UTM與NGFW的新瓶舊酒
無論是UTM,還是NGFW,主要還都是新瓶裝舊酒。要在網絡安全產品上同時實現功能深度集成和性能大幅提升,還有待真正的創新。
近年來,國際上的一些市場分析公司越來越有語不驚人死不休的味道。2003年6月,Gartner的副總裁、分析師Richard Stiennon發表的《Intrusion Detection is Dead Long Live Intrusion Prevention(入侵檢測壽終正寢,入侵防御萬古長青)》,就是一例。不僅如此,著名的市場分析公司并不總是意見相同,常常讓人無法適從。好在“實踐是檢驗真理的唯一標準”,至少市場預測的結果是可以隨著時間推移去偽存真的。
網絡安全企業的突圍
至今存活下來的獨立網絡安全產品公司,主要有兩類:一類是從防病毒起家的,逐步借助優勢把握惡意軟件(malware)防控和相關市場,但有些也在暗度陳倉,例如Symantec通過并購進入了存儲市場;另一類是傳統的防火墻、入侵檢測和防御(IDS:Intrusion Detection System和IPS:Intrusion Prevention System)廠商,雖然有些老牌廠商如WatchGuard和SonicWall已經被私募股權投資拿下,不再是上市公司,但CheckPoint還算硬朗,SourceFire也尚活躍,而且無論中美,零星還會有Fortinet和啟明星辰這樣的公司上市,也還有Palo Alto Networks和山石等創業公司出現。
在防病毒等惡意軟件方面,目前路由交換巨賈們還沒有太多介入,基本上是采取與傳統防病毒廠商合作的策略,但防火墻、IDS/IPS、虛擬專用網(VPN:Virtual Private Network)以及由此衍生出來的統一威脅管理(UTM,Unified Threat Management),則是Cisco、華為/華賽、Juniper等的拿手好戲,不會讓專營網絡安全的廠商專美于前。這就使得專業網絡安全廠商特別是后起之秀們必須想方設法發現用戶對網絡安全硬件設備的新需求,在技術創新上搶得先機,在產品特色上占據主動。而在這方面,最好的辦法就是讓市場分析公司認識到新型、特色產品的價值,充當吹鼓手。市場分析公司當然也不愿錯失“發現新大陸”的機會,對于“定義”一個新產品類型、描繪一個新市場方向更是樂此不疲,從而確實對市場發展發揮了推波助瀾的巨大作用。這便形成了一個“共謀”的生態。
“矮胖子”與“高瘦子”
UTM將防火墻、VPN、IPS以及網關防病毒等功能結合于一體的網絡安全設備,最初是針對中小企業(SMB:Small and Medium-sized Business)客戶的需求提出的。2004年9月,IDC最早提出UTM的概念,認為它作為一種新的產品形態正在形成網絡安全產業中的一個新興細分市場。2008年,IDC宣稱UTM市場規模在2007年超過了10億美元,并預期將在2012年達到整個網絡安全市場的33.6%。
UTM產品符合中小企業對降低設備和管理成本的需求,也在一定程度上提供了分立產品無法做到的防御抗擊綜合性攻擊手段的能力,獲得了巨大的市場成功,成為近年來成長最快的網絡安全設備類別。然而,對于大型企業,一般UTM設備對相關安全功能的深度整合不夠,集成優勢發揮不足,同時性能瓶頸也是非常突出的問題。這種情況也引發了很多爭論,比如下一代防火墻到底是應該更突出功能集成(因包含許多功能而增“胖”)還是更強調性能突破(為保證處理速度而“瘦”身)。
對此,筆者認為性能和功能從來就是一個矛盾的兩個方面,不能試圖用一種軟硬件體系結構解決所有的問題,并在2003年曾經提出:最有可能出現的局面是“矮胖子” 和“高瘦子”共存。所謂“矮胖子”,多數會是基于CPU加Linux的計算平臺,服務于低端市場。因為目前CPU的處理能力已經大大超過低端底層網絡處理的需求,完全可以利用其空閑時間進行更多應用代理、內容過濾等協議和數據處理。而高瘦子則指高端產品,它們主要還會是綜合應用CPU、NPU(網絡處理器)、ASIC以及各種數據加密和協議分析等協處理芯片,構成高速可靠的安全計算平臺。這樣一個“矮胖子”和“高瘦子” 并存的產品形態分布不但與現有軟硬件計算技術的水平相適應,而且也與實際需要相吻合,正所謂“環肥燕瘦總相宜”。當然,胖瘦、高矮的分界線也是隨著時間而變的,通常的情況是:核心安全區域一般流量較小,但對應用層安全要求較高;公共性越強的網絡節點對性能要求越高,但并不一定要求防病毒、防垃圾等應用層過濾。
新瓶裝舊酒
有趣的是,同是著名市場分析公司的Gartner一直對一些廠商借助UTM的人氣將其推向大型企業不敢茍同,甚至在2005年就在正式發表的研究報告中明確宣稱“(大型)企業UTM根本就不存在”。相反,他們注意到UTM的現有用戶企業一旦成長到750人左右,就會改用單點(分立)設備,而且不再回頭。
2009年12月,Gartner的John Pescatore和Greg Young提出了NGFW,即下一代防火墻(Next Generation FireWall)的概念。這與筆者2003年提出的“高瘦子”說法甚為相像,相對IDC于2004年提出的類似“矮胖子”的中小企業級UTM而言,也主要是在提高性能要求的前提下,去掉了防病毒等通常要在“應用層”和“文件級”進行處理的安全功能,保留了在網包(packet)和網流(flow,或會話,session)層處理的網包過濾、狀態檢測(Stateful inspection)和深度檢測(Deep inspection)等核心技術環節,并對通過安全功能深度集成以更好抵御botnet等新型攻擊、提供對P2P等應用的控制提出了更高要求。他們預測,到2014年底,NGFW將占有防火墻(以及IPS)市場的60%。
其實,無論是“矮胖子”UTM,還是“高瘦子”NGFW,真正革命性技術突破并不多,可以說還都主要是新瓶裝舊酒。
創新前夜
無論是UTM還是NGFW,面臨的重要問題都是如何實現功能深度集成和性能大幅提升。雖然近年來各大廠商在產品研發中都在不斷有所推進,但在一些關鍵技術方面如高速正則表達式匹配方面,尚待算法或芯片技術的重大突破。不過,網絡應用的普及和移動計算的發展正在使得信息安全成為焦點,這將大大推動相關技術的進步。剛剛宣布的Intel對McAfee的收購就是產業界提供的新鮮例證之一。另外,最近嵌入式處理器測評協會(EEMBC:Embedded Microprocessor Benchmark Consortium)開始了稱為DPIBench的標準測試起草工作。缺乏公正、完整的測評體系,使得高性能安全網關設備市場上很多不實或刻意以偏蓋全市場宣傳的存在成為可能,不但給用戶選擇和使用帶來困惑,而且降低了技術創新的壓力和動力。DPIBench試圖建立一個業界普遍接受的標準測評體系,以便比較系統和芯片的深度檢測性能,如能成功,將對技術進步和產業發展大有裨益。
在新的技術突破到來之前,市場上的選擇大多只會是新瓶裝舊酒。但我們完全有理由期待全新技術的出現。
【編輯推薦】
