面對NGFW,UTM怎么辦?

近來關于下一代防火墻（NGFW）的討論引起了業界的廣泛關注，除了追捧和贊成者外，我們還聽到了另一種聲音，那就是NGFW是統一威脅管理（UTM)的一個功能子集。

下一代防火墻（NGFW）近來在業界引發討論，很多廠商和用戶在關注下一代防火墻（NGFW)出現后，目前流行的統一威脅管理產品（UTM）將會如何發展？兩者究竟是什么關系？NGFW是否會沖擊現有的UTM市場？為此，本報記者采訪了能源行業的用戶和相關廠商。

用戶在觀望

來自能源行業的信息化主管熊女士介紹說，由于UTM從概念到技術已經非常成熟，并且流行了很長時間，作為大型能源行業的用戶，他們單位一直在使用UTM，并在反病毒等關鍵領域中發揮了很好的防御作用，可以一攬子解決所有的安全問題。她認為，UTM完全可以勝任目前的網絡環境。

針對目前正在推廣的NGFW，她還在觀望中。“下一代防火墻與UTM的區別并不大，NGFW似乎更像是傳統防火墻的升級版本，NGFW中的許多功能在UTM里都已經有了，似乎是廠商在炒作概念。“熊女士說。

比如NGFW的主要功能是“防火墻+IPS+應用控制”，其特性是在性能上大幅提升，所有新推NGFW的廠商，其比拼都體現在防火墻的速度上。但現在的UTM，其功能不僅包括NGFW的功能，還包括反病毒、反垃圾郵件、內容過濾、防數據泄露等多個功能，并且，經過幾年時間的發展，UTM的性能已經比當初提升了很多倍，完全可以在大型行業中應用。

有這種想法的用戶并不在少數，尤其是在那些信息化程度比較高的行業。熊女士分析，主要原因有幾點：一是UTM概念已經充分深入到用戶的心中，并已經有了許多實際的應用；二是經過幾年時間的發展，UTM的市場格局基本已經形成，如飛塔、啟明星辰、網御星云等公司，一些新興的廠商在UTM領域的機會已經很少，希望通過炒作新的概念來擴大市場影響力。目前推出NGFW的大都是一些新興公司，沒有進入到UTM市場中。“廠商之間的競爭已經從產品和技術領域，延伸到了概念的競爭，甚至連IDC和Gartner這樣的市場調查公司也在競爭概念，以便爭奪在市場分析機構中的領導地位。”她一針見血地指出。

“因此，在建立新的網絡，或者想要使用防火墻時，用戶也許會考慮使用NGFW，因為目前人們對網絡訪問速度的要求越來越高。但在已經使用了UTM的網絡中，要提升性能，我們大可以升級UTM，而沒必要選擇NGFW。”她說。

主流廠商堅守UTM

飛塔公司目前在全球的UTM市場中占有絕對的市場份額。針對NGFW的出現會對UTM市場產生哪些影響，該公司顧問工程師譚杰介紹說，從技術上說，NGFW和UTM都是采用同樣的技術手段——許多廠商的核心都是采用通用CPU架構，其中又分別包括X86和MIPS架構，某些采用了NP（網絡處理器）對網絡層應用進行加速。各廠商實現的技術手段略有差異，但總體差別不大。不過，NGFW的功能只是UTM功能的一個子集。因此，他認為，UTM應該是NGFW發展的終極目標，NGFW還是屬于防火墻的范疇，雖然在傳統的防火墻上增添了IPS的功能和應用控制功能，在性能上進行了大幅提升。UTM則不僅包括防火墻/VPN/IPS/應用控制，還包括反病毒、內容過濾等許多功能，這在IDC的報告中有清晰的定義。

“過去業界對UTM最大的詬病在于只要打開反病毒等內容過濾方面的功能，UTM性能就會極端下降，幅度甚至達到60%以上。這在過去確實是個問題，并且成了UTM的軟肋，許多防火墻廠商就此認為UTM只能應用在小型企業中，不能應用于大型企業，包括Gartner都如此定義。”譚杰介紹說：“但近幾年，隨著計算機硬件技術的高速發展，新的UTM整體性能早已超越以往任何時候，UTM早已廣泛升級換代，可以應用在任何大型網絡中。”比如，飛塔公司新近推出的5000系列UTM產品，采用了刀片式架構，防火墻性能最高可達480Gbps，打開全部的UTM功能后，包括反病毒等功能，其性能也能接近20Gbps，足以應用在任何大型網絡環境中，甚至包括運營商環境中。

“飛塔的UTM性能之所以能提升這么快，是因為一開始就采用了獨特的X86+ASIC架構，隨著硬件技術的發展，X86性能已經極大提升，目前多采用Intel的多核技術，而飛塔公司自行研發的ASIC芯片也已經發展到了第八代，這是其他防火墻以及UTM不能比的，也是飛塔至今仍是UTM市場領導者的原因。”譚杰介紹說。飛塔堅信，UTM必將是NGFW發展的終極目標。