下一代防火墙自出现以来,和UTM的对比之声就不绝于耳。在用户方面,往往还有很存在很多迷惑的地方。针对UTM与下一代防火墙的未来,所有的受访对象都一致认为,下一代防火墙在未来将来会取代现在的UTM设备。因为,从产品结构、功能、性能等方面来看,下一代防火墙都比UTM要领先一步。
相较于传统防火墙,UTM提供了更多的安全功能,但UTM的致命缺陷就是采用串行扫描方式,处理效率低下,尤其在激活了多种扫描过滤功能之后,整体的性能会使企业的网络受到极大的影响。王帆则表示,UTM只是将防火墙、IPS、AV进行简单的功能堆砌,功能全部开放时的效率非常低下,另外,UTM在防护方面也不完善,例如Web应用方面的防护就有缺失。
而另一种观点认为UTM到NGFW是安全产品的进一步演化,相较于备受中小企业的UTM设备,下一代防火墙面对的用户范围更加广泛,NGFW的发展是需求推动。从技术方面,UTM和NGFW有一些区别。下一代防火墙产品之所以能够达到比UTM更高的性能和实现更多的功能,是因为其产品架构之间的根本区别。NGFW产品自设计之初,就采用了一体化的引擎,而UTM只是把多种安全引擎叠加在了一起,这种做法会使数据流在每个安全引擎分别执行解码、状态复原等操作,导致大量的资源消耗。而NGFW则不同,它会一次性的对数据流完成识别、扫描,因而可以达到更高的性能。吴亚彪表示,UTM开始的设计就是针对中小企业网络的,性能受到了很大的局限。UTM的理念是不需要用户开启全部功能。NGFW拥有灵活的架构与扩充性,这主要得益于NGFW支持虚拟化,使得NGFW能够更灵活的架构。除了定制化能力外,还有一点很重要的就是硬件资源可以通过虚拟化技术进行分配的。举例来说,NGFW很有可能有能力多台防火墙串连虚拟为单一的防火墙设备,或是将单台防火墙虚拟为多台小型防火墙,达到分开处理流量的效果。
虽然NGFW产品与UTM相比具有了先天性的优越性,但对于追求高性价比的中小企业用户来说,UTM在最近的几年中无疑还有巨大的市场潜力。作为非下一代防火墙厂商,H3C安全产品部总工李彦宾提出了比较中立的观点,他认为短期来看,下一代防火墙产品比UTM有一定的优势。但从技术的演进来看,受中小企业客户的强烈需求推动和UTM厂商自身软硬件能力的提升,或许UTM会具备一些新的功能。吴亚彪也认为,NGFW虽然有可能会取代之前的网络防火墙、IPS、UTM等产品,但这取决于用户的根据自身需求和投入来选择,无论UTM还是NGFW可能在未来一段时间内会并存下去。
【编辑推荐】