以前，提及網絡安全設備，相信大多數用戶首先想到的便是“防火墻”。然而隨時間的遷移，近年來諸如UTM、USG、Web安全網關、上網行為管理之類的新名詞逐漸占據了用戶的眼球。在快餐文化盛行的年代，這種層出不窮的新名詞或許并不讓人意外，但畢竟安全還是講求實事求是的。我們不禁要問，是防火墻真的過時了?還是以UTM/USG為代表的新安全網關確實略勝一籌?

防火墻真的落伍了嗎?

從第一代防火墻的出現到今天，防火墻已經歷了二十余年的技術演變。這二十多年里，防火墻從簡單的包過濾技術，逐漸發展成為具備動態包檢測、網絡狀態監控以及應用層過濾等功能的綜合性安全網關。

防火墻的演變也映射出用戶需求的轉變。從過去單純的網絡流量過濾到全方位立體的安全防御需求，用戶愈發復雜的應用環境，促使深度包檢測、URL過濾、VPN、身份認證、流量管理、協議識別等技術迅速興起。

也許正是看到了用戶需求的改變，以Fortinet為代表的新型安全廠商紛紛打出了UTM/USG的王牌。然而，令人遺憾的是不論UTM宣傳的如何精彩，其本質并沒有與防火墻有所異同，歸根結底都是依托ACL(訪問控制列表)技術，而ACL技術正是防火墻賴以生存的根本。

那么防火墻是否的確不如UTM般擁有豐富安全防護功能?其實不然。早在2005年，業界就曾有過“胖瘦防火墻”的爭論，當時的爭論的焦點正是防火墻所承載的各種安全防護功能。坦率的講如今的UTM和胖防火墻就技術而言并無二樣，基礎架構精良的模塊化防火墻甚至可以實現比UTM更多的更有效的安全防護。

由此可見，單從功能實現方面，防火墻并不落伍。但是對于用戶的需求而言，未來的防火墻必定要成為邊界安全防護的精品。為此，不論防火墻也好，還是UTM/USG也好，都必須腳踏實地的推動技術創新。

概念VS實力

正如筆者前面所言，如今主流的防火墻與UTM/USG并無本質差別，二者所面臨的挑戰也是等同的，也許唯一的不同要數市場對于UTM/USG的宣傳炒作遠遠大于防火墻的聲音。由此讓用戶對于防火墻產生些許誤解也不足為奇。

近年來，國家對于信息安全極力提倡“自主、可控”，顯然只有概念上炒作并不是國家所期望的。信息安全行業內的競爭，應該是核心自主產權技術的創新，是服務模式的創新，而非概念的熱炒。當然，安全也是一個敏感的字眼，當今天的安全涉及到國家政治、經濟與社會穩定時，實事求是、為用戶負責便顯得格外重要。

雖然IDC率先提出了UTM的概念，然而坦率的說，目前可實現高性能、高可用性以及高可擴展性的UTM產品寥寥無幾。更為嚴重的是，UTM始終缺乏可信賴的測試標準。某業內人士曾向筆者指出，UTM與防火墻設備的測試標準幾乎相同。

信息化建設速度的加快，我國政府和企業對于安全網關的采購需求正在逐漸增加。通過OEM其他國外廠商的UTM產品，又堂而皇之的出現在敏感行業采購清單中的情況必須從根本上杜絕。

安全行業是需要創新的，但創新必須能夠為用戶帶來更加有效的安全保護。當前困擾安全網關的核心問題仍然是性能。不可否認，多核、NP等架構對于系統性能的提升確有幫助，但要充分挖掘系統性能完善、高效的軟件架構必不可少。

還是那句話，安全產品應該靠實力去取勝，因為我們需要為用戶負責。

安全網關需以人為本

雖然UTM/USG仍存在很多不足，但有一點卻已經得到了業界與用戶的共識，綜合安全網關的發展趨勢已不可動搖。愈發復雜的用戶業務系統讓獨立安全產品與技術顯得捉襟見肘，對于安全網關而言，新的挑戰和機遇已經來臨。如何更有效的從邊界斬斷威脅，如何打造更高效的模塊化操作系統，都已成為當前網絡安全廠商不得不思考的問題。

毋庸置疑，更有效的安全網關，需要更合理的安全體系架構。天融信安全專家就曾指出，新一代安全網關應該可以靈活的滿足用戶不同的安全需求。即可以滿足用戶細粒度的安全威脅控制需求，又可以幫助用戶實現更加完整的安全體系，最終為用戶實現實時動態的安全審計。

用戶的需求、專家的期盼以及軟硬件技術的快速發展，防火墻全面升級的時代已經到來，下一代安全網關必將是可按需定制的綜合安全網關，即X-Firewall。

最后，我們還要再次強調安全是一門嚴謹的學問，新一代安全網關面臨的挑戰還有很多，滿足用戶高性能、高可用性以及高可擴展性需求，才是贏得的用戶信賴的根本。