二零一三年伊始，伴隨網(wǎng)絡(luò)安全供應(yīng)商在中國(guó)區(qū)發(fā)布FortiOS 5.0操作系統(tǒng)之際，一個(gè)身材高大，精神矍鑠的長(zhǎng)者來(lái)到了Fortinet北京總部。

這位長(zhǎng)者名叫謝華，是Fortinet創(chuàng)辦人之一，也是Fortinet的首席技術(shù)官(CTO)，技術(shù)副總裁……面對(duì)國(guó)內(nèi)熱鬧非凡的

 在這之前，大家先來(lái)了解一下網(wǎng)關(guān)防火墻技術(shù)的發(fā)展簡(jiǎn)史：

第一代防火墻

 第一代防火墻技術(shù)幾乎與路由器同時(shí)出現(xiàn)，采用了包過濾(Packet filter)技術(shù)。

第二、三代防火墻

 1989年，貝爾實(shí)驗(yàn)室的Dave Presotto和Howard Trickey推出了第二代防火墻，即電路層防火墻，同時(shí)提出了第三代防火墻--應(yīng)用層防火墻(代理防火墻)的初步結(jié)構(gòu)。

第四代防火墻

 1992年，USC信息科學(xué)院的BobBraden開發(fā)出了基于動(dòng)態(tài)包過濾(Dynamic packet filter)技術(shù)的第四代防火墻，后來(lái)演變?yōu)槟壳八f(shuō)的狀態(tài)監(jiān)視(Stateful inspection)技術(shù)。1994年，以色列的CheckPoint公司開發(fā)出了第一個(gè)采用這種技術(shù)的商業(yè)化的產(chǎn)品。

第五代防火墻

 1998年，NAI公司推出了一種自適應(yīng)代理(Adaptive proxy)技術(shù)，并在其產(chǎn)品Gauntlet Firewall for NT中得以實(shí)現(xiàn)，給代理類型的防火墻賦予了全新的意義，可以稱之為第五代防火墻。

一體化安全網(wǎng)關(guān)UTM

 2004年9月，IDC最早提出UTM的概念，認(rèn)為它作為一種新的產(chǎn)品形態(tài)正在形成網(wǎng)絡(luò)安全產(chǎn)業(yè)中的一個(gè)新興細(xì)分市場(chǎng)。

緊接著，F(xiàn)ortinet和Juniper公司的高性能UTM開始占據(jù)一定的市場(chǎng)份額，國(guó)內(nèi)廠商也開始了轟轟烈烈的UTM運(yùn)動(dòng)。

 NGFW下一代防火墻

2009年12月，Gartner的John Pescatore和Greg Young提出了NGFW，即下一代防火墻(Next Generation FireWall)的概念。他們預(yù)測(cè)，到2014年底，NGFW將占有防火墻(以及IPS)市場(chǎng)的60%。

 一時(shí)間，NGFW大潮席卷全球。在安全圈里甚至傳出，如果自己公司沒有出過NGFW，都不好意思跟友商打招呼的笑話。

2004年以前的防火墻變革，似乎都有很清晰的產(chǎn)品形態(tài)。但2004年之后的UTM和NGFW之爭(zhēng)，似乎總讓人如墜霧里。NGFW真的是UTM的替代品嗎?

 讓我們先來(lái)看看UTM和NGFW各自宣揚(yáng)的優(yōu)勢(shì)。

首先，我們從Fortinet公開的技術(shù)資料里，找到有關(guān)UTM的特點(diǎn)。

圖1

再看一下

圖2

 是不是感覺兩者有點(diǎn)像?

 對(duì)此，UTM產(chǎn)品開創(chuàng)者，安全廠商Fortinet認(rèn)為：“隨著NGFW的推出，人們一直對(duì)這個(gè)同時(shí)具有許多安全功能的新一代防火墻產(chǎn)品有著似曾相識(shí)的感覺。畢竟在此之前，UTM也是一款有著眾多功能的安全產(chǎn)品。于是，人們便開始為NGFW與UTM的優(yōu)劣進(jìn)行長(zhǎng)期的爭(zhēng)辯，同時(shí)也有相當(dāng)多的聲音認(rèn)為兩者根本是同樣的產(chǎn)品。

就UTM的多功能來(lái)說(shuō)，NGFW也一樣是各種安全功能無(wú)所不包。若認(rèn)真檢視一下兩種產(chǎn)品上的多功能，不論傳統(tǒng)防火墻、DPI、VPN、IPS、防病毒、Web URL/內(nèi)容過濾、應(yīng)用識(shí)別與控制、郵件安全，甚至DLP等功能，幾乎都可以在兩個(gè)產(chǎn)品身上找到。甚至SANS認(rèn)為NGFW在識(shí)別上的必要元件之一的DPI檢測(cè)機(jī)制，其實(shí)在一些UTM產(chǎn)品上已經(jīng)內(nèi)建，例如SonicWall UTM。由此可見，就安全防護(hù)的面向及支持功能的多寡上，UTM與NGFW間實(shí)殊無(wú)軒輊、難分高下。”

 NGFW領(lǐng)導(dǎo)廠商Palo Alto在自己的技術(shù)資料里，對(duì)UTM的評(píng)論是這樣的。如圖3所示。

圖3

在圖中所述的文字闡述：UTM只是讓綜合的方案便宜了一些。UTM的功能表現(xiàn)并不比獨(dú)立設(shè)備好，它的價(jià)值體現(xiàn)在單臺(tái)設(shè)備的中整合多種安全功能，為客戶提供了方便。遺憾的是，UTM有著不精確、難以管理、啟用多種安全業(yè)務(wù)時(shí)性能較差的不良聲譽(yù)，因而被部署到那些更看重整合設(shè)備形態(tài)，不太關(guān)注功能、可管理性或性能的應(yīng)用場(chǎng)景……

 面對(duì)這項(xiàng)“指控”，F(xiàn)ortinet是怎么回應(yīng)的呢?

 Fortinet表示：“自古以來(lái)就有很多借船出海的故事，當(dāng)然把這個(gè)成語(yǔ)應(yīng)用在當(dāng)前的IT行業(yè)競(jìng)爭(zhēng)上一點(diǎn)也不為過。當(dāng)前NGFW廠商為其產(chǎn)品界定了應(yīng)有的幾大基本功能，其大致包括防火墻、VPN、IDS/IPS、Web過濾、防病毒、反垃圾郵件及流量調(diào)控等七大功能。但令人感到意外的，這份基本功能名單竟然是以Fortinet的技術(shù)做為參考基準(zhǔn)。

如果Palo Alto的指責(zé)是針對(duì)UTM產(chǎn)品跟風(fēng)者的話，或許有一些道理。因?yàn)檫@些跟風(fēng)者機(jī)械地把多種軟件裝到一個(gè)設(shè)備里，而沒有對(duì)其進(jìn)行融化吸收，而導(dǎo)致使用困難和性能低劣。但是作為UTM開創(chuàng)者的Fortinet公司，以其研發(fā)能力，不斷地深化UTM的理念，將更多的功能融入設(shè)備中，優(yōu)化軟件和硬件結(jié)構(gòu)，使其使用便捷，性能卓越。實(shí)際上，我們從對(duì)NGFW的表述上就可以看出其對(duì)Fortinet公司產(chǎn)品技術(shù)的參考，這也反過來(lái)證明了Fortinet技術(shù)的前瞻性。”

 如果以Palo Alto的標(biāo)準(zhǔn)來(lái)衡量Fortinet的話，我們看到Fortinet產(chǎn)品比大多數(shù)“NGFW”更象NGFW。“visiable and control”，F(xiàn)ortinet早在2009年時(shí)就提出了“可視化和可管理”，在其4.0版本就支持網(wǎng)絡(luò)通訊和應(yīng)用可視性。“safe enablement”,Fortinet的基于用戶的安全策略管理是很多用戶所愛戴的功能。“simplification”，F(xiàn)ortinet設(shè)備是以其可管理性、友好程度、簡(jiǎn)潔的風(fēng)格聞名于業(yè)界。“IT and business aliagment”, 對(duì)企業(yè)網(wǎng)絡(luò)應(yīng)用控制與管理是FortiOS 4.0開始支持的，而現(xiàn)在的版本是5.0。

 Fortinet CTO謝華

為了驗(yàn)證自己的技術(shù)，F(xiàn)ortinet不動(dòng)聲色的做了一件事情。他們?cè)?012年年底的時(shí)候，把自己一款型號(hào)為FortiGate 3140B作為"NGFW"交到了獨(dú)立安全評(píng)測(cè)機(jī)構(gòu)NSS labs手中。NSS labs對(duì)全球各地產(chǎn)品進(jìn)行"下一代防火墻比較分析"，Palo Alto、Barracuda、Check Point、SonicWALL、Juniper、Sourcefire等多家所謂NGFW知名廠商均以高端產(chǎn)品參與本次評(píng)比。

 結(jié)果Fortinet的FortiGate 3140B的表現(xiàn)并不比其他NGFW差，甚至在威脅檢出率方面勝過了所有對(duì)手。而這款FortiGate 3140B，其實(shí)只是Fortinet UTM中的一款產(chǎn)品而已。這樣一款普通的UTM產(chǎn)品在高端NGFW產(chǎn)品測(cè)試中能獲得如此佳績(jī)，無(wú)疑證明了Fortinet公司推動(dòng)UTM技術(shù)發(fā)展所獲得的成就。

 如此一來(lái)，市面上所謂UTM不如NGFW的言論不攻自破了?！吨芤?middot;系辭下》中說(shuō)："天下同歸而殊途，一致而百慮。" NGFW與UTM本是同根，為用戶提供的解決方案可能有少許不同，但在網(wǎng)絡(luò)中所起的作用，基本是一樣的。而所有的"多功能防火墻"，功能少時(shí)速度固然很快，功能開多了速度一樣會(huì)慢。不同的，就要看所屬?gòu)S商的技術(shù)是否過硬，產(chǎn)品質(zhì)量是否過關(guān)了。