UTM與NGFW的新瓶舊酒
無(wú)論是UTM,還是NGFW,主要還都是新瓶裝舊酒。要在網(wǎng)絡(luò)安全產(chǎn)品上同時(shí)實(shí)現(xiàn)功能深度集成和性能大幅提升,還有待真正的創(chuàng)新。
近年來(lái),國(guó)際上的一些市場(chǎng)分析公司越來(lái)越有語(yǔ)不驚人死不休的味道。2003年6月,Gartner的副總裁、分析師Richard Stiennon發(fā)表的《Intrusion Detection is Dead Long Live Intrusion Prevention(入侵檢測(cè)壽終正寢,入侵防御萬(wàn)古長(zhǎng)青)》,就是一例。不僅如此,著名的市場(chǎng)分析公司并不總是意見相同,常常讓人無(wú)法適從。好在“實(shí)踐是檢驗(yàn)真理的唯一標(biāo)準(zhǔn)”,至少市場(chǎng)預(yù)測(cè)的結(jié)果是可以隨著時(shí)間推移去偽存真的。
網(wǎng)絡(luò)安全企業(yè)的突圍
至今存活下來(lái)的獨(dú)立網(wǎng)絡(luò)安全產(chǎn)品公司,主要有兩類:一類是從防病毒起家的,逐步借助優(yōu)勢(shì)把握惡意軟件(malware)防控和相關(guān)市場(chǎng),但有些也在暗度陳倉(cāng),例如Symantec通過(guò)并購(gòu)進(jìn)入了存儲(chǔ)市場(chǎng);另一類是傳統(tǒng)的防火墻、入侵檢測(cè)和防御(IDS:Intrusion Detection System和IPS:Intrusion Prevention System)廠商,雖然有些老牌廠商如WatchGuard和SonicWall已經(jīng)被私募股權(quán)投資拿下,不再是上市公司,但CheckPoint還算硬朗,SourceFire也尚活躍,而且無(wú)論中美,零星還會(huì)有Fortinet和啟明星辰這樣的公司上市,也還有Palo Alto Networks和山石等創(chuàng)業(yè)公司出現(xiàn)。
在防病毒等惡意軟件方面,目前路由交換巨賈們還沒有太多介入,基本上是采取與傳統(tǒng)防病毒廠商合作的策略,但防火墻、IDS/IPS、虛擬專用網(wǎng)(VPN:Virtual Private Network)以及由此衍生出來(lái)的統(tǒng)一威脅管理(UTM,Unified Threat Management),則是Cisco、華為/華賽、Juniper等的拿手好戲,不會(huì)讓專營(yíng)網(wǎng)絡(luò)安全的廠商專美于前。這就使得專業(yè)網(wǎng)絡(luò)安全廠商特別是后起之秀們必須想方設(shè)法發(fā)現(xiàn)用戶對(duì)網(wǎng)絡(luò)安全硬件設(shè)備的新需求,在技術(shù)創(chuàng)新上搶得先機(jī),在產(chǎn)品特色上占據(jù)主動(dòng)。而在這方面,最好的辦法就是讓市場(chǎng)分析公司認(rèn)識(shí)到新型、特色產(chǎn)品的價(jià)值,充當(dāng)吹鼓手。市場(chǎng)分析公司當(dāng)然也不愿錯(cuò)失“發(fā)現(xiàn)新大陸”的機(jī)會(huì),對(duì)于“定義”一個(gè)新產(chǎn)品類型、描繪一個(gè)新市場(chǎng)方向更是樂(lè)此不疲,從而確實(shí)對(duì)市場(chǎng)發(fā)展發(fā)揮了推波助瀾的巨大作用。這便形成了一個(gè)“共謀”的生態(tài)。
“矮胖子”與“高瘦子”
UTM將防火墻、VPN、IPS以及網(wǎng)關(guān)防病毒等功能結(jié)合于一體的網(wǎng)絡(luò)安全設(shè)備,最初是針對(duì)中小企業(yè)(SMB:Small and Medium-sized Business)客戶的需求提出的。2004年9月,IDC最早提出UTM的概念,認(rèn)為它作為一種新的產(chǎn)品形態(tài)正在形成網(wǎng)絡(luò)安全產(chǎn)業(yè)中的一個(gè)新興細(xì)分市場(chǎng)。2008年,IDC宣稱UTM市場(chǎng)規(guī)模在2007年超過(guò)了10億美元,并預(yù)期將在2012年達(dá)到整個(gè)網(wǎng)絡(luò)安全市場(chǎng)的33.6%。
UTM產(chǎn)品符合中小企業(yè)對(duì)降低設(shè)備和管理成本的需求,也在一定程度上提供了分立產(chǎn)品無(wú)法做到的防御抗擊綜合性攻擊手段的能力,獲得了巨大的市場(chǎng)成功,成為近年來(lái)成長(zhǎng)最快的網(wǎng)絡(luò)安全設(shè)備類別。然而,對(duì)于大型企業(yè),一般UTM設(shè)備對(duì)相關(guān)安全功能的深度整合不夠,集成優(yōu)勢(shì)發(fā)揮不足,同時(shí)性能瓶頸也是非常突出的問(wèn)題。這種情況也引發(fā)了很多爭(zhēng)論,比如下一代防火墻到底是應(yīng)該更突出功能集成(因包含許多功能而增“胖”)還是更強(qiáng)調(diào)性能突破(為保證處理速度而“瘦”身)。
對(duì)此,筆者認(rèn)為性能和功能從來(lái)就是一個(gè)矛盾的兩個(gè)方面,不能試圖用一種軟硬件體系結(jié)構(gòu)解決所有的問(wèn)題,并在2003年曾經(jīng)提出:最有可能出現(xiàn)的局面是“矮胖子” 和“高瘦子”共存。所謂“矮胖子”,多數(shù)會(huì)是基于CPU加Linux的計(jì)算平臺(tái),服務(wù)于低端市場(chǎng)。因?yàn)槟壳癈PU的處理能力已經(jīng)大大超過(guò)低端底層網(wǎng)絡(luò)處理的需求,完全可以利用其空閑時(shí)間進(jìn)行更多應(yīng)用代理、內(nèi)容過(guò)濾等協(xié)議和數(shù)據(jù)處理。而高瘦子則指高端產(chǎn)品,它們主要還會(huì)是綜合應(yīng)用CPU、NPU(網(wǎng)絡(luò)處理器)、ASIC以及各種數(shù)據(jù)加密和協(xié)議分析等協(xié)處理芯片,構(gòu)成高速可靠的安全計(jì)算平臺(tái)。這樣一個(gè)“矮胖子”和“高瘦子” 并存的產(chǎn)品形態(tài)分布不但與現(xiàn)有軟硬件計(jì)算技術(shù)的水平相適應(yīng),而且也與實(shí)際需要相吻合,正所謂“環(huán)肥燕瘦總相宜”。當(dāng)然,胖瘦、高矮的分界線也是隨著時(shí)間而變的,通常的情況是:核心安全區(qū)域一般流量較小,但對(duì)應(yīng)用層安全要求較高;公共性越強(qiáng)的網(wǎng)絡(luò)節(jié)點(diǎn)對(duì)性能要求越高,但并不一定要求防病毒、防垃圾等應(yīng)用層過(guò)濾。
新瓶裝舊酒
有趣的是,同是著名市場(chǎng)分析公司的Gartner一直對(duì)一些廠商借助UTM的人氣將其推向大型企業(yè)不敢茍同,甚至在2005年就在正式發(fā)表的研究報(bào)告中明確宣稱“(大型)企業(yè)UTM根本就不存在”。相反,他們注意到UTM的現(xiàn)有用戶企業(yè)一旦成長(zhǎng)到750人左右,就會(huì)改用單點(diǎn)(分立)設(shè)備,而且不再回頭。
2009年12月,Gartner的John Pescatore和Greg Young提出了NGFW,即下一代防火墻(Next Generation FireWall)的概念。這與筆者2003年提出的“高瘦子”說(shuō)法甚為相像,相對(duì)IDC于2004年提出的類似“矮胖子”的中小企業(yè)級(jí)UTM而言,也主要是在提高性能要求的前提下,去掉了防病毒等通常要在“應(yīng)用層”和“文件級(jí)”進(jìn)行處理的安全功能,保留了在網(wǎng)包(packet)和網(wǎng)流(flow,或會(huì)話,session)層處理的網(wǎng)包過(guò)濾、狀態(tài)檢測(cè)(Stateful inspection)和深度檢測(cè)(Deep inspection)等核心技術(shù)環(huán)節(jié),并對(duì)通過(guò)安全功能深度集成以更好抵御botnet等新型攻擊、提供對(duì)P2P等應(yīng)用的控制提出了更高要求。他們預(yù)測(cè),到2014年底,NGFW將占有防火墻(以及IPS)市場(chǎng)的60%。
其實(shí),無(wú)論是“矮胖子”UTM,還是“高瘦子”NGFW,真正革命性技術(shù)突破并不多,可以說(shuō)還都主要是新瓶裝舊酒。
創(chuàng)新前夜
無(wú)論是UTM還是NGFW,面臨的重要問(wèn)題都是如何實(shí)現(xiàn)功能深度集成和性能大幅提升。雖然近年來(lái)各大廠商在產(chǎn)品研發(fā)中都在不斷有所推進(jìn),但在一些關(guān)鍵技術(shù)方面如高速正則表達(dá)式匹配方面,尚待算法或芯片技術(shù)的重大突破。不過(guò),網(wǎng)絡(luò)應(yīng)用的普及和移動(dòng)計(jì)算的發(fā)展正在使得信息安全成為焦點(diǎn),這將大大推動(dòng)相關(guān)技術(shù)的進(jìn)步。剛剛宣布的Intel對(duì)McAfee的收購(gòu)就是產(chǎn)業(yè)界提供的新鮮例證之一。另外,最近嵌入式處理器測(cè)評(píng)協(xié)會(huì)(EEMBC:Embedded Microprocessor Benchmark Consortium)開始了稱為DPIBench的標(biāo)準(zhǔn)測(cè)試起草工作。缺乏公正、完整的測(cè)評(píng)體系,使得高性能安全網(wǎng)關(guān)設(shè)備市場(chǎng)上很多不實(shí)或刻意以偏蓋全市場(chǎng)宣傳的存在成為可能,不但給用戶選擇和使用帶來(lái)困惑,而且降低了技術(shù)創(chuàng)新的壓力和動(dòng)力。DPIBench試圖建立一個(gè)業(yè)界普遍接受的標(biāo)準(zhǔn)測(cè)評(píng)體系,以便比較系統(tǒng)和芯片的深度檢測(cè)性能,如能成功,將對(duì)技術(shù)進(jìn)步和產(chǎn)業(yè)發(fā)展大有裨益。
在新的技術(shù)突破到來(lái)之前,市場(chǎng)上的選擇大多只會(huì)是新瓶裝舊酒。但我們完全有理由期待全新技術(shù)的出現(xiàn)。
【編輯推薦】
