2．     網(wǎng)絡(luò)邊界安全

網(wǎng)絡(luò)邊界安全指針對網(wǎng)絡(luò)邊界進行安全防護的安全軟硬件,包含了防火墻、IDPS、上網(wǎng)行為管理、VPN、抗D等多個“重量級”產(chǎn)品。網(wǎng)絡(luò)邊界安全是網(wǎng)絡(luò)安全行業(yè)規(guī)模最大的賽道,整體市場規(guī)模在200億以上。

2．1     防火墻

防火墻是企業(yè)網(wǎng)絡(luò)邊界防護的基礎(chǔ)工具,通過在可信任內(nèi)部網(wǎng)絡(luò)與不可信任的外部網(wǎng)絡(luò)(如互聯(lián)網(wǎng))之間建立了一道屏障,以達到隔離和保護企業(yè)內(nèi)部網(wǎng)絡(luò),并阻斷外部安全威脅的目的。

圖表13:防火墻產(chǎn)品架構(gòu)圖

資料來源:方正證券研究所繪制

防火墻這個術(shù)語最初是用來描述用于抵御火災(zāi)的物理形態(tài)的墻,在20世紀80年代末防火墻技術(shù)首次引入了計算機網(wǎng)絡(luò),發(fā)展至今已經(jīng)有30多年的歷史,其歷史演變過程大致可分為以下三個階段:

1)防火墻的誕生:防火墻技術(shù)出現(xiàn)于20世紀80年代末,并在90年代開始逐漸分為包過濾防火墻和代理防火墻兩大分支。1994年以色列網(wǎng)絡(luò)安全廠商CheckPoint開發(fā)出了第一個商業(yè)版本的狀態(tài)檢測防火墻,正式開啟了防火墻商業(yè)化的浪潮。繼CheckPoint之后,Cisco及Netscreen等廠商后來也成為了防火墻市場的重要參與者。在90年代末,Netscreen推出了基于ASIC架構(gòu)的硬件防火墻。

2)統(tǒng)一威脅管理(UTM):隨著新型應(yīng)用發(fā)展及攻擊方式逐漸多樣化,安全威脅從網(wǎng)絡(luò)層擴展到應(yīng)用層,催生了用戶對多功能安全網(wǎng)關(guān)的需求。2004年IDC首度提出“統(tǒng)一威脅管理”的概念,指在防火墻基礎(chǔ)功能之上,提供包括IPS、反病毒、VPN等多項安全功能,將多種安全特性集成于一個硬件設(shè)備,代表廠商為Fortinet。UTM作為“All-in-One”的安全設(shè)備在一定程度上解決了用戶在進行安全規(guī)劃時需要采購和部署多個安全設(shè)備的痛點。

3)下一代防火墻(NGFW):由于UTM是多個安全引擎的簡單疊加及其串行處理機制,導(dǎo)致了用戶在開啟多個功能時系統(tǒng)性能會出現(xiàn)較大損耗。因此隨著UTM在性能和功能上的矛盾逐漸顯著,下一代防火墻技術(shù)誕生。Gartner在2009年首次定義了下一代防火墻(NGFW),代表廠商為Palo Alto Networks。下一代防火墻采用一體化引擎,能夠?qū)��?shù)據(jù)流進行一次性的識別和掃描,進而降低了防火墻性能的損耗。此外下一代防火墻在應(yīng)用識別與可視化、細粒度控制等方面也要優(yōu)于UTM,因此在2010年后,下一代防火墻在全球范圍內(nèi)的滲透率開始迅速提升。

圖表14:防火墻的演變歷史

資料來源:方正證券研究所繪制

目前來看,防火墻市場仍然是國內(nèi)網(wǎng)絡(luò)安全大廠的“兵家必爭之地”,主要原因在于:1)規(guī)模大:防火墻是國內(nèi)網(wǎng)絡(luò)安全行業(yè)最大的賽道,也是唯一一個超過百億體量的賽道;2)利潤率高:得益于賽道的規(guī)模以及產(chǎn)品化程度,防火墻市場的利潤率是網(wǎng)絡(luò)安全行業(yè)最高的細分賽道之一。其中最典型的就是全球防火墻龍頭廠商Checkpoint,其凈利率和ROE能持續(xù)多年分別保持在40%和20%以上;3)成長性好:與普遍認知有所不同,防火墻雖然是最基礎(chǔ)的安全工具,但是近年來一直保持著行業(yè)平均甚至略高于行業(yè)平均水平的增速,主要得益于一方面防火墻作為政企安全建設(shè)的“標配”,將直接受益上云帶來的行業(yè)景氣度提升,另一方面,防火墻對多個安全功能的集成,間接替代了IPS、VPN等獨立安全產(chǎn)品的空間。

目前在國內(nèi)防火墻市場占據(jù)主導(dǎo)的是以天融信、啟明星辰、深信服、奇安信為代表的安全廠商和以華為、新華三為代表的數(shù)通廠商,總體來看,防火墻市場近年來競爭格局較為穩(wěn)定。以華為和新華三為代表的數(shù)通廠商的防火墻具備端口密度大、性能高、價格便宜等特性,主要應(yīng)用在運營商及數(shù)據(jù)中心網(wǎng)絡(luò)出入口等場景,突出防火墻的包過濾、NAT、訪問控制等基礎(chǔ)功能。同時,隨著過去幾年華為和新華三將防火墻整合到自身的云計算整體解決方案中,其在防火墻市場的份額有所提升。相較于數(shù)通廠商,安全廠商的防火墻產(chǎn)品更加強調(diào)防火墻的安全功能,功能更加全面,能夠快速跟上安全形勢的變化,在企業(yè)辦公網(wǎng)絡(luò)、中小企業(yè)及分支機構(gòu)等場景則更具優(yōu)勢。

圖表15:國內(nèi)防火墻市場競爭格局演進趨勢

資料來源:IDC、方正證券研究所

2．2     IDPS

IDPS(入侵檢測與防御)由IDS(入侵檢測系統(tǒng))與IPS(入侵防御系統(tǒng))兩類產(chǎn)品構(gòu)成。IDS指根據(jù)一定的安全策略,對網(wǎng)絡(luò)和系統(tǒng)的運行狀況進行監(jiān)控,以發(fā)現(xiàn)各種安全攻擊的安全設(shè)備;而IPS則在IDS的基礎(chǔ)上,具備即時阻斷或隔離網(wǎng)絡(luò)入侵行為的功能。IDS與IPS在產(chǎn)品功能、部署方式等方面均存在一定差異,從產(chǎn)品功能角度看,IDS注重的是網(wǎng)絡(luò)安全狀況的監(jiān)控,IPS則側(cè)重于對入侵行為的阻斷,雖然IPS能夠?qū)嵤┌踩�防御策�?但由于其實時性要求較高,對設(shè)備性能也有較高的要求,因此IDS及IPS均有各自的應(yīng)用場景。如果用戶只需要監(jiān)控網(wǎng)絡(luò)安全的狀況,則只需部署IDS即可,如果用戶計劃構(gòu)建完整的安全解決方案,即可在全網(wǎng)部署IDS,同時在網(wǎng)絡(luò)邊界部署IPS。

圖表16: IDPS產(chǎn)品架構(gòu)圖

資料來源:PURPLESEC、方正證券研究所

在IDPS市場啟明星辰和綠盟科技保持行業(yè)前二位置,二者分別在IDS和IPS市場保持領(lǐng)先。啟明星辰作為國內(nèi)IDS市場的先驅(qū),擁有IPS和IDS兩條獨立的產(chǎn)品線,在IDPS市場持續(xù)多年保持行業(yè)第一。而綠盟科技作為國內(nèi)最早推出IPS產(chǎn)品的廠商,在IPS市場也具備很強的競爭力。同時排名第三的新華三近年來市場份額也在不斷提升,總體來看前三家頭部廠商的市場份額差距不大。近年全球IDPS的市場規(guī)模呈現(xiàn)逐年下滑的趨勢,一方面在于全球范圍內(nèi)隨著下一代防火墻、統(tǒng)一威脅管理等“All-In-One”的安全設(shè)備的滲透率在不斷提升,獨立IDPS設(shè)備的應(yīng)用場景受到擠壓,另一方面,高級威脅檢測相關(guān)產(chǎn)品的興起,對IDPS的市場造成了一定沖擊。

圖表17:2020年中國入侵檢測與防御硬件市場份額

資料來源:IDC、方正證券研究所

2．3     上網(wǎng)行為管理

上網(wǎng)行為管理主要針對企業(yè)員工的上網(wǎng)行為進行安全管控,主要功能包括網(wǎng)頁過濾、內(nèi)容審計、流量控制、防內(nèi)網(wǎng)泄密等。上網(wǎng)行為管理的誕生一方面來自于用戶日益增長的上網(wǎng)需要和有限帶寬之間的矛盾,網(wǎng)絡(luò)管理員需要對網(wǎng)絡(luò)帶寬資源進行分配、調(diào)節(jié)、優(yōu)化,來提升用戶網(wǎng)絡(luò)訪問的速度,另一方面則是對員工上網(wǎng)行為進行管控,防止與工作無關(guān)的網(wǎng)絡(luò)訪問影響工作效率、防止帶寬資源濫用、管控外發(fā)信息以降低泄密風(fēng)險、記錄上網(wǎng)軌跡以滿足合規(guī)要求等。上網(wǎng)行為管理作為具備較強本土特色的網(wǎng)絡(luò)安全產(chǎn)品,其需求也受到相關(guān)法律及政策制度的較大影響,包括近年來網(wǎng)絡(luò)安全法、等保2．0等相關(guān)法律法規(guī)的出臺對于企業(yè)內(nèi)部上網(wǎng)行為審計提出了更高的要求,推動了上網(wǎng)行為管理市場持續(xù)穩(wěn)健的增長。

圖表18:上網(wǎng)行為管理產(chǎn)品架構(gòu)圖

資料來源:方正證券研究所繪制

國內(nèi)上網(wǎng)行為管理市場競爭格局較為穩(wěn)定,深信服作為行業(yè)龍頭持續(xù)多年穩(wěn)居行業(yè)第一,奇安信則排名第二。深信服是國內(nèi)最早推出上網(wǎng)行為管理產(chǎn)品的廠商,并且定義了 “上網(wǎng)行為管理”這一新的品類。深信服一方面擁有完善的應(yīng)用識別特征庫和千萬級的URL庫,另一方面通過不斷研發(fā)投入持續(xù)緊跟下游用戶對上網(wǎng)行為管理的需求,在產(chǎn)品易用性以及功能豐富性上持續(xù)保持領(lǐng)先。根據(jù)IDC的數(shù)據(jù),深信服2020年市場份額占比達21．3%。奇安信在收購了國內(nèi)第二大上網(wǎng)行為管理廠商網(wǎng)康后,在這一賽道上也持續(xù)保持第二的位置,2020年占比為11．1%。此外這一賽道的頭部廠商還有新華三、綠盟科技、安恒信息等。

圖表19: 2020年中國安全內(nèi)容管理硬件市場份額

資料來源:IDC、方正證券研究所

2．4     抗D

DDoS(Distributed Denial of Service,分布式拒絕服務(wù)攻擊)作為一種常見的網(wǎng)絡(luò)攻擊方式,指處于不同位置的多個攻擊者同時向一個或數(shù)個目標發(fā)動攻擊,通過消耗攻擊目標的網(wǎng)絡(luò)帶寬或系統(tǒng)資源,導(dǎo)致網(wǎng)絡(luò)或系統(tǒng)癱瘓而無法提供正常的網(wǎng)絡(luò)服務(wù)。而抗DDoS則指為了阻斷DDoS所使用的設(shè)備或服務(wù)。抗D市場主要由抗D硬件設(shè)備和抗D云服務(wù)兩部分組成,根據(jù)安全牛的數(shù)據(jù)統(tǒng)計,二者各占抗D市場一半左右的份額。其中抗D硬件設(shè)備的客戶主要以運營商、IDC為主,占硬件采購市場的90%以上,抗D云服務(wù)主要集中在大型互聯(lián)網(wǎng)公司及游戲公司,大約可占抗D云服務(wù)采購市場的70%以上,剩余30%的抗D云服務(wù)市場大致集中在金融行業(yè)、政府及消費級市場。

圖表20:抗DDOS產(chǎn)品架構(gòu)圖

資料來源:方正證券研究所繪制

抗D市場的主要參與者可分為以華為、綠盟、迪普科技為代表的硬件設(shè)備廠商和以阿里云、騰訊云、電信云堤為代表的云服務(wù)廠商。DDoS的實施成本較低,技術(shù)手段容易實現(xiàn),因此目前已經(jīng)成為了最為常見的網(wǎng)絡(luò)攻擊方式。隨著DDOS攻擊流量和頻率越來越大,全球許多大型企業(yè)都飽受DDoS攻擊,對于抗DDOS的需求也越來越強。雖然抗D硬件設(shè)備和抗D云服務(wù)各有其目標用戶和應(yīng)用場景,但總體來看,由于抗D云服務(wù)廠商大多為運營商以及公有云廠商,能夠依托自身的網(wǎng)絡(luò)資源來對抗大流量攻擊,因此相較于抗D硬件設(shè)備,抗D云服務(wù)近年來的占比在不斷提升。

圖表21:抗DDoS矩陣(云服務(wù))

資料來源:安全牛(2018)、方正證券研究所

圖表22:  抗DDoS矩陣(硬件)

資料來源:安全牛(2018)、方正證券研究所

2．5     VPN

VPN(虛擬專用網(wǎng))作為常見的網(wǎng)絡(luò)安全和網(wǎng)絡(luò)訪問工具,基本功能主要是通過在公共網(wǎng)絡(luò)上建立專用網(wǎng)絡(luò)進行加密通訊,讓遠程或異地員工能夠?qū)崿F(xiàn)對公司內(nèi)網(wǎng)資源的安全訪問。VPN在大型跨國跨區(qū)域企業(yè)及異地辦公、遠程辦公等場景已經(jīng)了得到廣泛應(yīng)用,近年來一方面移動設(shè)備的快速增加推動了VPN市場的增長,另一方面遠程辦公也成為了VPN增長的主要動力,特別是在疫情期間遠程辦公用戶對于VPN的需求激增。在VPN的需求持續(xù)增長的同時,防火墻/UTM/下一代防火墻等安全產(chǎn)品越來越多的集成了VPN的功能,獨立VPN產(chǎn)品的市場空間也受到了一定程度的擠壓。

圖表23:VPN產(chǎn)品架構(gòu)圖

資料來源:方正證券研究所繪制

國內(nèi)VPN市場競爭格局較為穩(wěn)定,深信服持續(xù)占據(jù)行業(yè)頭部位置。深信服作為國內(nèi)最早推出VPN的廠商,近10余年穩(wěn)居VPN市場行業(yè)龍頭位置,在VPN產(chǎn)品市場具備非常強的競爭力,根據(jù)IDC的數(shù)據(jù),2020年深信服的市場份額為24．2%,遙遙領(lǐng)先于其他競爭對手。其次啟明星辰、天融信也是VPN市場的頭部廠商,市場份額均在10%以內(nèi)。

圖表24:2020年中國虛擬專用網(wǎng)硬件市場份額

資料來源:IDC、方正證券研究所