UTM與NGFW的新瓶舊酒

近年來(lái)，國(guó)際上的一些市場(chǎng)分析公司越來(lái)越有語(yǔ)不驚人死不休的味道。2003年6月，Gartner的副總裁、分析師Richard Stiennon發(fā)表的《Intrusion Detection is Dead Long Live Intrusion Prevention(入侵檢測(cè)壽終正寢，入侵防御萬(wàn)古長(zhǎng)青)》，就是一例。不僅如此，著名的市場(chǎng)分析公司并不總是意見相同，常常讓人無(wú)法適從。好在“實(shí)踐是檢驗(yàn)真理的唯一標(biāo)準(zhǔn)”，至少市場(chǎng)預(yù)測(cè)的結(jié)果是可以隨著時(shí)間推移去偽存真的。

網(wǎng)絡(luò)安全企業(yè)的突圍

至今存活下來(lái)的獨(dú)立網(wǎng)絡(luò)安全產(chǎn)品公司，主要有兩類：一類是從防病毒起家的，逐步借助優(yōu)勢(shì)把握惡意軟件(malware)防控和相關(guān)市場(chǎng)，但有些也在暗度陳倉(cāng)，例如Symantec通過(guò)并購(gòu)進(jìn)入了存儲(chǔ)市場(chǎng)；另一類是傳統(tǒng)的防火墻、入侵檢測(cè)和防御(IDS：Intrusion Detection System和IPS：Intrusion Prevention System)廠商，雖然有些老牌廠商如WatchGuard和SonicWall已經(jīng)被私募股權(quán)投資拿下，不再是上市公司，但CheckPoint還算硬朗，SourceFire也尚活躍，而且無(wú)論中美，零星還會(huì)有Fortinet和啟明星辰這樣的公司上市，也還有Palo Alto Networks和山石等創(chuàng)業(yè)公司出現(xiàn)。

在防病毒等惡意軟件方面，目前路由交換巨賈們還沒(méi)有太多介入，基本上是采取與傳統(tǒng)防病毒廠商合作的策略，但防火墻、IDS／IPS、虛擬專用網(wǎng)(VPN：Virtual Private Netwo rk)以及由此衍生出來(lái)的統(tǒng)一威脅管理(UTM，Unified Threat Management)，則是Cisco、華為／華賽、Juniper等的拿手好戲，不會(huì)讓專營(yíng)網(wǎng)絡(luò)安全的廠商專美于前。這就使得專業(yè)網(wǎng)絡(luò)安全廠商特別是后起之秀們必須想方設(shè)法發(fā)現(xiàn)用戶對(duì)網(wǎng)絡(luò)安全硬件設(shè)備的新需求，在技術(shù)創(chuàng)新上搶得先機(jī)，在產(chǎn)品特色上占據(jù)主動(dòng)。而在這方面，最好的辦法就是讓市場(chǎng)分析公司認(rèn)識(shí)到新型、特色產(chǎn)品的價(jià)值，充當(dāng)吹鼓手。市場(chǎng)分析公司當(dāng)然也不愿錯(cuò)失“發(fā)現(xiàn)新大陸”的機(jī)會(huì)，對(duì)于“定義”一個(gè)新產(chǎn)品類型、描繪一個(gè)新市場(chǎng)方向更是樂(lè)此不疲，從而確實(shí)對(duì)市場(chǎng)發(fā)展發(fā)揮了推波助瀾的巨大作用。這便形成了一個(gè)“共謀”的生態(tài)。

“矮胖子”與“高瘦子”

UTM將防火墻、VPN、IPS以及網(wǎng)關(guān)防病毒等功能結(jié)合于一體的網(wǎng)絡(luò)安全設(shè)備，最初是針對(duì)中小企業(yè)(SMB：Small and Medium-sized Business)客戶的需求提出的。2004年9月，IDC最早提出UTM的概念，認(rèn)為它作為一種新的產(chǎn)品形態(tài)正在形成網(wǎng)絡(luò)安全產(chǎn)業(yè)中的一個(gè)新興細(xì)分市場(chǎng)。2008年，IDC宣稱UTM市場(chǎng)規(guī)模在2007年超過(guò)了10億美元，并預(yù)期將在2012年達(dá)到整個(gè)網(wǎng)絡(luò)安全市場(chǎng)的33.6％。

UTM產(chǎn)品符合中小企業(yè)對(duì)降低設(shè)備和管理成本的需求，也在一定程度上提供了分立產(chǎn)品無(wú)法做到的防御抗擊綜合性攻擊手段的能力，獲得了巨大的市場(chǎng)成功，成為近年來(lái)成長(zhǎng)最快的網(wǎng)絡(luò)安全設(shè)備類別。然而，對(duì)于大型企業(yè)，一般UTM設(shè)備對(duì)相關(guān)安全功能的深度整合不夠，集成優(yōu)勢(shì)發(fā)揮不足，同時(shí)性能瓶頸也是非常突出的問(wèn)題。這種情況也引發(fā)了很多爭(zhēng)論，比如下一代防火墻到底是應(yīng)該更突出功能集成(因包含許多功能而增“胖”)還是更強(qiáng)調(diào)性能突破(為保證處理速度而“瘦”身)。

對(duì)此，筆者認(rèn)為性能和功能從來(lái)就是一個(gè)矛盾的兩個(gè)方面，不能試圖用一種軟硬件體系結(jié)構(gòu)解決所有的問(wèn)題，并在2003年曾經(jīng)提出：最有可能出現(xiàn)的局面是“矮胖子” 和“高瘦子”共存。所謂“矮胖子”，多數(shù)會(huì)是基于CPU加Linux的計(jì)算平臺(tái)。服務(wù)于低端市場(chǎng)。因?yàn)槟壳癈PU的處理能力已經(jīng)大大超過(guò)低端底層網(wǎng)絡(luò)處理的需求，完全可以利用其空閑時(shí)間進(jìn)行更多應(yīng)用代理、內(nèi)容過(guò)濾等協(xié)議和數(shù)據(jù)處理。而高瘦子則指高端產(chǎn)品，它們主要還會(huì)是綜合應(yīng)用CPU、NPU(網(wǎng)絡(luò)處理器)、ASIC以及各種數(shù)據(jù)加密和協(xié)議分析等協(xié)處理芯片，構(gòu)成高速可靠的安全計(jì)算平臺(tái)。這樣一個(gè)“矮胖子”和“高瘦子” 并存的產(chǎn)品形態(tài)分布不但與現(xiàn)有軟硬件計(jì)算技術(shù)的水平相適應(yīng)，而且也與實(shí)際需要相吻合，正所謂“環(huán)肥燕瘦總相宜”。當(dāng)然，胖瘦、高矮的分界線也是隨著時(shí)間而變的，通常的情況是：核心安全區(qū)域一般流量較小，但對(duì)應(yīng)用層安全要求較高，公共性越強(qiáng)的網(wǎng)絡(luò)節(jié)點(diǎn)對(duì)性能要求越高，但并不一定要求防病毒、防垃圾等應(yīng)用層過(guò)濾。

新瓶裝舊酒

有趣的是，同是著名市場(chǎng)分析公司的Gartner一直對(duì)一些廠商借助UTM的人氣將其推向大型企業(yè)不敢茍同，甚至在2005年就在正式發(fā)表的研究報(bào)告中明確宣稱“(大型)企業(yè)UTM根本就不存在”。相反，他們注意到UTM的現(xiàn)有用戶企業(yè)一旦成長(zhǎng)到750人左右，就會(huì)改用單點(diǎn)(分立)設(shè)備，而且不再回頭。

2009年12月，Gartner的John Pescatore和Greg Young提出了NGFW，即下一代防火墻(Next Generation FireWall)的概念。這與筆者2003年提出的“高瘦子”說(shuō)法甚為相像，相對(duì)IDC于2004年提出的類似“矮胖子”的中小企業(yè)級(jí)UTM而言，也主要是在提高性能要求的前提下，去掉了防病毒等通常要在“應(yīng)用層”和“文件級(jí)”進(jìn)行處理的安全功能，保留了在網(wǎng)包(packet)和網(wǎng)流(flow，或會(huì)話，sesslorl)層處理的網(wǎng)包過(guò)濾、狀態(tài)檢測(cè)(Stateful inspection)和深度檢測(cè)(Deep inspection)等核心技術(shù)環(huán)節(jié)，并對(duì)通過(guò)安全功能深度集成以更好抵御botnet等新型攻擊、提供對(duì)P2P等應(yīng)用的控制提出了更高要求。他們預(yù)測(cè)，到2014年底，NGFW將占有防火墻(以及IPS)市場(chǎng)的60％。

其實(shí)，無(wú)論是“矮胖子”UTM，還是“高瘦子”NGFW，真正革命性技術(shù)突破并不多，可以說(shuō)還都主要是新瓶裝舊酒。

創(chuàng)新前夜

無(wú)論是UTM還是NGFW，面臨的重要問(wèn)題都是如何實(shí)現(xiàn)功能深度集成和性能大幅提升。雖然近年來(lái)各大廠商在產(chǎn)品研發(fā)中都在不斷有所推進(jìn)，但在一些關(guān)鍵技術(shù)方面如高速正則表達(dá)式匹配方面，尚待算法或芯片技術(shù)的重大突破。不過(guò)，網(wǎng)絡(luò)應(yīng)用的普及和移動(dòng)計(jì)算的發(fā)展正在使得信息安全成為焦點(diǎn)，這將大大推動(dòng)相關(guān)技術(shù)的進(jìn)步。剛剛宣布的Intel對(duì)McAfee的收購(gòu)就是產(chǎn)業(yè)界提供的新鮮例證之一。另外，最近嵌入式處理器測(cè)評(píng)協(xié)會(huì)(EEMBC：Embedded Microprocessor Benchmark Consortium)開始了稱為DPIBench的標(biāo)準(zhǔn)測(cè)試起草工作。缺乏公正、完整的測(cè)評(píng)體系，使得高性能安全網(wǎng)關(guān)設(shè)備市場(chǎng)上很多不實(shí)或刻意以偏蓋全市場(chǎng)宣傳的存在成為可能，不但給用戶選擇和使用帶來(lái)困惑，而且降低了技術(shù)創(chuàng)新的壓力和動(dòng)力。DPIBench試圖建立一個(gè)業(yè)界普遍接受的標(biāo)準(zhǔn)測(cè)評(píng)體系，以便比較系統(tǒng)和芯片的深度檢測(cè)性能，如能成功，將對(duì)技術(shù)進(jìn)步和產(chǎn)業(yè)發(fā)展大有裨益。

在新的技術(shù)突破到來(lái)之前，市場(chǎng)上的選擇大多只會(huì)是新瓶裝舊酒。但我們完全有理由期待全新技術(shù)的出現(xiàn)。