【IT168 资讯】关于下一代防火墙(NGFW)的另一种声音:NGFW是统一威胁管理(UTM)的一个功能子集。
封面文章《竞速下一代防火墙》发表后,在业界引起巨大反响。很多厂商和用户关注下一代防火墙(NGFW)出现后,现正流行的统一威胁管理产品(UTM)会怎么发展?两者究竟是什么关系?NGFW是否会冲击现有的UTM市场?为此,本报记者采访了能源行业的用户和相关厂商。
用户在观望
来自能源行业的信息化主管熊女士介绍,由于UTM从概念到技术,已经非常成熟,并且流行了很长时间,作为大型能源行业用户,她们单位一直在使用UTM,在反病毒等关键领域,发挥了很好的防御作用,可以一揽子解决所有的安全问题,厂商的服务也很好。她们认为UTM完全可以胜任目前的网络环境。
针对目前厂商正推的NGFW,她说正在观望中。“看了《计算机世界》报社的‘竞速下一代防火墙’后,总体感觉是:下一代防火墙与UTM的区别并不大,NGFW似乎更象是传统防火墙的升级版本,NGFW其中的许多功能在UTM中都已经有了,感觉是厂商在炒作概念。”她说。
比如NGFW主要功能是“防火墙+IPS+应用控制”,其特性是在性能上大幅度提升,所有新推NGFW的厂商,其比拼都体现在防火墙的速度上。但现在的UTM,其功能不仅包括NGFW的功能,还包括反病毒、反垃圾邮件、内容过滤、防数据泄露等多个功能,并且,经过几年时间的发展,UTM性能已经比当初提升了很多倍,早已解决了性能问题,应用在大型行业用户中不成问题。
有这种想法的用户并不在少数,尤其是在那些信息化程度比较高的行业。熊女士分析,主要原因有几点:一是UTM概念已经充分深入到用户的心中,并已经有了许多实际的应用,已经没有炒作概念的余地;二是,经过几年时间的发展,UTM的市场格局基本已经形成,国外的有飞塔公司、国内的有启明星辰、网御星云等公司,一些新兴的厂商在UTM领域的机会已经很少,只能靠炒作新的概念来扩大市场影响力。推出NGFW的,都是一些市场上的新兴的公司,或者是在UTM市场没有任何作为的公司。“说白了,就是厂商之间的竞争,已经从产品和技术领域的竞争,延伸到了概念的竞争,甚至连IDC和Gartner这样的市场调查公司也在竞争概念,以便争夺在市场分析机构中的领导地位。”她一针见血地指出。
因此,在建立新的网络时,或者想要使用防火墙时,用户也许会考虑用到NGFW,因为目前人们对网络访问速度的要求越来越高。但在已经使用了UTM的网络中,要提升性能,我们大可以升级UTM,没必要选择NGFW。她说。
主流厂商坚守UTM
飞塔公司是全球UTM技术的发起者和领先者,目前在全球的UTM市场中占有绝对的市场份额。针对NGFW的出现会对UTM市场产生哪些影响的问题,该公司顾问工程师谭杰介绍,从技术本质上来说,NGFW和UTM都是采用同样的技术手段——许多厂商的核心都是采用通用CPU架构,其中又分别包括X86和MIPS架构,某些采用了NP(网络处理器)对网络层应用进行加速。各个厂商实现的技术手段略有差异,但总体差别不大,但无论如何,NGFW的功能却只是UTM功能的一个子集,因此,他认为,UTM应该是NGFW发展的终极目标:NGFW还是属于防火墙的范畴,虽然在传统的防火墙上,增添了IPS的功能和应用控制功能,在性能上进行了大幅提升。UTM则不仅包括防火墙/VPN/IPS/应用控制,还包括反病毒、URL过滤、内容过滤等许多功能,在IDC的报告中有清晰的定义。
“过去业界对UTM最大的诟病在于只要打开反病毒等内容过滤方面的内容,UTM性能就会极端下降,甚至下降达60%以上。在计算机硬件技术不发达的时候,一段时间内,这确实是问题,并且成了UTM的软肋,许多防火墙厂商就此诋毁UTM,认为UTM只能应用在小型企业中,不能应用在大型企业,包括Gartner都如此定义。但这都是老皇历了。”谭杰介绍,“几年下来,随着计算机硬件技术的高速发展,新的UTM整体性能早已超越以往任何时候,UTM早已广泛升级换代,可以应用在任何大型网络中。”比如,飞塔公司新近推出的5000系列UTM产品,采用了刀片式架构,防火墙性能最高可达480Gbps,打开全部的UTM功能后,包括反病毒等功能,其性能也能达到接近20Gbps左右,足以应用在任何大型网络环境中,甚至包括运营商环境中。
“飞塔的UTM性能之所以能提升这么快,是因为一开始就采用了独特的‘X86+ASIC’架构,随着硬件技术的发展,X86性能已经极大提升,目前多采用INTEL的多核技术,而ASIC已经发展到了第八代,这是其他的防火墙以及UTM不能比的,也是飞塔至今仍占据UTM市场领导者的原因。”谭杰介绍。
飞塔坚信,UTM必将是NGFW发展的终极目标。