群魔亂舞，信息社會入侵威脅與日俱增，

群眾呼聲，

少花錢多辦事，

還要一體化解決諸問題。

網關安全系統向何處去?

是孤膽英雄還是團隊作戰?

我們還需要更加冷靜思索

如何真正滿足用戶的安全需求，是擺在信息安全廠商面前的一個難題。盡管各個廠家前仆后繼，技術路線層出不窮，但鮮有成功者。究竟UTM趨勢如何，我們不妨來看兩個觀點的PK。

防火墻、入侵檢測、防病毒俗稱網絡安全“老三樣”,長期以來一直作為標準安全產品，在實現網絡安全從無到有的過程中發揮了重要作用。

但是，隨著技術不斷進步，用戶對于網絡安全的投入產出比要求越來越高，希望在構建、部署和維護網絡安全系統的過程中能盡量少花錢多辦事，能一步到位解決常見的安全威脅。

正方：

一、用戶不斷要求降低安全投資成本

構建安全系統是一件非常復雜的過程，用戶需要投入大量財力、物力和精力，除網絡信息安全涉及的技術門檻高、產品昂貴的因素之外，主要原因在于大部分安全產品如防火墻、VPN、IPS、防病毒等功能單一，每個設備買之前都需要貨比三家，購買總價高。為了集中管理、存儲日志或者及時更新產品，可能還需要為各家不同的產品分配策略服務器、日志服務器或更新服務器，這些附加的投入會隨著安全產品的引進而成倍增加。可見，對用戶來說，非常迫切希望降低在安全建設上的投入，希望能省時、省心、省力地完成安全建設。

二、用戶不斷要求增強安全防范能力

相當一段時間內，對PPDR模型的理解被簡化為IDS聯動，這從側面反應了用戶對安全效果的不滿：防火墻有控制能力但不能做深度檢查，IDS可以檢查應用安全但沒有控制能力。單一功能安全設備的防范效果肯定是有限的，用戶不滿意是正常的。隨著防垃圾郵件、防釣魚欺騙等更多安全設備的出現，用戶對安全設備的整合、聯動的需求更加強烈，只有做到真正的融合和互動，才能進行全面的安全過濾和防范。

三、用戶不斷要求提高安全運維效率

首先，大部分網絡安全系統是在原有的信息系統基礎上增加的，在增加的安全設備與原有網絡設備、安全設備之間都可能遇到產品兼容性問題，在部署實施中會相互沖突，安全設備越多，沖突的機會就越多，這在客觀上增加了部署實施的難度。有時，個別安全設備可能導致系統驗收推遲幾個月。

其次，每個安全設備都有一套自己的配置管理方法，因此，很多用戶要求廠家派人安裝調試，包括配置安全策略，自己基本不改動。眾所周知，安全策略必須根據實際情況不斷調整，如果固定不變，系統的安全保障效果肯定會打折扣。

最后，在安裝調試完成后，如果設備出現問題，用戶還需要聯系不同廠商來解決，有時甚至需要協調相關的幾家廠商同時到場分析解決，非常復雜。

可見，從安全系統運行維護的角度看，在不犧牲功能、性能的前提下，用戶希望安全設備越少越好。

四、技術不斷發展趨向深度協同安全

防火墻、IDS、防病毒技術經過多年發展，現在已經逐漸成熟并穩定下來，開始相互滲透，相互補充。近兩年，出現了一個明顯的趨勢：防火墻、IDS、防病毒甚至內容過濾廠商分別從自有產品出發，通過增加不同的安全功能模塊發展UTM。實際上，這主要得益于硬件技術的發展。為了解決深度檢查大量耗費CPU資源，除ASIC加速芯片外，一批新的硬件解決方案出現了，如Seaway、Bivil、RMI、Cavium、Sensory、IDT、TARARI，這些硬件能大幅度加速內容匹配，使UTM從概念變成了可用的產品。

反過來，從UTM定義可以看出，UTM集中了多種安全功能，但這些安全功能不一定同時應用，可以只使用某一個功能。因此，可以預測，將來，UTM完全有可能取代防火墻、網絡入侵檢測等單一功能的安全產品。

綜上所述，不論是從用戶需求來看，還是從技術發展和技術支撐來看，UTM作為網絡安全整體解決方案的重要組成部分，是必要的，也是可行的，是網關安全發展的必然趨勢。這從IDC的調查報告中也可以得出同樣的結論。

反方：

百煉成鋼困難重重

一、防火墻胖瘦之爭由來已久

防火墻是胖(功能多)好還是瘦(功能少)好，一直是業界不斷爭論的問題。首先，防火墻到底該不該胖，一種觀點認為防火墻作為訪問控制設備，不宜集成太多功能，否則容易不穩定。另外一種觀點認為防火墻在做好訪問控制的基礎上，應該加入如IDS、內容過濾等安全功能模塊，從而提高防火墻使用價值;其次，胖防火墻到底應該集成哪些安全功能，特別是防病毒功能，爭論很大;最后，如果防火墻胖了，性能能否保證?不論是理論分析還是過去的大量實踐都表明，如果沒有特別的硬件支持，性能確實無法接受。

二、各廠商前仆后繼鮮有成功

盡管防火墻胖瘦之爭一直存在，出于市場競爭的需要，也隨著技術的不斷發展，國內外主流防火墻廠商大多都嘗試過擴充防火墻的功能。比如：加入內容過濾、IDS、防病毒等功能，希望最終做成UTM，但是，真正能做成的很少，分析原因主要有以下三點：

·防火墻廠商對于抗攻擊、訪問控制技術非常熟練，但對于內容過濾、防病毒等技術并不熟悉。

·防火墻基本上是對單個數據包進行檢查和控制，用的是狀態包過濾技術。而防病毒、內容過濾如果要實現準確的檢查和控制，必須使用應用代理技術。如果利用防火墻狀態包過濾技術進行防病毒處理，效果肯定不理想。

·UTM的性能難以保證。當UTM的功能都打開后會耗費大量計算資源，必須依賴硬件加速才能保證性能，但是硬件也只能加速部分工作，如何利用軟硬結合方式處理復雜的應用內容安全是個難題。