二零一三年伊始，伴隨網(wǎng)絡(luò)安全供應(yīng)商在中國區(qū)發(fā)布FortiOS 5.0操作系統(tǒng)之際，一個身材高大，精神矍鑠的長者來到了Fortinet北京總部。

這位長者名叫謝華，是Fortinet創(chuàng)辦人之一，也是Fortinet的首席技術(shù)官(CTO)，技術(shù)副總裁……面對國內(nèi)熱鬧非凡的

 在這之前，大家先來了解一下網(wǎng)關(guān)防火墻技術(shù)的發(fā)展簡史：

第一代防火墻

 第一代防火墻技術(shù)幾乎與路由器同時出現(xiàn)，采用了包過濾(Packet filter)技術(shù)。

第二、三代防火墻

 1989年，貝爾實驗室的Dave Presotto和Howard Trickey推出了第二代防火墻，即電路層防火墻，同時提出了第三代防火墻--應(yīng)用層防火墻(代理防火墻)的初步結(jié)構(gòu)。

第四代防火墻

 1992年，USC信息科學(xué)院的BobBraden開發(fā)出了基于動態(tài)包過濾(Dynamic packet filter)技術(shù)的第四代防火墻，后來演變?yōu)槟壳八f的狀態(tài)監(jiān)視(Stateful inspection)技術(shù)。1994年，以色列的CheckPoint公司開發(fā)出了第一個采用這種技術(shù)的商業(yè)化的產(chǎn)品。

第五代防火墻

 1998年，NAI公司推出了一種自適應(yīng)代理(Adaptive proxy)技術(shù)，并在其產(chǎn)品Gauntlet Firewall for NT中得以實現(xiàn)，給代理類型的防火墻賦予了全新的意義，可以稱之為第五代防火墻。

一體化安全網(wǎng)關(guān)UTM

 2004年9月，IDC最早提出UTM的概念，認為它作為一種新的產(chǎn)品形態(tài)正在形成網(wǎng)絡(luò)安全產(chǎn)業(yè)中的一個新興細分市場。

緊接著，F(xiàn)ortinet和Juniper公司的高性能UTM開始占據(jù)一定的市場份額，國內(nèi)廠商也開始了轟轟烈烈的UTM運動。

 NGFW下一代防火墻

2009年12月，Gartner的John Pescatore和Greg Young提出了NGFW，即下一代防火墻(Next Generation FireWall)的概念。他們預(yù)測，到2014年底，NGFW將占有防火墻(以及IPS)市場的60%。

 一時間，NGFW大潮席卷全球。在安全圈里甚至傳出，如果自己公司沒有出過NGFW，都不好意思跟友商打招呼的笑話。

2004年以前的防火墻變革，似乎都有很清晰的產(chǎn)品形態(tài)。但2004年之后的UTM和NGFW之爭，似乎總讓人如墜霧里。NGFW真的是UTM的替代品嗎?

 讓我們先來看看UTM和NGFW各自宣揚的優(yōu)勢。

首先，我們從Fortinet公開的技術(shù)資料里，找到有關(guān)UTM的特點。

圖1

再看一下

圖2

 是不是感覺兩者有點像?

 對此，UTM產(chǎn)品開創(chuàng)者，安全廠商Fortinet認為：“隨著NGFW的推出，人們一直對這個同時具有許多安全功能的新一代防火墻產(chǎn)品有著似曾相識的感覺。畢竟在此之前，UTM也是一款有著眾多功能的安全產(chǎn)品。于是，人們便開始為NGFW與UTM的優(yōu)劣進行長期的爭辯，同時也有相當(dāng)多的聲音認為兩者根本是同樣的產(chǎn)品。

就UTM的多功能來說，NGFW也一樣是各種安全功能無所不包。若認真檢視一下兩種產(chǎn)品上的多功能，不論傳統(tǒng)防火墻、DPI、VPN、IPS、防病毒、Web URL/內(nèi)容過濾、應(yīng)用識別與控制、郵件安全，甚至DLP等功能，幾乎都可以在兩個產(chǎn)品身上找到。甚至SANS認為NGFW在識別上的必要元件之一的DPI檢測機制，其實在一些UTM產(chǎn)品上已經(jīng)內(nèi)建，例如SonicWall UTM。由此可見，就安全防護的面向及支持功能的多寡上，UTM與NGFW間實殊無軒輊、難分高下。”

 NGFW領(lǐng)導(dǎo)廠商Palo Alto在自己的技術(shù)資料里，對UTM的評論是這樣的。如圖3所示。

圖3

在圖中所述的文字闡述：UTM只是讓綜合的方案便宜了一些。UTM的功能表現(xiàn)并不比獨立設(shè)備好，它的價值體現(xiàn)在單臺設(shè)備的中整合多種安全功能，為客戶提供了方便。遺憾的是，UTM有著不精確、難以管理、啟用多種安全業(yè)務(wù)時性能較差的不良聲譽，因而被部署到那些更看重整合設(shè)備形態(tài)，不太關(guān)注功能、可管理性或性能的應(yīng)用場景……

 面對這項“指控”，F(xiàn)ortinet是怎么回應(yīng)的呢?

 Fortinet表示：“自古以來就有很多借船出海的故事，當(dāng)然把這個成語應(yīng)用在當(dāng)前的IT行業(yè)競爭上一點也不為過。當(dāng)前NGFW廠商為其產(chǎn)品界定了應(yīng)有的幾大基本功能，其大致包括防火墻、VPN、IDS/IPS、Web過濾、防病毒、反垃圾郵件及流量調(diào)控等七大功能。但令人感到意外的，這份基本功能名單竟然是以Fortinet的技術(shù)做為參考基準(zhǔn)。

如果Palo Alto的指責(zé)是針對UTM產(chǎn)品跟風(fēng)者的話，或許有一些道理。因為這些跟風(fēng)者機械地把多種軟件裝到一個設(shè)備里，而沒有對其進行融化吸收，而導(dǎo)致使用困難和性能低劣。但是作為UTM開創(chuàng)者的Fortinet公司，以其研發(fā)能力，不斷地深化UTM的理念，將更多的功能融入設(shè)備中，優(yōu)化軟件和硬件結(jié)構(gòu)，使其使用便捷，性能卓越。實際上，我們從對NGFW的表述上就可以看出其對Fortinet公司產(chǎn)品技術(shù)的參考，這也反過來證明了Fortinet技術(shù)的前瞻性。”

 如果以Palo Alto的標(biāo)準(zhǔn)來衡量Fortinet的話，我們看到Fortinet產(chǎn)品比大多數(shù)“NGFW”更象NGFW。“visiable and control”，F(xiàn)ortinet早在2009年時就提出了“可視化和可管理”，在其4.0版本就支持網(wǎng)絡(luò)通訊和應(yīng)用可視性。“safe enablement”,Fortinet的基于用戶的安全策略管理是很多用戶所愛戴的功能。“simplification”，F(xiàn)ortinet設(shè)備是以其可管理性、友好程度、簡潔的風(fēng)格聞名于業(yè)界。“IT and business aliagment”, 對企業(yè)網(wǎng)絡(luò)應(yīng)用控制與管理是FortiOS 4.0開始支持的，而現(xiàn)在的版本是5.0。

 Fortinet CTO謝華

為了驗證自己的技術(shù)，F(xiàn)ortinet不動聲色的做了一件事情。他們在2012年年底的時候，把自己一款型號為FortiGate 3140B作為"NGFW"交到了獨立安全評測機構(gòu)NSS labs手中。NSS labs對全球各地產(chǎn)品進行"下一代防火墻比較分析"，Palo Alto、Barracuda、Check Point、SonicWALL、Juniper、Sourcefire等多家所謂NGFW知名廠商均以高端產(chǎn)品參與本次評比。

 結(jié)果Fortinet的FortiGate 3140B的表現(xiàn)并不比其他NGFW差，甚至在威脅檢出率方面勝過了所有對手。而這款FortiGate 3140B，其實只是Fortinet UTM中的一款產(chǎn)品而已。這樣一款普通的UTM產(chǎn)品在高端NGFW產(chǎn)品測試中能獲得如此佳績，無疑證明了Fortinet公司推動UTM技術(shù)發(fā)展所獲得的成就。

 如此一來，市面上所謂UTM不如NGFW的言論不攻自破了?！吨芤?middot;系辭下》中說："天下同歸而殊途，一致而百慮。" NGFW與UTM本是同根，為用戶提供的解決方案可能有少許不同，但在網(wǎng)絡(luò)中所起的作用，基本是一樣的。而所有的"多功能防火墻"，功能少時速度固然很快，功能開多了速度一樣會慢。不同的，就要看所屬廠商的技術(shù)是否過硬，產(chǎn)品質(zhì)量是否過關(guān)了。