下一代防火牆（NGFW）與UTM有什麼本質上的區別？

01-31

最好有一些明確的界限。例如，實現了一個什麼樣具體的功能或者達到了什麼樣的應用層性能指標，可稱之為下一代防火牆。國內廠家炒作概念的話就不要說了。NGFW是否本身就是一個炒作的產物？

先說說傳統的安全設備：

入侵防禦設備 IPS

應用安全防護體系不完善，只能針對操作系統或者應用軟體的底層漏洞進行防護，缺乏針對Web攻擊威脅的防禦能力，對Web攻擊防護效果不佳。缺乏攻擊事後防護機制，不具備數據的雙向內容檢測能力，對未知攻擊產生的後果無能為力，如入侵防禦設備無法應對來自於web網頁上的SQL，XSS漏洞，無法防禦來自內網的敏感信息泄露或者敏感文件過濾等等。

Web應用防火牆 WAF

傳統Web防火牆面對當前複雜的業務流量類型處理性能有限，且只針對來自Web的攻擊防護，缺乏針對來自應用系統底層漏洞的攻擊特徵，缺乏基於敏感業務內容的保護機制，只能提供簡單的關鍵字過濾功能，無法對Web業務提供L2-L7層的整體安全防護。

傳統的「串糖葫蘆式的組合方案」

由於防火牆功能上的缺失使得企業在網路安全建設的時候針對現有多樣化的攻擊類型採取了打補丁式的設備疊加方案，形成了「串糖葫蘆」式部署。通常我們看到的網路安全規劃方案的時候都會以防火牆+入侵防禦系統+網關殺毒+……的形式。這種方式在一定程度上能彌補防火牆功能單一的缺陷，對網路中存在的各類攻擊形成了似乎全面的防護。但在這種環境中，管理人員通常會遇到如下的困難：

一，有幾款設備就可以看到幾種攻擊，但是是割裂的難以對安全日誌進行統一分析；有攻擊才能發現問題，在沒有攻擊的情況下，就無法看到業務漏洞，但這並不代表業務漏洞不存在；即使發現了攻擊，也無法判斷業務系統是否真正存在安全漏洞，還是無法指導客戶進行安全建設；

二，有幾種設備就可以防護幾種攻擊，但大部分客戶無法全部部署，所以存在短板；即使全部部署，這些設備也不對伺服器和終端向外主動發起的業務流進行防護，在面臨新的未知攻擊的情況下缺乏有效防禦措施，還是存在被繞過的風險。

傳統的有缺陷，所以升級版UTM與NGWF怎麼樣呢？

這種設備的理念是將多個功能模塊集中如：FW、IPS、AV，聯合起來達到統一防護，集中管理的目的。這無疑給安全建設者們提供了更新的思路。

事實證明國內市場UTM產品確實得到用戶認可，據IDC統計數據09年UTM市場增長迅速，但2010年UTM的增長率同比有明顯的下降趨勢。這是因為UTM設備僅僅將FW、IPS、AV進行簡單的整合，傳統防火牆安全與管理上的問題依然存在，比如缺乏對WEB伺服器的有效防護等；另外，UTM開啟多個模塊時是串列處理機制，一個數據包先過一個模塊處理一遍，再重新過另一個模塊處理一遍，一個數據要經過多次拆包，多次分析，性能和效率使得UTM難以令人信服。Gartner認為「UTM安全設備只適合中小型企業使用，而NGFW才適合員工大於1000人以上規模的大型企業使用。」

NGWF功能已經相當完備，然而不同的廠家生產的設備性能也不一樣。大部分下一代防火牆只能看到除web攻擊外的大部分攻擊，極少部分下一代防火牆能夠看到簡單的WEB攻擊，但均無法看到業務的漏洞。攻擊和漏洞無法關聯就很難確定攻擊的真實性；另外，大部分下一代防火牆防不住web攻擊，也不對伺服器/終端主動向外發起的業務流進行防護，比如信息泄露、殭屍網路等，應對未知攻擊的方式比較單一，只通過簡單的聯動防護，仍有被繞過的風險。

UTM是把一串 FW、IPS、AV、URL過濾等整合在一個設備，一個包過來後拆包，查策略，FW過，再封包給IPS，拆包，封包....依次進行。

NGFW就是一次拆包，這些模塊一起看，如URL看http頭部，fw看ip，AV看數據部分。

簡單的說就是一次拆包就行了。

不過內部實現很難，NGFW炒的這麼火，功能都是貼牌的吧……不說自己是NG怎麼賣的出去

雖然NGFW很大程度是炒概念，但還是有區別的

個人覺得下一代防火牆需要把各模塊（IPS、AV等）做到邏輯上也是一台設備，可以智能化的關聯分析。而不是目前很多UTM看起來一台設備有很多模塊，但各種模塊之間都是割裂的。

嗯，目前國內真正有NGFW的廠家數量好像不超過2

最大的區別就是性能，

公司出了一款防火牆，功能牛逼轟轟，信心滿滿的也叫下一代防火牆拿到上海三所去送檢（安全產品要想拿銷售許可證必須拿去三所送檢，伙食不錯：）），結果人家說，國家就沒有下一代防火牆這個標準，給打回來重新修改。。。。所以說下一代防火牆都是被廠商叫起來的，真正能實現他們鼓吹的功能和性能的有幾個？

我認為就是把原來拓撲中的一連串東西，整個在一台設備中了呢。

炒概念。

然後這樣可以把產品賣個高價。特別是現在防火牆市場基本飽和，沒有高利潤的情況下。

其他的，沒有什麼區別。