【IT168 评论】一讲到下一代防火墙,想必不少人会立即联想到有‘多功能防火墙’(All-in-one Firewall)别称的UTM设备。两者名称上都有防火墙,但两者间到底有何不同。毕竟光就功能面来看,NGFW该有的功能,像是传统防火墙功能、IPS、防病毒、应用识别与控制等机制,UTM也都有。既然如此,两者之间的差别到底何在?当前市场上的NGFW厂商,甚至Gartner莫不将NGFW视为划时代企业级的防火墙。但奇妙的是,UTM厂商则认为NGFW只不过是行销上的噱头罢了,压根就与UTM没什么两样。
长久以来,UTM给人的印象,除了多功能之外,性能不彰可说已经成为众人心中难以抹灭的既定成见,尤其性能会随着功能同时开启的多寡而成反比,亦即同时开启的功能愈多,性能会呈现戏剧化急转直下的情形。也因为如此,性能问题成为人们诟病的焦点,UTM因而被认定是专门锁定中小企业的新型态整合多功能的防火墙产品。
对此UTM领导厂商Fortinet表示,部分UTM产品性能不佳是由于产品硬件结构方面的缺陷,而应用了多种专用ASIC芯片对UTM功能进行加速的FortiGate产品,不但可用于中小型网络,而且完全满足大型网络的性能要求。事实上,许多UTM厂商早已推出许多性能较好且专门锁定在中大型企业的UTM产品。比如Fortinet的FortiGate 3950B,能够提供从20Gbps到120Gbps的防火墙吞吐量,同时其防病毒和IPS吞吐量也分别达到15Gbps和20Gbps。
如此一来,自然不能再拿市场定位做为UTM与NGFW的差别了。否则,总不能说UTM与NFGW之间的‘最大’差别在于,前者小、中、大企业通吃,但后者只锁定中大型企业。就因为这么些微的差异,便值得Gartner花这么大的力气为NGFW这个新名词与新产品释义吗?
再就UTM的多功能来说,事实上NGFW也一样是各种安全功能无所不包。若认真检视一下两种产品上的多功能,不论传统防火墙、DPI、VPN、IPS、防病毒、Web URL/内容过滤、应用识别与控制、邮件安全,甚至DLP等功能,几乎都可以在两个产品身上找到。甚至SANS认为NGFW在识别上的必要元件之一的DPI检测机制,其实在一些UTM产品上已经内建,例如SonicWall UTM。由此可见,就安全防护的面向及支援功能的多寡上,UTM与NGFW间实殊无轩轾、难分高下。
自古以来就有很多借船出海的故事,当然把这个成语应用在当前的IT行业竞争上一点也不为过。当前NGFW厂商为其产品界定了应有的几大基本功能,其大致包括防火墙、VPN、IDS/IPS、Web过滤、防病毒、反垃圾邮件及流量调控等七大功能。但令人感到意外的,这份基本功能名单竟然是以Fortinet的技术做为参考基准。但Fortinet不是UTM大厂吗?而且当前网路上最引发争议之一的热门话题,莫过于UTM与NGFW的差别。如今SANS(www.securingthehuman.org) 竟以UTM大厂Fortinet技术来做为当前主流NGFW内建功能的参考模型,是否说明了NGFW与UTM根本是同一类产品?事实上,Fortinet除了UTM外,也的确发表过自家的NGFW产品-FortiGate-3140B,换言之,Fortinet可说是一家UTM及NGFW两种技术及产品兼具的厂商,因而被SANS看中并做为定义NGFW上的重要依据。
无论怎样的说法与概念之争, 实际网络环境中的用户使用需求以及性能的稳定性与网络与安全能力的扩展性才是做产品最硬的道理。