群魔亂舞，信息社會(huì)入侵威脅與日俱增，

群眾呼聲，

少花錢多辦事，

還要一體化解決諸問(wèn)題。

網(wǎng)關(guān)安全系統(tǒng)向何處去?

是孤膽英雄還是團(tuán)隊(duì)作戰(zhàn)?

我們還需要更加冷靜思索

如何真正滿足用戶的安全需求，是擺在信息安全廠商面前的一個(gè)難題。盡管各個(gè)廠家前仆后繼，技術(shù)路線層出不窮，但鮮有成功者。究竟UTM趨勢(shì)如何，我們不妨來(lái)看兩個(gè)觀點(diǎn)的PK。

防火墻、入侵檢測(cè)、防病毒俗稱網(wǎng)絡(luò)安全“老三樣”,長(zhǎng)期以來(lái)一直作為標(biāo)準(zhǔn)安全產(chǎn)品，在實(shí)現(xiàn)網(wǎng)絡(luò)安全從無(wú)到有的過(guò)程中發(fā)揮了重要作用。

但是，隨著技術(shù)不斷進(jìn)步，用戶對(duì)于網(wǎng)絡(luò)安全的投入產(chǎn)出比要求越來(lái)越高，希望在構(gòu)建、部署和維護(hù)網(wǎng)絡(luò)安全系統(tǒng)的過(guò)程中能盡量少花錢多辦事，能一步到位解決常見(jiàn)的安全威脅。

正方：

一、用戶不斷要求降低安全投資成本

構(gòu)建安全系統(tǒng)是一件非常復(fù)雜的過(guò)程，用戶需要投入大量財(cái)力、物力和精力，除網(wǎng)絡(luò)信息安全涉及的技術(shù)門檻高、產(chǎn)品昂貴的因素之外，主要原因在于大部分安全產(chǎn)品如防火墻、VPN、IPS、防病毒等功能單一，每個(gè)設(shè)備買之前都需要貨比三家，購(gòu)買總價(jià)高。為了集中管理、存儲(chǔ)日志或者及時(shí)更新產(chǎn)品，可能還需要為各家不同的產(chǎn)品分配策略服務(wù)器、日志服務(wù)器或更新服務(wù)器，這些附加的投入會(huì)隨著安全產(chǎn)品的引進(jìn)而成倍增加。可見(jiàn)，對(duì)用戶來(lái)說(shuō)，非常迫切希望降低在安全建設(shè)上的投入，希望能省時(shí)、省心、省力地完成安全建設(shè)。

二、用戶不斷要求增強(qiáng)安全防范能力

相當(dāng)一段時(shí)間內(nèi)，對(duì)PPDR模型的理解被簡(jiǎn)化為IDS聯(lián)動(dòng)，這從側(cè)面反應(yīng)了用戶對(duì)安全效果的不滿：防火墻有控制能力但不能做深度檢查，IDS可以檢查應(yīng)用安全但沒(méi)有控制能力。單一功能安全設(shè)備的防范效果肯定是有限的，用戶不滿意是正常的。隨著防垃圾郵件、防釣魚欺騙等更多安全設(shè)備的出現(xiàn)，用戶對(duì)安全設(shè)備的整合、聯(lián)動(dòng)的需求更加強(qiáng)烈，只有做到真正的融合和互動(dòng)，才能進(jìn)行全面的安全過(guò)濾和防范。

三、用戶不斷要求提高安全運(yùn)維效率

首先，大部分網(wǎng)絡(luò)安全系統(tǒng)是在原有的信息系統(tǒng)基礎(chǔ)上增加的，在增加的安全設(shè)備與原有網(wǎng)絡(luò)設(shè)備、安全設(shè)備之間都可能遇到產(chǎn)品兼容性問(wèn)題，在部署實(shí)施中會(huì)相互沖突，安全設(shè)備越多，沖突的機(jī)會(huì)就越多，這在客觀上增加了部署實(shí)施的難度。有時(shí)，個(gè)別安全設(shè)備可能導(dǎo)致系統(tǒng)驗(yàn)收推遲幾個(gè)月。

其次，每個(gè)安全設(shè)備都有一套自己的配置管理方法，因此，很多用戶要求廠家派人安裝調(diào)試，包括配置安全策略，自己基本不改動(dòng)。眾所周知，安全策略必須根據(jù)實(shí)際情況不斷調(diào)整，如果固定不變，系統(tǒng)的安全保障效果肯定會(huì)打折扣。

最后，在安裝調(diào)試完成后，如果設(shè)備出現(xiàn)問(wèn)題，用戶還需要聯(lián)系不同廠商來(lái)解決，有時(shí)甚至需要協(xié)調(diào)相關(guān)的幾家廠商同時(shí)到場(chǎng)分析解決，非常復(fù)雜。

可見(jiàn)，從安全系統(tǒng)運(yùn)行維護(hù)的角度看，在不犧牲功能、性能的前提下，用戶希望安全設(shè)備越少越好。

四、技術(shù)不斷發(fā)展趨向深度協(xié)同安全

防火墻、IDS、防病毒技術(shù)經(jīng)過(guò)多年發(fā)展，現(xiàn)在已經(jīng)逐漸成熟并穩(wěn)定下來(lái)，開(kāi)始相互滲透，相互補(bǔ)充。近兩年，出現(xiàn)了一個(gè)明顯的趨勢(shì)：防火墻、IDS、防病毒甚至內(nèi)容過(guò)濾廠商分別從自有產(chǎn)品出發(fā)，通過(guò)增加不同的安全功能模塊發(fā)展UTM。實(shí)際上，這主要得益于硬件技術(shù)的發(fā)展。為了解決深度檢查大量耗費(fèi)CPU資源，除ASIC加速芯片外，一批新的硬件解決方案出現(xiàn)了，如Seaway、Bivil、RMI、Cavium、Sensory、IDT、TARARI，這些硬件能大幅度加速內(nèi)容匹配，使UTM從概念變成了可用的產(chǎn)品。

反過(guò)來(lái)，從UTM定義可以看出，UTM集中了多種安全功能，但這些安全功能不一定同時(shí)應(yīng)用，可以只使用某一個(gè)功能。因此，可以預(yù)測(cè)，將來(lái)，UTM完全有可能取代防火墻、網(wǎng)絡(luò)入侵檢測(cè)等單一功能的安全產(chǎn)品。

綜上所述，不論是從用戶需求來(lái)看，還是從技術(shù)發(fā)展和技術(shù)支撐來(lái)看，UTM作為網(wǎng)絡(luò)安全整體解決方案的重要組成部分，是必要的，也是可行的，是網(wǎng)關(guān)安全發(fā)展的必然趨勢(shì)。這從IDC的調(diào)查報(bào)告中也可以得出同樣的結(jié)論。

反方：

百煉成鋼困難重重

一、防火墻胖瘦之爭(zhēng)由來(lái)已久

防火墻是胖(功能多)好還是瘦(功能少)好，一直是業(yè)界不斷爭(zhēng)論的問(wèn)題。首先，防火墻到底該不該胖，一種觀點(diǎn)認(rèn)為防火墻作為訪問(wèn)控制設(shè)備，不宜集成太多功能，否則容易不穩(wěn)定。另外一種觀點(diǎn)認(rèn)為防火墻在做好訪問(wèn)控制的基礎(chǔ)上，應(yīng)該加入如IDS、內(nèi)容過(guò)濾等安全功能模塊，從而提高防火墻使用價(jià)值;其次，胖防火墻到底應(yīng)該集成哪些安全功能，特別是防病毒功能，爭(zhēng)論很大;最后，如果防火墻胖了，性能能否保證?不論是理論分析還是過(guò)去的大量實(shí)踐都表明，如果沒(méi)有特別的硬件支持，性能確實(shí)無(wú)法接受。

二、各廠商前仆后繼鮮有成功

盡管防火墻胖瘦之爭(zhēng)一直存在，出于市場(chǎng)競(jìng)爭(zhēng)的需要，也隨著技術(shù)的不斷發(fā)展，國(guó)內(nèi)外主流防火墻廠商大多都嘗試過(guò)擴(kuò)充防火墻的功能。比如：加入內(nèi)容過(guò)濾、IDS、防病毒等功能，希望最終做成UTM，但是，真正能做成的很少，分析原因主要有以下三點(diǎn)：

·防火墻廠商對(duì)于抗攻擊、訪問(wèn)控制技術(shù)非常熟練，但對(duì)于內(nèi)容過(guò)濾、防病毒等技術(shù)并不熟悉。

·防火墻基本上是對(duì)單個(gè)數(shù)據(jù)包進(jìn)行檢查和控制，用的是狀態(tài)包過(guò)濾技術(shù)。而防病毒、內(nèi)容過(guò)濾如果要實(shí)現(xiàn)準(zhǔn)確的檢查和控制，必須使用應(yīng)用代理技術(shù)。如果利用防火墻狀態(tài)包過(guò)濾技術(shù)進(jìn)行防病毒處理，效果肯定不理想。

·UTM的性能難以保證。當(dāng)UTM的功能都打開(kāi)后會(huì)耗費(fèi)大量計(jì)算資源，必須依賴硬件加速才能保證性能，但是硬件也只能加速部分工作，如何利用軟硬結(jié)合方式處理復(fù)雜的應(yīng)用內(nèi)容安全是個(gè)難題。