【IT168 评论】著名的IT市场咨询机构IDC 在2004年定义的统一威胁管理(UTM)产品创新性中,第一次将多种安全功能集成至同一个产品内，这种方式在迎合用户需求以及贴近市场发展趋势上无疑是成功的。然而，单纯作为网络安全技术领域的进步来讲，这种模式却有着巨大的缺陷,即其实现的方式仅停留在“公用硬件平台+统一用户界面”的层次上，功能缺乏真正融合，这就是原定义的UTM后患所在。下一代防火墙的诞生其实最重要的一点就是为了解决这一缺陷，其重要的理念就是通过“一体化引擎+统一的策略框架”来保证产品整体的高性能和易用性，从而真正实现多种安全功能的融合。

　　一、一体化引擎

　　什么是一体化引擎?所谓一体化引擎即在初始系统架构设计时即采用一体化的思想，充分考虑到现在及未来的安全业务情景，将所有的安全需求纳入引擎设计中去。这样的一个明显的优点是去除冗余，更加高效，理想的实现是每个报文只需要解析一遍便可完成所有安全模块的检查。更形象地说,就好像工厂里面的流水线概念，原来是多条流水线共同完成的一个任务，重新设计以后是一条流水线独立完成一个任务。

　　下一代防火墙的一体化引擎数据包处理流程大致分为以下几个阶段：

　　1、数据包入站处理阶段

　　入站主要完成数据包的接收及L2-L4层的数据包解析过程，并且根据解析结果决定是否需要进入防火墙安全策略处理流程，否则该数据包就会被丢弃。在这个过程中还会判断是否经过VPN数据加密，如果是，则会先进行解密后再做进一步解析。

　　2、主引擎处理阶段

　　主引擎处理大致会经历三个过程：防火墙策略匹配及创建会话、应用识别、内容检测。

　　1. 创建会话信息

　　当数据包进入主引擎后，首先会进行会话查找，看是否存在该数据包相关的会话。如果存在，则会依据已经设定的防火墙策略进行匹配和对应。否则就需要创建会话。具体步骤简述为：进行转发相关的信息查找;而后进行NAT相关的策略信息查找;最后进行防火墙的策略查找，检查策略是否允许。如果允许则按照之前的策略信息建立对应的会话，如果不允许则丢弃该数据包。

　　2.应用识别

　　数据包进行完初始的防火墙安全策略匹配并创建对应会话信息后，会进行应用识别检测和处理，如果该应用为已经可识别的应用，则对此应用进行识别和标记并直接进入下一个处理流程。如果该应用为未识别应用，则需要进行应用识别子流程，对应用进行特征匹配，协议解码，行为分析等处理从而标记该应用。应用标记完成后，会查找对应的应用安全策略，如果策略允许则准备下一阶段流程;如果策略不允许，则直接丢弃。

　　3.内容检测

　　主引擎工作的最后一个流程为内容检测流程，主要是需要对数据包进行深层次的协议解码、内容解析、模式匹配等操作，实现对数据包内容的完全解析;然后通过查找相对应的内容安全策略进行匹配，最后依据安全策略执行诸如：丢弃、报警、记录日志等动作。

　　3、 数据包出站处理阶段

　　当数据包经过内容检测模块后，会进入出站处理流程。首先系统会路由等信息查找，然后执行QOS，IP数据包分片的操作，如果该数据走VPN通道的话，还需要通过VPN加密，最后进行数据转发。

　　二、与统一策略的关系

　　统一策略实际上是通过同一套安全策略将处于不同层级的安全模块有效地整合在一起，在策略匹配顺序及层次上实现系统智能匹配，其主要的目的是为了提供更好的可用性。举个例子：有些产品HTTP的检测，URL过滤是通过代理模块做的，而其他协议的入侵检测是用另外的引擎。 用户必须明白这些模块间的依赖关系，分别做出正确的购置才能达到需要的功能，而统一策略可以有效的解决上述问题。

　　一体化引擎则是从系统实现的角度将统一策略所涉及到的各个安全业务模块通过网络处理、协议分析、威胁检测等底层技术进行实现，最终保证整个系统高性能，低时延，同时为统一策略的实现提供有效基础。

　　三、结束语

　　综上所述，下一代防火墙与统一威胁管理(UTM)的根本区别其实并不在于应用安全功能本身，而在于系统整体架构设计，就像节能灯和白炽灯的区别，虽然都能发光，但是前者的节能效果及性价比远远高于后者，而后者终将被用户和市场所淘汰。绿盟科技等安全厂商推出的下一代防火墙在安全引擎体系结构设计上和配置策略管理上集中体现了“一体化”的特色，实现了安全一体、配置管理一体的双一体，为用户在高性能安全防护、高效管理上提供了极大价值。