二零一三年伊始,,伴隨網(wǎng)絡安全供應商在中國區(qū)發(fā)布FortiOS 5.0操作系統(tǒng)之際,,一個身材高大,精神矍鑠的長者來到了Fortinet北京總部,。
這位長者名叫謝華,,是Fortinet創(chuàng)辦人之一,也是Fortinet的首席技術官(CTO),技術副總裁……面對國內熱鬧非凡的
在這之前,,大家先來了解一下網(wǎng)關防火墻技術的發(fā)展簡史:
第一代防火墻
第一代防火墻技術幾乎與路由器同時出現(xiàn),,采用了包過濾(Packet filter)技術。
第二,、三代防火墻
1989年,,貝爾實驗室的Dave Presotto和Howard Trickey推出了第二代防火墻,即電路層防火墻,,同時提出了第三代防火墻--應用層防火墻(代理防火墻)的初步結構,。
第四代防火墻
1992年,USC信息科學院的BobBraden開發(fā)出了基于動態(tài)包過濾(Dynamic packet filter)技術的第四代防火墻,,后來演變?yōu)槟壳八f的狀態(tài)監(jiān)視(Stateful inspection)技術,。1994年,以色列的CheckPoint公司開發(fā)出了第一個采用這種技術的商業(yè)化的產(chǎn)品,。
第五代防火墻
1998年,,NAI公司推出了一種自適應代理(Adaptive proxy)技術,并在其產(chǎn)品Gauntlet Firewall for NT中得以實現(xiàn),,給代理類型的防火墻賦予了全新的意義,,可以稱之為第五代防火墻。
一體化安全網(wǎng)關UTM
2004年9月,,IDC最早提出UTM的概念,,認為它作為一種新的產(chǎn)品形態(tài)正在形成網(wǎng)絡安全產(chǎn)業(yè)中的一個新興細分市場。
緊接著,,F(xiàn)ortinet和Juniper公司的高性能UTM開始占據(jù)一定的市場份額,,國內廠商也開始了轟轟烈烈的UTM運動。
NGFW下一代防火墻
2009年12月,,Gartner的John Pescatore和Greg Young提出了NGFW,,即下一代防火墻(Next Generation FireWall)的概念。他們預測,,到2014年底,,NGFW將占有防火墻(以及IPS)市場的60%。
一時間,,NGFW大潮席卷全球,。在安全圈里甚至傳出,如果自己公司沒有出過NGFW,,都不好意思跟友商打招呼的笑話,。
2004年以前的防火墻變革,似乎都有很清晰的產(chǎn)品形態(tài),。但2004年之后的UTM和NGFW之爭,,似乎總讓人如墜霧里,。NGFW真的是UTM的替代品嗎?
讓我們先來看看UTM和NGFW各自宣揚的優(yōu)勢。
首先,,我們從Fortinet公開的技術資料里,,找到有關UTM的特點。
圖1
再看一下
圖2
是不是感覺兩者有點像?
對此,,UTM產(chǎn)品開創(chuàng)者,,安全廠商Fortinet認為:“隨著NGFW的推出,人們一直對這個同時具有許多安全功能的新一代防火墻產(chǎn)品有著似曾相識的感覺,。畢竟在此之前,,UTM也是一款有著眾多功能的安全產(chǎn)品。于是,,人們便開始為NGFW與UTM的優(yōu)劣進行長期的爭辯,,同時也有相當多的聲音認為兩者根本是同樣的產(chǎn)品。
就UTM的多功能來說,,NGFW也一樣是各種安全功能無所不包,。若認真檢視一下兩種產(chǎn)品上的多功能,不論傳統(tǒng)防火墻,、DPI,、VPN、IPS,、防病毒,、Web URL/內容過濾、應用識別與控制,、郵件安全,,甚至DLP等功能,幾乎都可以在兩個產(chǎn)品身上找到,。甚至SANS認為NGFW在識別上的必要元件之一的DPI檢測機制,,其實在一些UTM產(chǎn)品上已經(jīng)內建,例如SonicWall UTM,。由此可見,,就安全防護的面向及支持功能的多寡上,UTM與NGFW間實殊無軒輊,、難分高下,。”
NGFW領導廠商Palo Alto在自己的技術資料里,對UTM的評論是這樣的,。如圖3所示。
圖3
在圖中所述的文字闡述:UTM只是讓綜合的方案便宜了一些,。UTM的功能表現(xiàn)并不比獨立設備好,,它的價值體現(xiàn)在單臺設備的中整合多種安全功能,,為客戶提供了方便。遺憾的是,,UTM有著不精確,、難以管理、啟用多種安全業(yè)務時性能較差的不良聲譽,,因而被部署到那些更看重整合設備形態(tài),,不太關注功能、可管理性或性能的應用場景……
面對這項“指控”,,F(xiàn)ortinet是怎么回應的呢?
Fortinet表示:“自古以來就有很多借船出海的故事,,當然把這個成語應用在當前的IT行業(yè)競爭上一點也不為過。當前NGFW廠商為其產(chǎn)品界定了應有的幾大基本功能,,其大致包括防火墻,、VPN、IDS/IPS,、Web過濾,、防病毒、反垃圾郵件及流量調控等七大功能,。但令人感到意外的,,這份基本功能名單竟然是以Fortinet的技術做為參考基準。
如果Palo Alto的指責是針對UTM產(chǎn)品跟風者的話,,或許有一些道理,。因為這些跟風者機械地把多種軟件裝到一個設備里,而沒有對其進行融化吸收,,而導致使用困難和性能低劣,。但是作為UTM開創(chuàng)者的Fortinet公司,以其研發(fā)能力,,不斷地深化UTM的理念,,將更多的功能融入設備中,優(yōu)化軟件和硬件結構,,使其使用便捷,,性能卓越。實際上,,我們從對NGFW的表述上就可以看出其對Fortinet公司產(chǎn)品技術的參考,,這也反過來證明了Fortinet技術的前瞻性。”
如果以Palo Alto的標準來衡量Fortinet的話,,我們看到Fortinet產(chǎn)品比大多數(shù)“NGFW”更象NGFW,。“visiable and control”,F(xiàn)ortinet早在2009年時就提出了“可視化和可管理”,,在其4.0版本就支持網(wǎng)絡通訊和應用可視性,。“safe enablement”,Fortinet的基于用戶的安全策略管理是很多用戶所愛戴的功能,。“simplification”,F(xiàn)ortinet設備是以其可管理性,、友好程度,、簡潔的風格聞名于業(yè)界。“IT and business aliagment”, 對企業(yè)網(wǎng)絡應用控制與管理是FortiOS 4.0開始支持的,,而現(xiàn)在的版本是5.0,。
Fortinet CTO謝華
為了驗證自己的技術,F(xiàn)ortinet不動聲色的做了一件事情,。他們在2012年年底的時候,,把自己一款型號為FortiGate 3140B作為"NGFW"交到了獨立安全評測機構NSS labs手中。NSS labs對全球各地產(chǎn)品進行"下一代防火墻比較分析",,Palo Alto,、Barracuda、Check Point,、SonicWALL,、Juniper、Sourcefire等多家所謂NGFW知名廠商均以高端產(chǎn)品參與本次評比,。
結果Fortinet的FortiGate 3140B的表現(xiàn)并不比其他NGFW差,,甚至在威脅檢出率方面勝過了所有對手。而這款FortiGate 3140B,,其實只是Fortinet UTM中的一款產(chǎn)品而已,。這樣一款普通的UTM產(chǎn)品在高端NGFW產(chǎn)品測試中能獲得如此佳績,無疑證明了Fortinet公司推動UTM技術發(fā)展所獲得的成就,。
如此一來,,市面上所謂UTM不如NGFW的言論不攻自破了?!吨芤?middot;系辭下》中說:"天下同歸而殊途,,一致而百慮。" NGFW與UTM本是同根,,為用戶提供的解決方案可能有少許不同,,但在網(wǎng)絡中所起的作用,基本是一樣的,。而所有的"多功能防火墻",,功能少時速度固然很快,功能開多了速度一樣會慢,。不同的,,就要看所屬廠商的技術是否過硬,產(chǎn)品質量是否過關了,。