“下一代防火墙” 并不是前些年市场上流行的“统一威胁管理(UTM)”。
UTM推向市场的背景是为了降低某公司用户以及低预算用户的总体拥有成本,所以UTM在防火墙平台的基础上集成了尽可能多的安全功能,可能包括上网行为管理、入侵防御、Web攻击防护、病毒防护、垃圾邮件过滤、URL过滤等功能。在未来,UTM仍然会不断的集成更多新的安全功能,而这样的产品设计很难避免多功能堆砌的架构,这决定了UTM性能可预测性差、功能融合度低等技术特点。 相比而言,下一代防火墙的定义中明确指出,它并不是仅面向某公司的“多功能防火墙”,NGFW必须要适应大企业环境的要求。尽管NGFW也集成了IPS、AV等安全功能,但并不是以提升产品性价比为主要目的。这种集成不是功能模块和引擎的堆砌,而是一种深度的集成,将各种安全功能融入一个独立的架构中,而不是简单的将多个安全设备堆叠到一起,塞进叫防火墙的外壳里。这一切的主要目的,则是为了提升安全检测效率和安全防护水平。 所以,NGFW不是像UTM那样简单的扩展功能模块,此外各安全模块也不像UTM那样各自为战,而是各安全模块间可开展有机联动,各模块产生的信息可实现全维度关联,使NGFW具备强大的模块间安全协同能力和威胁情报聚合能力。举个简单类比,UTM功能集合更像是简单的1+1=2甚至是1+1<2,而NGFW则是1+1>2。 |