UTM与NGFW的新瓶旧酒

作者：清华大学信息技术研究院／李军　　近年来，国际上的一些市场分析公司越来越有语不惊人死不休的味道。2003年6月，Gartner的副总裁、分析师Richard Stiennon发表的《Intrusion Detection is Dead Long Live Intrusion Prevention(入侵检测寿终正寝，入侵防御万古长青)》，就是一例。不仅如此，著名的市场分析公司并不总是
意见相同，常常让人无法适从。好在“实践是检验真理的唯一标准”，至少市场预测的结果是可以随着时间推移去伪存真的。　　网络安全企业的突围　　至今存活下来的独立网络安全产品公司，主要有两类：一类是从防病毒起家的，逐步借助优势把握恶意软件(malware)防控和相关市场，但有些也在暗度陈仓，例如Symantec通过并购进入了存储市场；另一类是传统的防火墙、入侵检测和防御(IDS：Intrusion Detection System和IPS：Intrusion Prevention System)厂商，虽然有些老牌厂商如WatchGuard和SonicWall已经被私募股权投资拿下，不再是上市公司，但CheckPoint还算硬朗，SourceFire也尚活跃，而且无论中美，零星还会有Fortinet和启明星辰这样的公司上市，也还有Palo Alto Networks和山石等创业公司出现。　　在防病毒等恶意软件方面，目前路由交换巨贾们还没有太多介入，基本上是采取与传统防病毒厂商合作的策略，但防火墙、IDS/IPS、虚拟专用网(VPN：Virtual Private Network)以及由此衍生出来的统一威胁管理(UTM，Unified Threat Management)，则是Cisco、华为/华赛、Juniper等的拿手好戏，不会让专营网络安全的厂商专美于前。这就使得专业网络安全厂商特别是后起之秀们必须想方设法发现用户对网络安全硬件设备的新需求，在技术创新上抢得先机，在产品特色上占据主动。而在这方面，最好的办法就是让市场分析公司认识到新型、特色产品的价值，充当吹鼓手。市场分析公司当然也不愿错失“发现新大陆”的机会，对于“定义”一个新产品类型、描绘一个新市场方向更是乐此不疲，从而确实对市场发展发挥了推波助澜的巨大作用。这便形成了一个“共谋”的生态。　　“矮胖子”与“高瘦子”　　UTM将防火墙、VPN、IPS以及网关防病毒等功能结合于一体的网络安全设备，最初是针对中小企业(SMB：Small and Medium-sized Business)客户的需求提出的。2004年9月，IDC最早提出UTM的概念，认为它作为一种新的产品形态正在形成网络安全产业中的一个新兴细分市场。2008年，IDC宣称UTM市场规模在2007年超过了10亿美元，并预期将在2012年达到整个网络安全市场的33.6%。　　UTM产品符合中小企业对降低设备和管理成本的需求，也在一定程度上提供了分立产品无法做到的防御抗击综合性攻击手段的能力，获得了巨大的市场成功，成为近年来成长最快的网络安全设备类别。然而，对于大型企业，一般UTM设备对相关安全功能的深度整合不够，集成优势发挥不足，同时性能瓶颈也是非常突出的问题。这种情况也引发了很多争论，比如下一代防火墙到底是应该更突出功能集成(因包含许多功能而增“胖”)还是更强调性能突破(为保证处理速度而“瘦”身)。　　对此，笔者认为性能和功能从来就是一个矛盾的两个方面，不能试图用一种软硬件体系结构解决所有的问题，并在2003年曾经提出：最有可能出现的局面是“矮胖子” 和“高瘦子”共存。所谓“矮胖子”，多数会是基于CPU加Linux的计算平台，服务于低端市场。因为目前CPU的处理能力已经大大超过低端底层网络处理的需求，完全可以利用其空闲时间进行更多应用代理、内容过滤等协议和数据处理。而高瘦子则指高端产品，
它们主要还会是综合应用CPU、NPU(网络处理器)、ASIC以及各种数据加密和协议分析等协处理芯片，构成高速可靠的安全计算平台。这样一个“矮胖子”和“高瘦子” 并存的产品形态分布不但与现有软硬件计算技术的水平相适应，而且也与实际需要相吻合，正所谓“环肥燕瘦总相宜”。当然，胖瘦、高矮的分界线也是随着时间而变的，通常的情况是：核心安全区域一般流量较小，但对应用层安全要求较高；公共性越强的网络节点对性能要求越高，但并不一定要求防病毒、防垃圾等应用层过滤。　　新瓶装旧酒　　有趣的是，同是著名市场分析公司的Gartner一直对一些厂商借助UTM的人气将其推向大型企业不敢苟同，甚至在2005年就在正式发表的研究报告中明确宣称“(大型)企业UTM根本就不存在”。相反，他们注意到UTM的现有用户企业一旦成长到750人左右，就会改用单点(分立)设备，而且不再回头。　　2009年12月，Gartner的John Pescatore和Greg Young提出了NGFW，即下一代防火墙(Next Generation FireWall)的概念。这与笔者2003年提出的“高瘦子”说法甚为相像，相对IDC于2004年提出的类似“矮胖子”的中小企业级UTM而言，也主要是在提高性能要求的前提下，去掉了防病毒等通常要在“应用层”和“文件级”进行处理的安全功能，保留了在网包(packet)和网流(flow，或会话，session)层处理的网包过滤、状态检测(Stateful inspection)和深度检测(Deep inspection)等核心技术环节，并对通过安全功能深度集成以更好抵御botnet等新型攻击、提供对P2P等应用的控制提出了更高要求。他们预测，到2014年底，NGFW将占有防火墙(以及IPS)市场的60%。　　其实，无论是“矮胖子”UTM，还是“高瘦子”NGFW，真正革命性技术突破并不多，可以说还都主要是新瓶装旧酒。　　创新前夜　　无论是UTM还是NGFW，面临的重要问题都是如何实现功能深度集成和性能大幅提升。虽然近年来各大厂商在产品研发中都在不断有所推进，但在一些关键技术方面如高速正则表达式匹配方面，尚待算法或芯片技术的重大突破。不过，网络应用的普及和移动计算的发展正在使得信息安全成为焦点，这将大大推动相关技术的进步。刚刚宣布的Intel对McAfee的收购就是产业界提供的新鲜例证之一。另外，最近嵌入式处理器测评协会(EEMBC：Embedded Microprocessor Benchmark Consortium)开始了称为DPIBench的标准测试起草工作。缺乏公正、完整的测评体系，使得高性能安全网关设备市场上很多不实或刻意以偏盖全市场宣传的存在成为可能，不但给用户选择和使用带来困惑，而且降低了技术创新的压力和动力。DPIBench试图建立一个业界普遍接受的标准测评体系，以便比较系统和芯片的深度检测性能，如能成功，将对技术进步和产业发展大有裨益。　　在新的技术突破到来之前，市场上的选择大多只会是新瓶装旧酒。但我们完全有理由期待全新技术的出现。