对标国际一流案例分析（网络安全）：PaloAlto的三个发展阶段

PaloAlto是下一代防火墙的龙头，于2005年成立于美国加利福尼亚州，2007年，公司首先提出下一代防火墙概念，并推出了第一款下一代防火墙设备PA-4000，2011-2020年公司连续9年被评选为Gartner网络防火墙魔力象限领导者。截至2021财年第一季度，公司下一代防火墙已有逾71000家客户，年新增客户数达约8000家。同时，公司持续加强在云安全、安全运营等方向的投入，实现向“下一代”安全的成功升级。

2020年第二季度公司在全球网络安全设备市场份额居首。根据IDC的统计，公司在网络安全设备领域的市场份额已于2020年第二季度超过其最大的竞争对手Cisco。2020年第二季度公司市场份额为18.1%，全球排名第一。

PaloAlto从端到云，安全能力边界不断拓展

公司的发展历程可根据网络安全技术的演变分为三个阶段：2007-2013年，公司专注于下一代防火墙产品的开发；2013-2017年，公司在下一代防火墙的基础上转向云安全和端点防护功能的开发；2017年开始，公司加大投资云与人工智能，发展自动化整体网络安全解决方案。目前，公司已经形成企业安全平台(Strata)、云安全平台(Prisma)和安全运营平台(Cortex)三大安全平台，能够为用户提供从端到云的整体解决方案。

下一代安全(Next-Generation Security)成为PaloAlto重点发力方向

下一代安全主要包括云安全平台(Prisma)与安全运营平台(Cortex)。(1)云安全平台(Prisma)是针对公有云、与威胁情报云相关的订阅服务集合平台。截至2021财年第一季度，Fortune100企业中PrismaCloud客户占比达到了70%，Global2000企业中PrismaCloud客户占比为20%。(2)安全运营平台(Cortex)是与端点防护相关的开放集成的人工智能安全平台。截至2021财年第一季度，Cortex已经完成了超过400万个事件的自动化处理，已有65%的Fortune100企业和34%的Global2000企业成为了Cortex的客户。

防火墙龙头地位稳固，潜在市场空间广阔

——连续九年评为Gartner魔力象限领导者，获得市场长期高度认可

多次获得行业权威机构认证，行业领导者地位稳固。2020年Gartner网络防火墙魔力象限评比中，公司在前瞻性和执行能力两个方面都达到了行业第一。2011-2020年公司连续9次被评选为Gartner网络防火墙魔力象限领导者。2015-2020年，公司连续6次被技术服务行业协会(TSIA)评为“卓越”，并且连续6次获得JDPower的全球辅助技术支持的“卓越客户服务体验”认证。

公司发展历程（2007至今，三个阶段）

2007-2013：专注下一代防火墙，高筑技术壁垒公司最初定位是以新一代防火墙为核心的单一网络安全产品厂商。2007年，公司首先提出下一代防火墙概念，并推出了第一款下一代防火墙设备PA-4000。下一代防火墙集合了4种创新性专利技术，原生集成不同的安全模块，还可根据客户需求添加定制功能。与传统的UTM防火墙相比，下一代防火墙具有性能更强、便于管理、应用程序可视等优势。随着系列防火墙设备的推出，公司快速占领下一代防火墙市场。

公司始终围绕着客户需求进行创新，为下一代防火墙添加端点防护等订阅服务，提升竞争优势。2010年6月，公司发布了基于下一代防火墙的远程端点保护服务GlobalProtect，领先传统VPN的数据传输模式获得市场认可；2011年11月，公司又发布了恶意软件检测与分析服务Wildfire，从被动防御走向主动防御。

2013-2017：布局云安全和端点防护，形成三位一体防护体系随着越来越多的企业将数据中心搬上云端，公司开始重点布局云安全与端点防护。云安全方面，公司于2013年便开始在私有云上尝试与VMware的整合，于2014年正式推出虚拟防火墙VM系列，正式实现了在私有云、混合云、和公有云的网络安全服务。端点防护方面，公司于2014年以2亿美元的价格收购了主攻端点防护领域的Cyvera公司，在自身的网络安全平台整合了其端点防护功能并命名为Traps。

Traps可以通过非签名形式，在用户终端全面防御漏洞与恶意代码攻击。公司将硬件与软件结合，形成下一代防火墙、云安全、与端点防护三位一体的网络安全平台。通过向脱离实体设备防火墙的云与端点布局，公司帮助客户实现了真正的全平台防御。通过防火墙设备、云端防御、端点防护协同工作，从终端收集数据，识别威胁并自动化生成防御策略，实时推送到各个防御节点。

2017至今：投资云与人工智能，加强整体信息安全防护解决方案随着产业技术升级，客户需求复杂化，公司开始致力于为客户提供整体信息安全解决方案。公司于2018年推出了云应用框架(ApplicationFramework)，以SaaS模式为客户提供了自动、连续、可扩展的云交付功能，并为第三方提供了快速产品开发和交付的安全生态平台。2019年2月，公司将云应用框架全面变革升级为基于人工智能的持续安全平台Cortex，引入人工智能与机器学习技术，加强整体网络安全平台性能。

公司加大在人工智能、机器学习、自动化方向的投资，不断提升产品与服务竞争力。公司持续进行兼并收购，收购对象为在云和人工智能的某些细分领域拥有突出技术优势的初创企业。公司目前的多个服务都集合了以往收购企业的技术，例如PrismaCloud整合了Evident.io、Redlock、Twistlock、PureSec和Aporeto的技术，PrimaSaas整合了Aperture的技术，CortexXSOAR则整合了Demisto的技术。公司通过在自身网络安全平台上整合这些行业前沿的新技术，加强了在云环境下的安全能力，保持了市场竞争力。在公司对2021财年的总订单收入预测中，约15%的收入贡献来自公司自2019年以来收购的企业。

业务分析：产品线丰富，整体解决方案行业领先

从品牌战略的角度，公司将产品线划分至三大平台企业安全平台(Strata)、云安全平台(Prisma)和安全运营平台(Cortex)。

企业安全平台(Strata)提供业内领先的网络安全套件

企业安全平台(Strata)是以下一代防火墙设备为基础的产品组合平台。该平台下主要有下一代防火墙、相关订阅服务和网络安全管理工具Panorama。(1)下一代防火墙可以多种形式部署，包括实体防火墙PA系列、虚拟防火墙VM系列，和容器防火墙CN系列。(2)相关订阅服务附加于下一代防火墙，目前一共有8种，包括2007年至2011年推出的ThreatPrevention、URLFiltering、GlobalProtect和WildFire，还有2019年至2020年推出的DNSSecurity、SD-WAN、DLP和IoT。网络安全管理工具Panorama可以硬件或软件形式部署，对公有云和私有云进行防护。

下一代防火墙具备四大独特技术，形成强技术壁垒。区别于传统的统一威胁管理(UTM)平台，公司的下一代防火墙依靠四项自其2007年诞生以来便具备的独特技术：App-ID、User-ID、Content-ID和单通道并行处理体系结构，满足了客户在复杂环境下的网络安全需求。

App-ID是一种先进的流量精确分类机制，实现了对应用程序的识别、可视性及控制。区别于传统防火墙基于端口和协议的流量分类机制，它可以在设备检测到流量后判断传输数据的具体应用程序身份，无论该应用程序是否透过网页服务、SSL加密或其他规避技术，从而突破了传统防火墙的流量分类限制。

User-ID实现了使用者层级的可视性与控制。通过与MicrosoftAD的无缝整合，下一代防火墙可以动态对应IP地址和用户，还可以针对用户进行政策制定，从而控制用户对应用程序的使用。

Content-ID具备的技术组件实现了预防流量中的威胁、提供可视性，和文件与数据筛选功能。威胁预防组件提供了入侵监测和防御功能;网址过滤组件提供了海量高度整合、可定制化的网址过滤资料库;文件与数据筛选组件同时利用App-ID的深层应用程序检查功能，实现了对敏感数据传输的阻挡。

单通道软件体系结构助力下一代防火墙性能快速提升。传统防火墙产品大多使用的是多通道、多模组、多管理系统的UTM平台。该类平台的安全引擎只是简单拼接在了一起，数据处理流仍需在每个安全引擎分别执行解码、状态复原等操作，消耗大量资源。而下一代防火墙采用的单通道软件结构可以一次性同时进行多种检测，在处理数据包时可以同时执行联网功能、策略查找、应用程序识别和解码等任务，因此更加适合大型企业。

并行处理硬件平台确保了下一代防火墙整体运行的稳定性。并行处理架构结合了数据板块(DataPlane)和控制板块(ControlPlane)两部分，以此来实现硬件层面的特定功能。数据和控制板块依靠其各自的CPU和RAM独立运行，互不影响。因此避免了单个板块性能波动对平台整体运行的影响，确保稳定性。

云安全平台(Prisma)提供业内最全面的云安全产品。云安全平台(Prisma)是针对公有云、与威胁情报云相关的订阅服务集合平台。云安全平台下的产品套件有云原生安全平台PrismaCloud、云交付式移动用户安全服务PrismaAccess、和保护SaaS访问安全服务PrismaSaaS。其中，PrismaAccess和CloudGenixSD-WAN相结合，组成了业内最全面的安全访问服务边缘SASE(SecureAccessServiceEdge)，为用户提供具有云交付安全功能的全球云网络。

PrismaAccess成为业界最全面安全访问服务边缘平台。PrismaAccess是一种安全访问服务边缘(SASE)解决方案，原名为GlobalProtect云服务。PrismaAccess利用了云交付的通用基础架构，用户只需连接到PrismaAccess，便可以安全使用SaaS、公有云、互联网、及数据中心。通过部署PrismaAccess，用户不再需要部署实体防火墙。2020年10月13日，公司发布了PrismaAccess2.0，它通过与CloudGenixSD-WAN技术的结合，实现了对分支机构安全服务的强化，使PrismaSASE成为了业界最全面的SASE平台。