UTM與NGFW的新瓶舊酒
無論是UTM,還是NGFW,主要還都是新瓶裝舊酒。要在網(wǎng)絡安全產(chǎn)品上同時實現(xiàn)功能深度集成和性能大幅提升,還有待真正的創(chuàng)新。
近年來,國際上的一些市場分析公司越來越有語不驚人死不休的味道。2003年6月,Gartner的副總裁、分析師Richard Stiennon發(fā)表的《Intrusion Detection is Dead Long Live Intrusion Prevention(入侵檢測壽終正寢,入侵防御萬古長青)》,就是一例。不僅如此,著名的市場分析公司并不總是意見相同,常常讓人無法適從。好在“實踐是檢驗真理的唯一標準”,至少市場預測的結果是可以隨著時間推移去偽存真的。
網(wǎng)絡安全企業(yè)的突圍
至今存活下來的獨立網(wǎng)絡安全產(chǎn)品公司,主要有兩類:一類是從防病毒起家的,逐步借助優(yōu)勢把握惡意軟件(malware)防控和相關市場,但有些也在暗度陳倉,例如Symantec通過并購進入了存儲市場;另一類是傳統(tǒng)的防火墻、入侵檢測和防御(IDS:Intrusion Detection System和IPS:Intrusion Prevention System)廠商,雖然有些老牌廠商如WatchGuard和SonicWall已經(jīng)被私募股權投資拿下,不再是上市公司,但CheckPoint還算硬朗,SourceFire也尚活躍,而且無論中美,零星還會有Fortinet和啟明星辰這樣的公司上市,也還有Palo Alto Networks和山石等創(chuàng)業(yè)公司出現(xiàn)。
在防病毒等惡意軟件方面,目前路由交換巨賈們還沒有太多介入,基本上是采取與傳統(tǒng)防病毒廠商合作的策略,但防火墻、IDS/IPS、虛擬專用網(wǎng)(VPN:Virtual Private Network)以及由此衍生出來的統(tǒng)一威脅管理(UTM,Unified Threat Management),則是Cisco、華為/華賽、Juniper等的拿手好戲,不會讓專營網(wǎng)絡安全的廠商專美于前。這就使得專業(yè)網(wǎng)絡安全廠商特別是后起之秀們必須想方設法發(fā)現(xiàn)用戶對網(wǎng)絡安全硬件設備的新需求,在技術創(chuàng)新上搶得先機,在產(chǎn)品特色上占據(jù)主動。而在這方面,最好的辦法就是讓市場分析公司認識到新型、特色產(chǎn)品的價值,充當吹鼓手。市場分析公司當然也不愿錯失“發(fā)現(xiàn)新大陸”的機會,對于“定義”一個新產(chǎn)品類型、描繪一個新市場方向更是樂此不疲,從而確實對市場發(fā)展發(fā)揮了推波助瀾的巨大作用。這便形成了一個“共謀”的生態(tài)。
“矮胖子”與“高瘦子”
UTM將防火墻、VPN、IPS以及網(wǎng)關防病毒等功能結合于一體的網(wǎng)絡安全設備,最初是針對中小企業(yè)(SMB:Small and Medium-sized Business)客戶的需求提出的。2004年9月,IDC最早提出UTM的概念,認為它作為一種新的產(chǎn)品形態(tài)正在形成網(wǎng)絡安全產(chǎn)業(yè)中的一個新興細分市場。2008年,IDC宣稱UTM市場規(guī)模在2007年超過了10億美元,并預期將在2012年達到整個網(wǎng)絡安全市場的33.6%。
UTM產(chǎn)品符合中小企業(yè)對降低設備和管理成本的需求,也在一定程度上提供了分立產(chǎn)品無法做到的防御抗擊綜合性攻擊手段的能力,獲得了巨大的市場成功,成為近年來成長最快的網(wǎng)絡安全設備類別。然而,對于大型企業(yè),一般UTM設備對相關安全功能的深度整合不夠,集成優(yōu)勢發(fā)揮不足,同時性能瓶頸也是非常突出的問題。這種情況也引發(fā)了很多爭論,比如下一代防火墻到底是應該更突出功能集成(因包含許多功能而增“胖”)還是更強調(diào)性能突破(為保證處理速度而“瘦”身)。
對此,筆者認為性能和功能從來就是一個矛盾的兩個方面,不能試圖用一種軟硬件體系結構解決所有的問題,并在2003年曾經(jīng)提出:最有可能出現(xiàn)的局面是“矮胖子” 和“高瘦子”共存。所謂“矮胖子”,多數(shù)會是基于CPU加Linux的計算平臺,服務于低端市場。因為目前CPU的處理能力已經(jīng)大大超過低端底層網(wǎng)絡處理的需求,完全可以利用其空閑時間進行更多應用代理、內(nèi)容過濾等協(xié)議和數(shù)據(jù)處理。而高瘦子則指高端產(chǎn)品,它們主要還會是綜合應用CPU、NPU(網(wǎng)絡處理器)、ASIC以及各種數(shù)據(jù)加密和協(xié)議分析等協(xié)處理芯片,構成高速可靠的安全計算平臺。這樣一個“矮胖子”和“高瘦子” 并存的產(chǎn)品形態(tài)分布不但與現(xiàn)有軟硬件計算技術的水平相適應,而且也與實際需要相吻合,正所謂“環(huán)肥燕瘦總相宜”。當然,胖瘦、高矮的分界線也是隨著時間而變的,通常的情況是:核心安全區(qū)域一般流量較小,但對應用層安全要求較高;公共性越強的網(wǎng)絡節(jié)點對性能要求越高,但并不一定要求防病毒、防垃圾等應用層過濾。
新瓶裝舊酒
有趣的是,同是著名市場分析公司的Gartner一直對一些廠商借助UTM的人氣將其推向大型企業(yè)不敢茍同,甚至在2005年就在正式發(fā)表的研究報告中明確宣稱“(大型)企業(yè)UTM根本就不存在”。相反,他們注意到UTM的現(xiàn)有用戶企業(yè)一旦成長到750人左右,就會改用單點(分立)設備,而且不再回頭。
2009年12月,Gartner的John Pescatore和Greg Young提出了NGFW,即下一代防火墻(Next Generation FireWall)的概念。這與筆者2003年提出的“高瘦子”說法甚為相像,相對IDC于2004年提出的類似“矮胖子”的中小企業(yè)級UTM而言,也主要是在提高性能要求的前提下,去掉了防病毒等通常要在“應用層”和“文件級”進行處理的安全功能,保留了在網(wǎng)包(packet)和網(wǎng)流(flow,或會話,session)層處理的網(wǎng)包過濾、狀態(tài)檢測(Stateful inspection)和深度檢測(Deep inspection)等核心技術環(huán)節(jié),并對通過安全功能深度集成以更好抵御botnet等新型攻擊、提供對P2P等應用的控制提出了更高要求。他們預測,到2014年底,NGFW將占有防火墻(以及IPS)市場的60%。
其實,無論是“矮胖子”UTM,還是“高瘦子”NGFW,真正革命性技術突破并不多,可以說還都主要是新瓶裝舊酒。
創(chuàng)新前夜
無論是UTM還是NGFW,面臨的重要問題都是如何實現(xiàn)功能深度集成和性能大幅提升。雖然近年來各大廠商在產(chǎn)品研發(fā)中都在不斷有所推進,但在一些關鍵技術方面如高速正則表達式匹配方面,尚待算法或芯片技術的重大突破。不過,網(wǎng)絡應用的普及和移動計算的發(fā)展正在使得信息安全成為焦點,這將大大推動相關技術的進步。剛剛宣布的Intel對McAfee的收購就是產(chǎn)業(yè)界提供的新鮮例證之一。另外,最近嵌入式處理器測評協(xié)會(EEMBC:Embedded Microprocessor Benchmark Consortium)開始了稱為DPIBench的標準測試起草工作。缺乏公正、完整的測評體系,使得高性能安全網(wǎng)關設備市場上很多不實或刻意以偏蓋全市場宣傳的存在成為可能,不但給用戶選擇和使用帶來困惑,而且降低了技術創(chuàng)新的壓力和動力。DPIBench試圖建立一個業(yè)界普遍接受的標準測評體系,以便比較系統(tǒng)和芯片的深度檢測性能,如能成功,將對技術進步和產(chǎn)業(yè)發(fā)展大有裨益。
在新的技術突破到來之前,市場上的選擇大多只會是新瓶裝舊酒。但我們完全有理由期待全新技術的出現(xiàn)。
【編輯推薦】
