備都在著力的組成部分。

針對防火牆（以及端點安全的Traps）無法識別的應用和威脅，防火牆會捕捉那些未知文件，交由WildFire來處理。WildFire也是Palo Alto Networks宣稱可預防未知威脅和APT攻擊的根本所在。WildFire的主體技術包括了4部分，分別是

動態分析：本質上是種沙盒技術，不過是雲上的沙盒——將可疑文件放置到虛擬環境中，對文件進行觀察，利用數百種行為特色，實現0day惡意程序和exploit的檢查；

靜態分析：動態分析的補充；

機器學習：訓練可預測的機器學習classifier，識別新型惡意程序和exploit；

Bear Metal分析：將那些真正具有極強隱蔽性的威脅發往真實的硬體環境進行檢測。

當某個原本未知的樣本被標記為惡意之後，WildFire就會更新，並將其在5分鐘內推送給所有WildFire訂閱用戶。

此外，對於企業的應急響應團隊來說，WildFire會給出事件的整合日誌、分析和可視化，安全團隊就能快速定位數據，做出響應。

按照Palo Alto Networks的說法，已經有超過14000家企業、政府和服務提供商在共建WildFire這個威脅情報雲了。

不光是上述防火牆Content-ID利用WildFire威脅情報雲，

Palo Alto Networks的產品服務，比如Traps端點防護、Aperture SaaS安全服務，都用到了WildFire

。這朵雲有與FireEye的威脅情報直接競爭的意思。

撕X從沒怕過誰的Zuk 和一路開掛的Palo Alto Networks

無論從哪個角度來看，Palo Alto Networks的防火牆產品都是Gartner定義下的標準「新一代防火牆」，或者說Gartner可能就是按照這家公司的防火牆產品來給新一代防火牆下定義的。

我們從這些漂亮的理論解決方案，不難理解從頭打造一款新產品，而無需像老廠商那樣瞻前顧後，在舊有技術上做新技術的粗暴加法，具備了對一類產品「革命」性的意義。這大概也是Palo Alto Networks這些年發展如此神速的原因。

早些年，（素有以色列余承東之稱的）Zuk大嘴就曾經這麼評價過包括思科、Sourcefire（那時思科還沒收購Sourcefire）、Check Point等在內的競爭對手：「這些廠商就是在做一些犯人在做的事情，提出上訴！[10]」那些產品應用層控制只是在做「無用功」，比如Check Point防火牆產品提供85%的折扣，因為Palo Alto的成功，他們基本宣布「以免費的方式放棄產品」了。

2016Q2全球安全設備市場份額

Palo Alto Networks並非光打嘴炮。

文章第一部分援引Gartner的防火牆市佔率數據已經很能說明問題，這裡還可援引IDC去年9月份統計的「全球安全設備收益，市場份額」[12]（安全設備不僅包括防火牆，還有UTM、IPS等），Palo Alto Networks已經和排在第二的Check Point咬得很緊，

同比增速近40%，這個速度比思科的1.6%和Check Point的10%可是快了相當多

。

這個數據和Gartner防火牆市場份額是基本相符的。以這樣的增速，超越Check Point不過是時間問題。

或許只在技術原理上吹得如此有派頭，尤其是單流架構在防火牆產品中的一枝獨秀，最終還是要用「療效」來說話的。

而且我們認為，無論「單流架構」是否真的先進，多引擎疊加是否真的落後，都還是要看效果如何。無論是Gartner還是Palo Alto Networks的企業用戶，我們從網上看到的評價普遍是偏正面的。

但偶有一些例外，比如說評測機構NSS Labs。這是則小花絮，大約也能表現Zuk敢做敢說的風格。

2014年著名評測機構NSS Labs說，

Palo Alto Networks的新一代防火牆如果採用默認配置來部署，攻擊者很容易繞過設備的檢測功能，在NSS Labs的測試中，Palo Alto Networks的防火牆連一些常規的隱蔽技術都無法識別。

於是在當季的評測中，NSS Labs給予Palo Alto Networks的評級是CAUTION，低於新一代防火牆產品市場的平均水平。

有趣的是，在這一年的NSS Labs的BSD圖上，FireEye的成績也非常糟糕。FireEye是最先對NSS Labs提出質疑的，並表示自己一早就拒絕了參加測試，而NSS Labs的工程師執意自行購買測試，給了個低於平均水平的結果。

FireEye當即發布一份聲明質疑這份報告的合理性，並詳談了實驗室環境和真實環境的差異，而且測試中FireEye產品根本沒有連接其威脅情報源。

不過這算不上什麼，Palo Alto Networks顯然更激動。一向什麼都敢說的Zuk表示，公司一直都拒絕參加NSS Labs的測試；而NSS Labs一直以來都把測試搞得很「low」，各種「二流製造商」也能參加。

NSS Labs會給廠商頒發名為「reprint rights」的證書，在測試結果公布之前，和這些廠商進行費用談判，費用超過10萬美元。這比費用也就能讓廠商公布這份報告，並將之向其潛在客戶做宣傳了。

Zuk明確說：NSS Labs從客戶那兒賺不到錢，所以就幹這種事。[11]

NSS Labs 2016年BSD安全價值圖

更有趣的是，Palo Alto Networks前不久才拜託NSS Labs做了產品測試，並將測試結果驕傲地公布到了自家網站上（其防火牆實際的吞吐表現似乎一直被NSS Labs詬病）[9]。

而在去年NSS Labs公布的BSD（威脅檢測系統）安全價值圖上，Palo Alto Networks的成績依然算不上很好，即便其縱坐標的安全有效性或許有商榷的餘地，但橫坐標相關的性價比（TCO per Protected Mbps，即受到保護的每1Mbps，所需花費的成本）是個確實的問題。

Gartner也在魔力象限的點評中不止一次地提到，Palo Alto Networks的產品售價昂貴，「按照保護每GB數據耗費的價格來計算，Palo Alto都是企業防火牆供應商中價格最高的廠商之一」。

這大概是在物理防火牆市場上，Palo Alto Networks產品最大的短板之一。這其中耗費的成本當然不止是購買防火牆本身的成本，還包括了AutoFocus、GlobalProtect、URL過濾PAN-DB、威脅防護這些訂閱服務的額外支出。

難以抑制的產品和運營成本

或許從Zuk的這一路經歷來看，Palo Alto Network防火牆和訂閱服務的產品價格偏高並不難理解。從Zuk自Check Point和Juniper的兩次辭職來看，這就是個典型的極客。

Zuk本人在接受ITWorld的專訪中也幾次三番提到，他很不喜歡大公司的行事風格，一個決定就要在「20個不同的部門的20個人間輾轉」，做個產品計劃，財務、市場、PR和運營都會在場，「每個人都企圖跟產品團隊說這可以做，那不可以做」，「這根本就不是他們的工作」。

「Palo Alto Networks雖然不是家小公司，收益也很不錯」，「但只要一有那樣的苗頭出現，我就會很快將之撲滅」。

實際上，在公司將防火牆產品推上市之際，Zuk很快將手持的公司股份稀釋到了5%，讓早期的公司成員持有更多股份。Zuk說：「Greylock和Sequoia風投公司的合作夥伴說，我的股份會變少，我說沒關係。」

另外，「企業家（entrepreneur）和CEO是兩件事，而且很多時候是相悖的角色。企業創始人最終變身為成功的CEO，這是很少見的事。」

「如果你是個成功的企業家，你極有可能不會是個好的CEO。那就雇個CEO。你是個技術專家，那麼就找個在市場方面在行的人。」這也就不難理解，為何Zuk是Palo Alto Networks的聯合創始人，但一直都在公司扮演CTO的角色了（而這家公司的CEO的確幾度易主）。

PAN 2017財年Q2財報

在這樣一個看來有些「理想化」的領導人的領導下，Palo Alto Networks賺錢能力如何呢？從公司2017財年Q2財報（截至2017年1月31日的前3個月）來看，這一財季公司收益為4.226億美元。

這個數字是伴隨常年以來的大跨步攀升達到的，同比增長26%——這在防火牆市場上依然是高增長率。

這樣的收益成績和Check Point已經很接近（Check Point截至2016年12月31日的2016財年Q4收益為4.87億美元），而Check Point的收益同比增速目前大約為6%。

從其2016財年Q3開始，公司就基本結束了將近2年收益持續超50%的高增速。所以從去年開始，財經類媒體已經在唱衰Palo Alto Networks了，而且公司股價目前正在遭遇一波滑鐵盧。

但我們認為，這和市場整體環境相關，即便這家公司近幾個財季的賺錢速度正在逐步放緩或未及預期，卻依然是防火牆產品中成長最快的企業，畢竟它的存在歷史遠沒有主要競爭對手那麼久。

PAN近5年收益趨勢，數據來源：MarketWatch[13]

不過問題來了，翻看這家公司近5年的財報成績單，收益的確是步步高升。但按照GAAP來看，

上市以來這家公司就在連年虧損

（Net Income），2016財年全年虧損金額是2.26億美元。

最新這一季的財報也能看到，虧損量大約是6000萬。這對現如今的科技公司而言可能不算什麼，但和Check Point相比，這份成績單就算不上太好看了。

最近這一財季，

公司在產品方面的支出已經達到1.13億美元，大約是Check Point上一季度的2倍

；運營支出則高達3.64億美元，這都是史上最高點。從當前趨勢來看，Palo Alto Networks無力抑制快速增長的成本投入。

光是

銷售與市場方面支出的2.26億美元，就已經佔到收益的54%了——而Check Point在這方面的佔比為24%

。

這倒是和Zuk先前對於除技術外其他部分的無視完全匹配。從外人的視角來看，這可能就是Zuk一直存在的「革命」情懷需要承擔的後果。

Non-GAAP標準PAN 2017財年Q2財報

不過就Palo Alto Networks的財報，有一點需要說明。就是按照公司自己的Non-GAAP標準，公司可是賺錢的，而非虧損。

所以就有了上面這份按照Non-GAAP標準計的2017Q2財報數據，注意觀察最後一欄Net Income，與上面那份GAAP財報Net Loss的差異。

經常閱讀財經媒體的讀者應該了解，企業在財報中公布GAAP和Non-GAAP兩份數據是很正常的事情。

GAAP是美國公認會計準則，上市公司需要按照這個標準來發布財報。不過各行各業，甚至具體到每家公司都有其特殊性，所以許多公司都會附上自己的Non-GAAP財報數據，也就是「定製版」財報。

2017Q2公司的Non-GAAP凈利潤為5960萬美元，和GAAP標準計的虧損6060萬美元存在約1.2億美元的差距——這個差距還是比較大的。有興趣的各位可以自行研讀Palo Alto Networks的財報，了解其具體統計標準。一般來說，這種定製版財報中，企業為了讓數據更好看或吸引投資者，會採用更有利於自己的統計準則。

革傳統端點安全技術的命？

Palo Alto Networks在對安全動向的把控上向來走得非常超前，比如其防火牆產品在安全廠商中也算是第一批上雲了，所以針對Azure、AWS、私有雲等的支持也早就走得很靠前。

這與其產品線相對單一也有關係，防火牆及其相關服務基本就概括了公司的主營項目。

不過在這家公司規劃的安全版圖中，實則還有一個環節，就是端點防護產品Traps，如下圖所示。FreeBuf在針對Carbon Black的企業分析中已經把端點安全產品主流發展方式說得比較清楚。或許知道Palo Alto Networks有在做端點安全的人並不多。

Gartner在針對Palo Alto Networks防火牆的評價中提到：「Palo Alto並沒有能夠將其在防火牆方面的成功，複製到端點安全市場。

Gartner也很少聽到有客戶在用Traps。Gartner認為，Palo Alto若將注意力放在端點之上，有可能會對Palo Alto的核心業務——網路安全，造成影響。」

這裡提到的Traps，便是Palo Alto Networks近兩年來主推的端點安全產品了。2014年3月，公司宣布以2億美元收購一家安全初創公司Cyvera——這家公司的旗艦產品就叫TRAPS。

TRAPS平台當時已經在金融、能源、化學等關鍵基礎設施領域有了應用。Cyvera宣稱自家的產品對於0day攻擊有極高的攔截成功率。

原本，以Traps在行業內的影響力，我們沒有必要花太多筆墨來談。不過Palo Alto Networks力推的「企業安全平台」這個營銷概念中，正在逐步加大Traps的比重；而且我們仔細研讀了Traps白皮書，發現其端點安全解決方案相當激進，極有公司的「革命」性特色，就像當年新一代防火牆，革狀態檢測防火牆的命那樣。

2017年Gartner端點防護平台魔力象限

在今年Gartner剛剛發布的2017端點安全平台魔力象限中[14]，Gartner將Traps放在了Visionaries象限。這個象限的意思是，產品執行能力不怎麼樣，但未來可能會有較大的發展空間。

Palo Alto Networks還在自家網站歡天喜地地對這份成就宣傳了一番（在Visionaries象限，會宣傳的廠商也實在是不多…題外話：關注Carbon Black企業分析的讀者注意，今年的魔力象限CB也上榜了！）。

Gartner認為，Traps對於未知文件和應用exploit防護的確有不錯的表現，對未修復的漏洞和無文件（file-less）惡意程序攻擊也能夠提供實時不錯的防護。

不過Traps雖收集終端相關數據，但不提供事後補救工具和響應機制；而且面對誤報的調整，需要高級技術支持協助；另外EPP解決方案並不完整。所以Traps仍然需要配合其他產品。

這個評價完全符合Palo Alto Networks推行的企業安全理念（PAN始終認為防護才是最重要的，檢測和響應永遠只能是其次；這個理念和近兩年企業安全的主流價值觀存在一些衝突[15]），以及Traps針對端點防護產品極為激進的革新。

Palo Alto Networks對於端點防護的理解是這樣的：端點防護產品需要阻止兩類威脅，其一是惡意程序，其二是exploit。

傳統的反病毒解決方案，在漏洞exploit的檢測方面面臨較大的問題，也不能阻止沒有簽名的惡意程序和exploit；需要對系統進行掃描，這會導致系統變慢、用戶被干擾；無法適應類似虛擬桌面架構這樣的環境（缺乏彈性）。

所以Palo Alto Networks認為這一類產品早就該拋棄了，提出針對端點防護的需求包括：

堅持防護優先

（這一點一直是PAN奉行的原則，PAN堅持認為檢測和響應都只能排其次）

；

對已知、未知惡意程序的防護；

對已知、0day exploit的防護；

集成威脅情報；

對用戶的打擾最小化，對內存、帶寬、CPU資源佔用最小化；

支持Unpatchable的系統（針對提供商不再支持的系統和軟體做到保護）；

可以實現定製化來滿足企業需求。

需求誰都會提，這麼美好的需求在安全企業看來簡直就是種虛幻的存在。Traps對其實現方式聽起來還是有一套的，首先它徹底拋棄了基於簽名的惡意程序掃描，而採用一種叫Multi-Method防護的方式。

比如在針對exploit的問題上（所謂的exploit是指通過合法的文件類型，利用軟體漏洞發起攻擊），

Traps認為沒有必要專註於研究海量的攻擊方式，或者海量的漏洞，而應該專註於exploit攻擊的核心利用技術

——Palo Alto Networks提出所有的exploit都依賴於某一些核心利用技術，無論哪一種exploit都無法逃脫這些利用技術，比如說內存破壞或操縱、Logic Flaw（利用操作系統的常規流程，來支持和執行目標應用）、惡意代碼執行（exploit的最終目標都是執行惡意代碼）。

Traps通過對這些核心的防護，來抵禦0day exploit。這也是Traps宣稱可以保護unpatchable系統的原因所在。

至於在針對惡意程序的防護方面，Traps主要組合了幾種技術，包括受信任Publisher執行限制、基於可執行文件的哈希來控制哪些文件可執行/哪些不能（有些類似Bit9的白名單）、基於策略的執行限制（比如說阻止Outlook的「Temp」路徑下的文件執行）、通過機器學習對數據做分析；還有就是WildFire威脅雲的檢查和分析了，就像防火牆那樣，將未知惡意程序上傳到雲端，通過上文提到的沙盒、Bear Metal等分析方式做分析。

由於篇幅的關係，這裡無法再細數Traps實現這些，尤其是實現0day exploit防護的方法。

不過Palo Alto Networks提出在端點防護方面，針對傳統反病毒產品基於簽名方案的「徹底替換」，融合了這麼多方案仍然是個相對勇敢的思路，雖然或許針對惡意程序的防護所用的技術並不算很新鮮。

但從Gartner對Traps的評價，以及Traps本身制定的遠大目標來看，Traps當前還只在發展的初級階段。或許它會為企業端點防護提供一些新的思路。

Traps有沒有可能像早年Palo Alto Networks針對防火牆的革命那樣，完成對端點防護產品的革命呢？這才是這家公司「革命」血脈能否延續的一次闡釋，或者成為公司的另一個增長點。

Palo Alto Networks公司目前的企業員工已經達到4000人左右，總部位於加州聖克拉拉，收益水平穩定、財務狀況健康，

公司規模已非昔日可比。

就在前不久，Palo Alto Networks才剛剛宣布即將收購LightCyber，這是一家專註機器學習和行為分析的安全公司，這樣的收購行為對PAN的產品來說不足為奇。

只是在幾次併購動作過後，不知Nir Zuk是否還一如往昔有著用小公司運營思維來工作的狂想；從前總在喊著要開發「新產品」、革舊產品命的Zuk又是否在現如今的這家「大公司」里追逐他的某個新項目，足以顛覆某種產品模式，續寫這段革命史。

主要參考來源

[1]http://www.darkreading.com/who-invented-the-firewall/d/d-id/1129238

[2]

https://www.forbes.com/sites/calebmelby/2013/03/27/nir-zuks-palo-alto-networks-is-blowing-up-internet-security/

[3]

http://www.itworld.com/article/2756415/careers/how-i-got-here–nir-zuk–cto–palo-alto-networks.html

[4]

https://www.paloaltonetworks.com/company/press/2016/palo-alto-networks-named-a-leader-again-in-the-gartner-magic-qua

[5]

http://img1.custompublish.com/getfile.php/1434855.1861.sqqycbrdwq/Defining+the+Next-Generation+Firewall.pdf

[6]

https://www.paloaltonetworks.com/technologies/single-pass-architecture

[7]

https://feelinggooddoinggreat.files.wordpress.com/2011/02/fact_v_fiction_competing_with_checkpoint_applicationblade.pdf

[8]https://www.paloaltonetworks.com/resources/techbriefs/app-id-tech-brief

[9]https://www.paloaltonetworks.com/resources/techbriefs/nss-labs-2016-ngfw-test-report

[10]http://www.networkworld.com/article/2161472/network-security/palo-alto-networks-founder–our-competitors-are-on–death-row-.html

[11]

http://www.crn.com/news/security/300072250/palo-alto-networks-fireeye-criticize-nss-labs-testing-firm-defends-itself.htm/pgno/0/1

[12]

https://www.idc.com/getdoc.jsp?containerId=prUS41735316

[13]

http://www.marketwatch.com/investing/stock/panw/financials

[14]https://www.gartner.com/doc/reprints?id=1-3QD28YK&ct=170113&st=sb

[15]

http://www.zdnet.com/article/detect-and-respond-security-too-little-too-late-palo-alto-networks/

* FreeBuf官方出品，本文作者：歐陽洋蔥，未經許可禁止轉載

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！

本站內容充實豐富，博大精深，小編精選每日熱門資訊，隨時更新，點擊「搶先收到最新資訊」瀏覽吧！

請您繼續閱讀更多來自 FreeBuf 的精彩文章: