关注网络与数据安全

忘记密码
“游侠安全网”创建了网络安全从业者QQ大群(群号:389710688) ,欢迎各位同仁加入!有其它问题,请联系站长“网路游侠”,QQ:55984512


UTM与NGFW的殊途同归-访飞塔首席技术官谢华!

2013-11-01 22:22 推荐: 浏览: 149字号:

摘要: 二零一三年伊始,伴随网络安全供应商Fortinet在中国区发布FortiOS 5.0操作系统之际,一个身材高大,精神矍铄的长者来到了Fortinet北京总部。 这位长者名叫谢华,是Fortinet创办人之一,也是Fortinet的首席技术官(CTO),技术副总...

二零一三年伊始,伴随网络安全供应商Fortinet在中国区发布FortiOS 5.0操作系统之际,一个身材高大,精神矍铄的长者来到了Fortinet北京总部。

这位长者名叫谢华,是Fortinet创办人之一,也是Fortinet的首席技术官(CTO),技术副总裁……面对国内热闹非凡的UTM和NGFW之争,他似乎有些自己的看法。

在这之前,大家先来了解一下网关防火墙技术的发展简史:

第一代防火墙

第一代防火墙技术几乎与路由器同时出现,采用了包过滤(Packet filter)技术。

第二、三代防火墙

1989年,贝尔实验室的Dave Presotto和Howard Trickey推出了第二代防火墙,即电路层防火墙,同时提出了第三代防火墙--应用层防火墙(代理防火墙)的初步结构。

第四代防火墙

1992年,USC信息科学院的BobBraden开发出了基于动态包过滤(Dynamic packet filter)技术的第四代防火墙,后来演变为目前所说的状态监视(Stateful inspection)技术。1994年,以色列的CheckPoint公司开发出了第一个采用这种技术的商业化的产品。

第五代防火墙

1998年,NAI公司推出了一种自适应代理(Adaptive proxy)技术,并在其产品Gauntlet Firewall for NT中得以实现,给代理类型的防火墙赋予了全新的意义,可以称之为第五代防火墙。

一体化安全网关UTM

2004年9月,IDC最早提出UTM的概念,认为它作为一种新的产品形态正在形成网络安全产业中的一个新兴细分市场。

紧接着,Fortinet和Juniper公司的高性能UTM开始占据一定的市场份额,国内厂商也开始了轰轰烈烈的UTM运动。

NGFW下一代防火墙

2009年12月,Gartner的John Pescatore和Greg Young提出了NGFW,即下一代防火墙(Next Generation FireWall)的概念。他们预测,到2014年底,NGFW将占有防火墙(以及IPS)市场的60%。

一时间,NGFW大潮席卷全球。在安全圈里甚至传出,如果自己公司没有出过NGFW,都不好意思跟友商打招呼的笑话。

2004年以前的防火墙变革,似乎都有很清晰的产品形态。但2004年之后的UTM和NGFW之争,似乎总让人如坠雾里。NGFW真的是UTM的替代品吗?

让我们先来看看UTM和NGFW各自宣扬的优势。

首先,我们从Fortinet公开的技术资料里,找到有关UTM的特点。

UTM与NGFW的殊途同归——访Fortinet首席技术官谢华

图1

再看一下Palo Alto的资料里,他们对NGFW的特点描述。如图2所示。

UTM与NGFW的殊途同归——访Fortinet首席技术官谢华

图2

是不是感觉两者有点像?

对此,UTM产品开创者,安全厂商Fortinet认为:“随着NGFW的推出,人们一直对这个同时具有许多安全功能的新一代防火墙产品有着似曾相识的感觉。毕竟在此之前,UTM也是一款有着众多功能的安全产品。于是,人们便开始为NGFW与UTM的优劣进行长期的争辩,同时也有相当多的声音认为两者根本是同样的产品。

就UTM的多功能来说,NGFW也一样是各种安全功能无所不包。若认真检视一下两种产品上的多功能,不论传统防火墙、DPI、VPN、IPS、防病毒、Web URL/内容过滤、应用识别与控制、邮件安全,甚至DLP等功能,几乎都可以在两个产品身上找到。甚至SANS认为NGFW在识别上的必要元件之一的DPI检测机制,其实在一些UTM产品上已经内建,例如SonicWall UTM。由此可见,就安全防护的面向及支持功能的多寡上,UTM与NGFW间实殊无轩轾、难分高下。”

NGFW领导厂商Palo Alto在自己的技术资料里,对UTM的评论是这样的。如图3所示。

UTM与NGFW的殊途同归——访Fortinet首席技术官谢华

图3

在图中所述的文字阐述:UTM只是让综合的方案便宜了一些。UTM的功能表现并不比独立设备好,它的价值体现在单台设备的中整合多种安全功能,为客户提供了方便。遗憾的是,UTM有着不精确、难以管理、启用多种安全业务时性能较差的不良声誉,因而被部署到那些更看重整合设备形态,不太关注功能、可管理性或性能的应用场景……

面对这项“指控”,Fortinet是怎么回应的呢?

Fortinet表示:“自古以来就有很多借船出海的故事,当然把这个成语应用在当前的IT行业竞争上一点也不为过。当前NGFW厂商为其产品界定了应有的几大基本功能,其大致包括防火墙、VPN、IDS/IPS、Web过滤、防病毒、反垃圾邮件及流量调控等七大功能。但令人感到意外的,这份基本功能名单竟然是以Fortinet的技术做为参考基准。

如果Palo Alto的指责是针对UTM产品跟风者的话,或许有一些道理。因为这些跟风者机械地把多种软件装到一个设备里,而没有对其进行融化吸收,而导致使用困难和性能低劣。但是作为UTM开创者的Fortinet公司,以其研发能力,不断地深化UTM的理念,将更多的功能融入设备中,优化软件和硬件结构,使其使用便捷,性能卓越。实际上,我们从对NGFW的表述上就可以看出其对Fortinet公司产品技术的参考,这也反过来证明了Fortinet技术的前瞻性。”

如果以Palo Alto的标准来衡量Fortinet的话,我们看到Fortinet产品比大多数“NGFW”更象NGFW。“visiable and control”,Fortinet早在2009年时就提出了“可视化和可管理”,在其4.0版本就支持网络通讯和应用可视性。“safe enablement”,Fortinet的基于用户的安全策略管理是很多用户所爱戴的功能。“simplification”,Fortinet设备是以其可管理性、友好程度、简洁的风格闻名于业界。“IT and business aliagment”, 对企业网络应用控制与管理是FortiOS 4.0开始支持的,而现在的版本是5.0。

UTM与NGFW的殊途同归——访Fortinet首席技术官谢华

Fortinet CTO谢华

为了验证自己的技术,Fortinet不动声色的做了一件事情。他们在2012年年底的时候,把自己一款型号为FortiGate 3140B作为"NGFW"交到了独立安全评测机构NSS labs手中。NSS labs对全球各地产品进行"下一代防火墙比较分析",Palo Alto、Barracuda、Check Point、SonicWALL、Juniper、Sourcefire等多家所谓NGFW知名厂商均以高端产品参与本次评比。

结果Fortinet的FortiGate 3140B的表现并不比其他NGFW差,甚至在威胁检出率方面胜过了所有对手。而这款FortiGate 3140B,其实只是Fortinet UTM中的一款产品而已。这样一款普通的UTM产品在高端NGFW产品测试中能获得如此佳绩,无疑证明了Fortinet公司推动UTM技术发展所获得的成就。

如此一来,市面上所谓UTM不如NGFW的言论不攻自破了。《周易·系辞下》中说:"天下同归而殊途,一致而百虑。" NGFW与UTM本是同根,为用户提供的解决方案可能有少许不同,但在网络中所起的作用,基本是一样的。而所有的"多功能防火墙",功能少时速度固然很快,功能开多了速度一样会慢。不同的,就要看所属厂商的技术是否过硬,产品质量是否过关了。

媒体链接:http://netsecurity.51cto.com/art/201301/378262.htm

联系站长租广告位!

中国首席信息安全官
Copy link