防火墻的終結者

“防火墻已經死了，現代的網絡安全產品就是UTM”，作為世界上首次提出UTM概念并推出UTM設備的Fortinet公司總裁兼CEO的謝青作出這個論斷時，距從2004年IDC正式給出UTM（Unified Threat Management，統一威脅管理）的定義時算起只過了五年的時間。事實上這個時間還可以再縮短一些，當2008年7月28日，Cisco宣布其暢銷多年的PIX防火墻停止銷售，取而代之的是ASA系列UTM產品時，就已經意味著防火墻時代的終結，UTM時代的開始。

UTM具有高度集成的安全功能，到如今，它已遠遠超出最初IDC定義時防病毒、入侵檢測和防火墻的范圍，它還可將內容過濾、反垃圾郵件、VPN等諸多安全功能集成到一個設備中來，這種設計模式在當前網絡威脅復雜化的趨勢下，滿足了企業對威脅管理多樣化的要求，受到業界的追捧，一直以來增長迅速。據IDC報告顯示，目前UTM市場已經超過了防火墻市場，到2011年UTM將會是最大的單向市場，復合年均增長率將達到26.2%;在中國，2009年UTM市場規模將超過10億元，并且未來5年內，年復合增長率超過50%。

使用UTM產品的優勢

UTM將諸多安全功能高度集成，帶來的好處的顯而易見的。

首先是整合所帶來的成本降低。在UTM產品的購買者中，中小企業用戶占很大一部分，這些企業由于成本所限，難以針對其各方面的安全需求獲得一個滿意的安全解決方案，而UTM產品可讓他們以較低的成本獲得更加全面的安全防護。

其次，可大大降低安全部署及維護的技術。使用UTM產品可一次性獲得多項安全功能，這與同時使用多個不同網絡安全設備相比，部署起來會簡單得多，而且也便于網絡管理員進行管理和維護。

另外，UTM產品中集成多項安全功能，UTM廠商為了便于用戶使用，往往都極為注重產品易用性，對于缺乏信息安全人員的中小企業來說，使用起來會簡單得多，而且需要的安全技術人員數量也會更少。

當前UTM面臨的問題

不過，高度集成在帶來好處的同時，也帶來了一些壞處。作為立體防御的安全網關，UTM在快速發展并被越來越多用戶認可的同時，一直就面臨著不少問題。

首先是安全功能高度集成帶來的性能下降問題，這一直是制約UTM發展的瓶頸。很長時間以來，UTM產品的購買者主要集中在政府以及中小企業用戶上，而電信、金融、電力等大型企業少有涉足，主要原因之一就在于其性能的不足。不過，如今一些UTM廠商已經推出了萬兆多核級的UTM產品，這在一定程度上解決了性能不足的問題。

還有一個是易用性的問題，“簡單、易用”，這是很多用戶購買UTM產品時考慮的一個重要方面。由于UTM中集成有多個功能，如何在部署配置、管理維護，以及對網絡的兼容性上保證易用性，這成為UTM廠商開發產品時需要考慮的重點之一。

另外一個則是功能強大性的問題，UTM在一個產品中有多個安全功能模塊，而一個安全廠商往往只在一兩個方面具有自己獨特的技術長處，如何保障眾多安全功能模塊中每一個的功能都能媲美單獨設備的功能，這也是UTM廠商在開發中需要考慮的重點。目前，大多數廠商除了加強自身技術實力外，往往采取強強聯合的方式來增強各個模塊的功能，如今UTM的功能強大性基本已得到用戶的認可。

此外，由于涉及到多個功能模塊，UTM系統的穩定性也會受到一定影響，相比傳統安全設備而言，UTM的穩定性仍有不足。

而且，由于將所有安全功能放在一個設備上，風險也集中到了UTM上，如果UTM設備出現問題，將會導致安全防御措施失效，若UTM設備存在漏洞，也可能造成嚴重的影響。

除了以上這些高度集成帶來的弊端外，由于目前多數UTM產品所包括的安全功能都是傳統的邊界安全防護網關的功能，傳統網關防御的弊端，即無法應對來自內部的威脅這一缺陷仍然存在。不過目前已有廠商作出了嘗試，如啟明星辰前不久推出的UTM2網關?終端統一安全套件，該產品將網關安全和終端安全產品組合在一起，進一步進行跨界組合，以圖實現對網絡邊界和內網終端的全面防護。

下一代的UTM

如今，隨著企業IT應用越來越多，網絡狀況越來越復雜，企業面臨的網絡威脅也在不斷變化，并且越來越多樣化，企業的安全需求也在不斷變化，對UTM提出了更高的要求，而上述UTM的弊端也愈發突顯。而且，特別是自金融危機以來，由于IT預算縮緊，不少原本對UTM興趣不大的高端用戶也把目光轉移到UTM上，這也要求UTM的技術與性能再上一個層次，才能滿足他們的需要。這種情況下，IDC提出了UTM的下一代技術標準：X-UTM（也稱為可擴展UTM或企業級UTM）。

X-UTM并非一個新的產品類型，我們更應該說，它是下一代的UTM。作為UTM的下一代技術標準，X-UTM的核心在于面向用戶安全需求進行靈活擴展，使其優秀的多層安全技術緊密融合并有效使用。與傳統UTM技術相比，X-UTM技術標準更加關注產品的功能集成度、產品的網絡層強壯性、技術融合的可用性、簡化管理復雜度、靈活的產品部署，以及全功能的原發型響應支持。

而要實現這些，X-UTM首先必須解決性能上的問題。根據IDC的X-UTM技術標準，X-UTM安全產品在全功能打開情況下，不僅要完成HTTP的大包處理，而且要完成各種網絡應用協議的小包處理，在此基礎上單個端口吞吐量仍然可以達到1Gbps，再加上其具有的高可用性（會話級別切換）、多安全區域等功能，從而可以從技術上保證企業用戶關鍵應用的安全實現。而且，在真實的網絡環境中，X-UTM設備放在企業內網里需要承擔不同的協議和流量，其處理引擎必須具備分類處理的能力。比如在1G的出口流量中，針對HTTP的實現應用層安全處理吞吐至少應達到400M、SMTP 300M、POP3 300M，而網絡層轉發應該達到1G。而這些都對UTM廠商的綜合實力提出了嚴峻考驗，這些廠家必須具備不斷發展的核心的軟件及硬件技術和服務能力。

目前，僅有部分UTM廠商已推出可以稱為X-UTM的產品。但我們可以預見，在不遠的將來，X-UTM將為以其令人驚訝的實用性，真正地實現從網絡到應用的融合，實現統一威脅擴展的理念。