NGFW vsUTM概念之争应当终结了.pdfVIP

NGFWvs.UTM 概念之争应当终结了 一讲到下一代防火墙，想必不少人会立即联想到有 “多功能防火墙”别称的UTM 设备。两者名称上都有防火 墙，但两者间到底有何不同。毕竟光就功能面来看，NGFW 该有的功能，像是传统防火墙功能、IPS、防病毒、应用识 别与控制等机制，UTM 也都有。既然如此，两者之间的差 别到底何在？当前市场上的NGFW 厂商，甚至Gartner 莫不 ＤＤ丨 ＷＷＷ．ＣＤＡＦＪＫ．ＣＯＭ丨成都安防监控 丨 1 将NGFW 视为划时代企业级的防火墙。但奇妙的是，UTM 厂 商则认为NGFW 只不过是行销上的噱头罢了，压根就与UTM 没什么两样。 长久以来，UTM 给人的印象，除了多功能之外，性能 不彰可说已经成为众人心中难以抹灭的既定成见，尤其性 能会随着功能同时开启的多寡而成反比，亦即同时开启的 功能愈多，性能会呈现戏剧化急转直下的情形。也因为如 此，性能问题成为人们诟病的焦点，UTM 因而被认定是专 ＤＤ丨 ＷＷＷ．ＣＤＡＦＪＫ．ＣＯＭ丨成都安防监控 丨 2 门锁定中小企业的新型态整合多功能的防火墙产品。 对此UTM 领导厂商Fortinet 表示，部分UTM 产品性能 不佳是由于产品硬件结构方面的缺陷，而应用了多种专用 ASIC 芯片对UTM 功能进行加速的FortiGate 产品，不但可 用于中小型网络，而且完全满足大型网络的性能要求。事 实上，许多UTM 厂商早已推出许多性能极佳且专门锁定在 中大型企业的UTM 产品。比如Fortinet 的 FortiGate3950B，能够提供从20Gbps 到120Gbps 的防火墙 ＤＤ丨 ＷＷＷ．ＣＤＡＦＪＫ．ＣＯＭ丨成都安防监控 丨 3 吞吐量，同时其防病毒和IPS 吞吐量也分别达到15Gbps 和20Gbps。 如此一来，自然不能再拿市场定位做为UTM 与NGFW 的差别了。否则，总不能说UTM 与NFGW 之间的最大差别 在于，前者小、中、大企业通吃，但后者只锁定中大型企 业。就因为这么些微的差异，便值得Gartner 花这么大的 力气为NGFW 这个新名词与新产品释义吗？ 再就UTM 的多功能来说，事实上NGFW 也一样是各种安 ＤＤ丨 ＷＷＷ．ＣＤＡＦＪＫ．ＣＯＭ丨成都安防监控 丨 4 全功能无所不包。若认真检视一下两种产品上的多功能， 不论传统防火墙、DPI、VPN、IPS、防病毒、WebURL/内容 过滤、应用识别与控制、邮件安全，甚至DLP 等功能，几 乎都可以在两个产品身上找到。甚至SANS 认为NGFW 在识 别上的必要元件之一的DPI 检测机制，其实在一些UTM 产 品上已经内建，例如SonicWallUTM。由此可见，就安全防 护的面向及支援功能的多寡上，UTM 与NGFW 间实殊无轩轾、 难分高下。 ＤＤ丨 ＷＷＷ．ＣＤＡＦＪＫ．ＣＯＭ丨成都安防监控 丨 5 自古以来就有很多借船出海的故事，当然把这个成语 应用在当前的IT 行业竞争上一点也不为过。当前NGFW 厂 商为其产品界定了应有的几大基本功能，其大致包括防火 墙、VPN、IDS/IPS、Web 过滤、防病毒、反垃圾邮件及流 量调控等七大功能。但令人感到意外的，这份基本功能名 单竟然是以Fortinet 的技术做为参考基准。但Fortinet 不是UTM 大厂吗？而且当前网路上最引发争议之一的热门 话题，莫过于UTM 与NGFW 的差别。如今SANS 竟以UTM 大 ＤＤ丨 ＷＷＷ．ＣＤＡＦＪＫ．ＣＯＭ丨成都安防监控 丨 6 厂Fortinet 技术来做为当前主流NGFW 内建功能的参考模 型，是否说明了NGFW 与UTM 根本是同一类产品？事实上， Fortinet 除了UTM 外，也的确发表过自家的NGFW 产品－ FortiGate-314