網(wǎng)絡(luò)工程：安全防忽悠之安全網(wǎng)關(guān)趨勢分析

　　2006年前，提及網(wǎng)絡(luò)安全設(shè)備，相信大多數(shù)用戶首先想到的便是“防火墻”。然而隨時(shí)間的遷移，近年來諸如UTM、USG、Web安全網(wǎng)關(guān)、上網(wǎng)行為管理之類的新名詞逐漸占據(jù)了用戶的眼球。在快餐文化盛行的年代，這種層出不窮的新名詞或許并不讓人意外，但畢竟安全還是講求實(shí)事求是的。我們不禁要問，是防火墻真的過時(shí)了?還是以UTM/USG為代表的新安全網(wǎng)關(guān)確實(shí)略勝一籌?

　　防火墻真的落伍了嗎?

　　從第一代防火墻的出現(xiàn)到今天，防火墻已經(jīng)歷了二十余年的技術(shù)演變。這二十多年里，防火墻從簡單的包過濾技術(shù)，逐漸發(fā)展成為具備動態(tài)包檢測、網(wǎng)絡(luò)狀態(tài)監(jiān)控以及應(yīng)用層過濾等功能的綜合性安全網(wǎng)關(guān)。

　　防火墻的演變也映射出用戶需求的轉(zhuǎn)變。從過去單純的網(wǎng)絡(luò)流量過濾到全方位立體的安全防御需求，用戶愈發(fā)復(fù)雜的應(yīng)用環(huán)境，促使深度包檢測、URL過濾、VPN、身份認(rèn)證、流量管理、協(xié)議識別等技術(shù)迅速興起。

　　也許正是看到了用戶需求的改變，以Fortinet為代表的新型安全廠商紛紛打出了UTM/USG的王牌。然而，令人遺憾的是不論UTM宣傳的如何精彩，其本質(zhì)并沒有與防火墻有所異同，歸根結(jié)底都是依托ACL(訪問控制列表)技術(shù)，而ACL技術(shù)正是防火墻賴以生存的根本。

　　那么防火墻是否的確不如UTM般擁有豐富安全防護(hù)功能?其實(shí)不然。早在2005年，業(yè)界就曾有過“胖瘦防火墻”的爭論，當(dāng)時(shí)的爭論的焦點(diǎn)正是防火墻所承載的各種安全防護(hù)功能。坦率的講如今的UTM和胖防火墻就技術(shù)而言并無二樣，基礎(chǔ)架構(gòu)精良的模塊化防火墻甚至可以實(shí)現(xiàn)比UTM更多的更有效的安全防護(hù)。

　　由此可見，單從功能實(shí)現(xiàn)方面，防火墻并不落伍。但是對于用戶的需求而言，未來的防火墻必定要成為邊界安全防護(hù)的精品。為此，不論防火墻也好，還是UTM/USG也好，都必須腳踏實(shí)地的推動技術(shù)創(chuàng)新。

　　概念VS實(shí)力

　　正如筆者前面所言，如今主流的防火墻與UTM/USG并無本質(zhì)差別，二者所面臨的挑戰(zhàn)也是等同的，也許唯一的不同要數(shù)市場對于UTM/USG的宣傳炒作遠(yuǎn)遠(yuǎn)大于防火墻的聲音。由此讓用戶對于防火墻產(chǎn)生些許誤解也不足為奇。

　　近年來，國家對于信息安全極力提倡“自主、可控”，顯然只有概念上炒作并不是國家所期望的。信息安全行業(yè)內(nèi)的競爭，應(yīng)該是核心自主產(chǎn)權(quán)技術(shù)的創(chuàng)新，是服務(wù)模式的創(chuàng)新，而非概念的熱炒。當(dāng)然，安全也是一個敏感的字眼，當(dāng)今天的安全涉及到國家政治、經(jīng)濟(jì)與社會穩(wěn)定時(shí)，實(shí)事求是、為用戶負(fù)責(zé)便顯得格外重要。