网络工程：安全防忽悠之安全网关趋势分析

 2006年前，提及网络安全设备，相信大多数用户首先想到的便是"防火墙"。然而随时间的迁移，近年来诸如UTM、USG、Web安全网关、上网行为管理之类的新名词逐渐占据了用户的眼球。在快餐文化盛行的年代，这种层出不穷的新名词或许并不让人意外，但毕竟安全还是讲求实事求是的。我们不禁要问，是防火墙真的过时了?还是以UTM/USG为代表的新安全网关确实略胜一筹?

　　防火墙真的落伍了吗?

　　从第一代防火墙的出现到今天，防火墙已经历了二十余年的技术演变。这二十多年里，防火墙从简单的包过滤技术，逐渐发展成为具备动态包检测、网络状态监控以及应用层过滤等功能的综合性安全网关。

　　防火墙的演变也映射出用户需求的转变。从过去单纯的网络流量过滤到全方位立体的安全防御需求，用户愈发复杂的应用环境，促使深度包检测、URL过滤、VPN、身份认证、流量管理、协议识别等技术迅速兴起。

　　也许正是看到了用户需求的改变，以Fortinet为代表的新型安全厂商纷纷打出了UTM/USG的王牌。然而，令人遗憾的是不论UTM宣传的如何精彩，其本质并没有与防火墙有所异同，归根结底都是依托ACL(访问控制列表)技术，而ACL技术正是防火墙赖以生存的根本。

　　那么防火墙是否的确不如UTM般拥有丰富安全防护功能?其实不然。早在2005年，业界就曾有过"胖瘦防火墙"的争论，当时的争论的焦点正是防火墙所承载的各种安全防护功能。坦率的讲如今的UTM和胖防火墙就技术而言并无二样，基础架构精良的模块化防火墙甚至可以实现比UTM更多的更有效的安全防护。

　　由此可见，单从功能实现方面，防火墙并不落伍。但是对于用户的需求而言，未来的防火墙必定要成为边界安全防护的精品。为此，不论防火墙也好，还是UTM/USG也好，都必须脚踏实地的推动技术创新。

　　概念VS实力

　　正如笔者前面所言，如今主流的防火墙与UTM/USG并无本质差别，二者所面临的挑战也是等同的，也许唯一的不同要数市场对于UTM/USG的宣传炒作远远大于防火墙的声音。由此让用户对于防火墙产生些许误解也不足为奇。

　　近年来，国家对于信息安全极力提倡"自主、可控"，显然只有概念上炒作并不是国家所期望的。信息安全行业内的竞争，应该是核心自主产权技术的创新，是服务模式的创新，而非概念的热炒。当然，安全也是一个敏感的字眼，当今天的安全涉及到国家政治、经济与社会稳定时，实事求是、为用户负责便显得格外重要。