無論是UTM，還是NGFW，主要還都是新瓶裝舊酒。要在網(wǎng)絡安全產(chǎn)品上同時實現(xiàn)功能深度集成和性能大幅提升，還有待真正的創(chuàng)新。

近年來，國際上的一些市場分析公司越來越有語不驚人死不休的味道。2003年6月，Gartner的副總裁、分析師Richard Stiennon發(fā)表的《Intrusion Detection is Dead  Long Live Intrusion Prevention（入侵檢測壽終正寢，入侵防御萬古長青）》，就是一例。不僅如此，著名的市場分析公司并不總是意見相同，常常讓人無法適從。好在“實踐是檢驗真理的唯一標準”，至少市場預測的結果是可以隨著時間推移去偽存真的。

網(wǎng)絡安全企業(yè)的突圍

至今存活下來的獨立網(wǎng)絡安全產(chǎn)品公司，主要有兩類：一類是從防病毒起家的，逐步借助優(yōu)勢把握惡意軟件（malware）防控和相關市場，但有些也在暗度陳倉，例如Symantec通過并購進入了存儲市場；另一類是傳統(tǒng)的防火墻、入侵檢測和防御（IDS：Intrusion Detection System和IPS：Intrusion Prevention System）廠商，雖然有些老牌廠商如WatchGuard和SonicWall已經(jīng)被私募股權投資拿下，不再是上市公司，但CheckPoint還算硬朗，SourceFire也尚活躍，而且無論中美，零星還會有Fortinet和啟明星辰這樣的公司上市，也還有Palo Alto Networks和山石等創(chuàng)業(yè)公司出現(xiàn)。

在防病毒等惡意軟件方面，目前路由交換巨賈們還沒有太多介入，基本上是采取與傳統(tǒng)防病毒廠商合作的策略，但防火墻、IDS/IPS、虛擬專用網(wǎng)（VPN：Virtual Private Network）以及由此衍生出來的統(tǒng)一威脅管理（UTM，Unified Threat Management），則是Cisco、華為/華賽、Juniper等的拿手好戲，不會讓專營網(wǎng)絡安全的廠商專美于前。這就使得專業(yè)網(wǎng)絡安全廠商特別是后起之秀們必須想方設法發(fā)現(xiàn)用戶對網(wǎng)絡安全硬件設備的新需求，在技術創(chuàng)新上搶得先機，在產(chǎn)品特色上占據(jù)主動。而在這方面，最好的辦法就是讓市場分析公司認識到新型、特色產(chǎn)品的價值，充當吹鼓手。市場分析公司當然也不愿錯失“發(fā)現(xiàn)新大陸”的機會，對于“定義”一個新產(chǎn)品類型、描繪一個新市場方向更是樂此不疲，從而確實對市場發(fā)展發(fā)揮了推波助瀾的巨大作用。這便形成了一個“共謀”的生態(tài)。

“矮胖子”與“高瘦子”

UTM將防火墻、VPN、IPS以及網(wǎng)關防病毒等功能結合于一體的網(wǎng)絡安全設備，最初是針對中小企業(yè)（SMB：Small and Medium-sized Business）客戶的需求提出的。2004年9月，IDC最早提出UTM的概念，認為它作為一種新的產(chǎn)品形態(tài)正在形成網(wǎng)絡安全產(chǎn)業(yè)中的一個新興細分市場。2008年，IDC宣稱UTM市場規(guī)模在2007年超過了10億美元，并預期將在2012年達到整個網(wǎng)絡安全市場的33.6%。

UTM產(chǎn)品符合中小企業(yè)對降低設備和管理成本的需求，也在一定程度上提供了分立產(chǎn)品無法做到的防御抗擊綜合性攻擊手段的能力，獲得了巨大的市場成功，成為近年來成長最快的網(wǎng)絡安全設備類別。然而，對于大型企業(yè)，一般UTM設備對相關安全功能的深度整合不夠，集成優(yōu)勢發(fā)揮不足，同時性能瓶頸也是非常突出的問題。這種情況也引發(fā)了很多爭論，比如下一代防火墻到底是應該更突出功能集成（因包含許多功能而增“胖”）還是更強調性能突破（為保證處理速度而“瘦”身）。

對此，筆者認為性能和功能從來就是一個矛盾的兩個方面，不能試圖用一種軟硬件體系結構解決所有的問題，并在2003年曾經(jīng)提出：最有可能出現(xiàn)的局面是“矮胖子” 和“高瘦子”共存。所謂“矮胖子”，多數(shù)會是基于CPU加Linux的計算平臺，服務于低端市場。因為目前CPU的處理能力已經(jīng)大大超過低端底層網(wǎng)絡處理的需求，完全可以利用其空閑時間進行更多應用代理、內容過濾等協(xié)議和數(shù)據(jù)處理。而高瘦子則指高端產(chǎn)品，它們主要還會是綜合應用CPU、NPU（網(wǎng)絡處理器）、ASIC以及各種數(shù)據(jù)加密和協(xié)議分析等協(xié)處理芯片，構成高速可靠的安全計算平臺。這樣一個“矮胖子”和“高瘦子” 并存的產(chǎn)品形態(tài)分布不但與現(xiàn)有軟硬件計算技術的水平相適應，而且也與實際需要相吻合，正所謂“環(huán)肥燕瘦總相宜”。當然，胖瘦、高矮的分界線也是隨著時間而變的，通常的情況是：核心安全區(qū)域一般流量較小，但對應用層安全要求較高；公共性越強的網(wǎng)絡節(jié)點對性能要求越高，但并不一定要求防病毒、防垃圾等應用層過濾。

新瓶裝舊酒

有趣的是，同是著名市場分析公司的Gartner一直對一些廠商借助UTM的人氣將其推向大型企業(yè)不敢茍同，甚至在2005年就在正式發(fā)表的研究報告中明確宣稱“（大型）企業(yè)UTM根本就不存在”。相反，他們注意到UTM的現(xiàn)有用戶企業(yè)一旦成長到750人左右，就會改用單點（分立）設備，而且不再回頭。

2009年12月，Gartner的John Pescatore和Greg Young提出了NGFW，即下一代防火墻（Next Generation FireWall）的概念。這與筆者2003年提出的“高瘦子”說法甚為相像，相對IDC于2004年提出的類似“矮胖子”的中小企業(yè)級UTM而言，也主要是在提高性能要求的前提下，去掉了防病毒等通常要在“應用層”和“文件級”進行處理的安全功能，保留了在網(wǎng)包（packet）和網(wǎng)流（flow，或會話，session）層處理的網(wǎng)包過濾、狀態(tài)檢測（Stateful inspection）和深度檢測（Deep inspection）等核心技術環(huán)節(jié)，并對通過安全功能深度集成以更好抵御botnet等新型攻擊、提供對P2P等應用的控制提出了更高要求。他們預測，到2014年底，NGFW將占有防火墻（以及IPS）市場的60%。

其實，無論是“矮胖子”UTM，還是“高瘦子”NGFW，真正革命性技術突破并不多，可以說還都主要是新瓶裝舊酒。

創(chuàng)新前夜

無論是UTM還是NGFW，面臨的重要問題都是如何實現(xiàn)功能深度集成和性能大幅提升。雖然近年來各大廠商在產(chǎn)品研發(fā)中都在不斷有所推進，但在一些關鍵技術方面如高速正則表達式匹配方面，尚待算法或芯片技術的重大突破。不過，網(wǎng)絡應用的普及和移動計算的發(fā)展正在使得信息安全成為焦點，這將大大推動相關技術的進步。剛剛宣布的Intel對McAfee的收購就是產(chǎn)業(yè)界提供的新鮮例證之一。另外，最近嵌入式處理器測評協(xié)會（EEMBC：Embedded Microprocessor Benchmark Consortium）開始了稱為DPIBench的標準測試起草工作。缺乏公正、完整的測評體系，使得高性能安全網(wǎng)關設備市場上很多不實或刻意以偏蓋全市場宣傳的存在成為可能，不但給用戶選擇和使用帶來困惑，而且降低了技術創(chuàng)新的壓力和動力。DPIBench試圖建立一個業(yè)界普遍接受的標準測評體系，以便比較系統(tǒng)和芯片的深度檢測性能，如能成功，將對技術進步和產(chǎn)業(yè)發(fā)展大有裨益。

在新的技術突破到來之前，市場上的選擇大多只會是新瓶裝舊酒。但我們完全有理由期待全新技術的出現(xiàn)。

【編輯推薦】

1. 三個值得關注的開源UTM產(chǎn)品
2. 企業(yè)如何選擇UTM一體化安全網(wǎng)關
3. 設置高效UTM的九條法則