[separator]

1、UTM能否代替防火墙产品？

 

1)      根据IDC2008上半年的统计报告，防火墙/VPN产品市场占比成缓慢下级趋势，而UTM市场呈现快速增长。

2)      Cisco PIX 防火墙2008年将全部由UTM产品替代（Cisco ASA系列），Juniper通过主流分销商的积极推动，在UTM市场上增长非常明显。

3)      根据IDC统计报告显示，Cisco和Juniper 2008上半年的UTM产品的销量就已经超过UTM厂商Fortigate。UTM产品几乎被所有的数通厂商作为安全网关市场的发展方向，包括Cisco，Juniper，H3C，华为赛门铁克等。

4)      国内安全厂商也积极参与到UTM产品的竞争行列，或自主研发或者OEM方式，丰富自己的产品线，本身也就就说明大家都在积极备战UTM市场。

 

 

 

 

 

2、UTM能否突破性能瓶颈？

 

 

 

 

 

 

 

 

 

 

 

 

            

 

 

    安全服务,UTM产品要在技术定位上和多功能防火墙要有所区别。和防火墙产品以“状态包过滤 ”为核心不同，UTM产品应该定位在内容安全和深层次访问控制。依赖“入侵防御引擎”和“防病毒引擎”的支持，能够识别更多的应用协议和内容安全检测。而入侵检测和反病毒都是依赖于特征升级来提升整体的防御能力。

         就是说，UTM产品的价值不在于“功能模块”本身，而是安全厂商是否具备及时有效安全服务能力和突发安全事件的处理能力。一个特征不能及时更新的防毒墙放到网络上实际上是形同虚设。主流的安全厂商不去选择集成开源的病毒引擎（ClamAV）和入侵检测引擎（Snort）也是出于这方面的考虑。

 

 

 

 

         国内安全厂商OEM国外的UTM产品一方面是品牌的前期营造，应对竞争壁垒，补齐产品线，扩大销售额方面的考虑。当然也有在技术层面上观望中的无奈。OEM的通用弊病是产品质量处于不可控状态，售后服务无法保障。

 

         “自研”道路需要安全厂商具备专业的病毒码自动化收集，分析，分类，处理，升级等一系列服务平台；对于入侵防御引擎的研发则需要有专业的攻防队伍。平台的搭建和积累百万级病毒特征不是一朝一夕能够完成。从这个角度来看，反病毒厂商，入侵检测厂商进入UTM领域反而比防火墙厂商面对的技术壁垒要小的多。

         “自研”产品的好处是产品服务周期沟通环节少，能够更及时有效的响应安全突发事件，但如果自身不能建立起强大的安全服务平台，这些优势相对来讲就显得微不足道了。

 

         目前业内比较主流的做法是防火墙厂商和数通厂商选择集成第三方反病毒引擎，一方面充分利用防病毒厂商自有的成熟引擎和安全服务平台，也使自己有更多的精力去提升UTM的整体性能，升级硬件平台。包括Cisco-趋势，Juniper-卡巴斯基，H3C-卡巴斯基，华赛-赛门铁克，启明星辰-安天，都采用这种合作方式。

 

         从投入产出和产品的成熟度方面考虑，集成第三方反病毒引擎是比较合理的一个选择，专业反病毒引擎有着多年的技术积累和主机反病毒产品的大规模部署，产品稳定性和检测效率可以得到广泛的验证，这点上是自研引擎短时间内无法弥补的。从集成的技术方案设计上，网关反病毒引擎多以一个单独的进程运行，Bypass设计原则即便在引擎崩溃的情况下也不至于影响到整个UTM系统，而且可以做到进程的在线重启，继续工作，而不会影响到企业的业务系统。

 

         网络的发展会对很多传统的安全观念提出挑战，比如：“安全3分技术，7分管理”这种说法。实际上只要网络连接到Internet，单纯的管理手段在极具动态的威胁变化前变得很脆弱。在网关安全这个领域，改成“8分技术，2分管理”可能更符合实际情况。网络威胁的发展，应该更多的依靠技术手段和产品组合方式来实现自动化防御，主动防御。

 

         操作系统需要及时的安装补丁的做法已经被广泛的接受，实际上UTM的升级要远小于操作系统补丁升级给运维管理带来的不确定性。UTM产品频繁升级的是“病毒特征库”和“入侵防御事件库”，这点和主机反病毒软件没有任何区别，对大多数行业来讲并不涉及到安全策略的变化。

对于担心某些特征事件的升级导致业务系统收到影响的企业，可以参照操作系统补丁升级的做法，通过搭建单独验证平台进行事先验证，再进行业务网络升级。但无论如何及时的更新操作系统补丁和特征事件是保障网络安全运行最重要的环节。