二零一三年伊始，伴隨網絡安全供應商在中國區發布FortiOS 5.0操作系統之際，一個身材高大，精神矍鑠的長者來到了Fortinet北京總部。

這位長者名叫謝華，是Fortinet創辦人之一，也是Fortinet的首席技術官(CTO)，技術副總裁……面對國內熱鬧非凡的

 在這之前，大家先來了解一下網關防火墻技術的發展簡史：

第一代防火墻

 第一代防火墻技術幾乎與路由器同時出現，采用了包過濾(Packet filter)技術。

第二、三代防火墻

 1989年，貝爾實驗室的Dave Presotto和Howard Trickey推出了第二代防火墻，即電路層防火墻，同時提出了第三代防火墻--應用層防火墻(代理防火墻)的初步結構。

第四代防火墻

 1992年，USC信息科學院的BobBraden開發出了基于動態包過濾(Dynamic packet filter)技術的第四代防火墻，后來演變為目前所說的狀態監視(Stateful inspection)技術。1994年，以色列的CheckPoint公司開發出了第一個采用這種技術的商業化的產品。

第五代防火墻

 1998年，NAI公司推出了一種自適應代理(Adaptive proxy)技術，并在其產品Gauntlet Firewall for NT中得以實現，給代理類型的防火墻賦予了全新的意義，可以稱之為第五代防火墻。

一體化安全網關UTM

 2004年9月，IDC最早提出UTM的概念，認為它作為一種新的產品形態正在形成網絡安全產業中的一個新興細分市場。

緊接著，Fortinet和Juniper公司的高性能UTM開始占據一定的市場份額，國內廠商也開始了轟轟烈烈的UTM運動。

 NGFW下一代防火墻

2009年12月，Gartner的John Pescatore和Greg Young提出了NGFW，即下一代防火墻(Next Generation FireWall)的概念。他們預測，到2014年底，NGFW將占有防火墻(以及IPS)市場的60%。

 一時間，NGFW大潮席卷全球。在安全圈里甚至傳出，如果自己公司沒有出過NGFW，都不好意思跟友商打招呼的笑話。

2004年以前的防火墻變革，似乎都有很清晰的產品形態。但2004年之后的UTM和NGFW之爭，似乎總讓人如墜霧里。NGFW真的是UTM的替代品嗎?

 讓我們先來看看UTM和NGFW各自宣揚的優勢。

首先，我們從Fortinet公開的技術資料里，找到有關UTM的特點。

圖1

再看一下

圖2

 是不是感覺兩者有點像?

 對此，UTM產品開創者，安全廠商Fortinet認為：“隨著NGFW的推出，人們一直對這個同時具有許多安全功能的新一代防火墻產品有著似曾相識的感覺。畢竟在此之前，UTM也是一款有著眾多功能的安全產品。于是，人們便開始為NGFW與UTM的優劣進行長期的爭辯，同時也有相當多的聲音認為兩者根本是同樣的產品。

就UTM的多功能來說，NGFW也一樣是各種安全功能無所不包。若認真檢視一下兩種產品上的多功能，不論傳統防火墻、DPI、VPN、IPS、防病毒、Web URL/內容過濾、應用識別與控制、郵件安全，甚至DLP等功能，幾乎都可以在兩個產品身上找到。甚至SANS認為NGFW在識別上的必要元件之一的DPI檢測機制，其實在一些UTM產品上已經內建，例如SonicWall UTM。由此可見，就安全防護的面向及支持功能的多寡上，UTM與NGFW間實殊無軒輊、難分高下。”

 NGFW領導廠商Palo Alto在自己的技術資料里，對UTM的評論是這樣的。如圖3所示。

圖3

在圖中所述的文字闡述：UTM只是讓綜合的方案便宜了一些。UTM的功能表現并不比獨立設備好，它的價值體現在單臺設備的中整合多種安全功能，為客戶提供了方便。遺憾的是，UTM有著不精確、難以管理、啟用多種安全業務時性能較差的不良聲譽，因而被部署到那些更看重整合設備形態，不太關注功能、可管理性或性能的應用場景……

 面對這項“指控”，Fortinet是怎么回應的呢?

 Fortinet表示：“自古以來就有很多借船出海的故事，當然把這個成語應用在當前的IT行業競爭上一點也不為過。當前NGFW廠商為其產品界定了應有的幾大基本功能，其大致包括防火墻、VPN、IDS/IPS、Web過濾、防病毒、反垃圾郵件及流量調控等七大功能。但令人感到意外的，這份基本功能名單竟然是以Fortinet的技術做為參考基準。

如果Palo Alto的指責是針對UTM產品跟風者的話，或許有一些道理。因為這些跟風者機械地把多種軟件裝到一個設備里，而沒有對其進行融化吸收，而導致使用困難和性能低劣。但是作為UTM開創者的Fortinet公司，以其研發能力，不斷地深化UTM的理念，將更多的功能融入設備中，優化軟件和硬件結構，使其使用便捷，性能卓越。實際上，我們從對NGFW的表述上就可以看出其對Fortinet公司產品技術的參考，這也反過來證明了Fortinet技術的前瞻性。”

 如果以Palo Alto的標準來衡量Fortinet的話，我們看到Fortinet產品比大多數“NGFW”更象NGFW。“visiable and control”，Fortinet早在2009年時就提出了“可視化和可管理”，在其4.0版本就支持網絡通訊和應用可視性。“safe enablement”,Fortinet的基于用戶的安全策略管理是很多用戶所愛戴的功能。“simplification”，Fortinet設備是以其可管理性、友好程度、簡潔的風格聞名于業界。“IT and business aliagment”, 對企業網絡應用控制與管理是FortiOS 4.0開始支持的，而現在的版本是5.0。

 Fortinet CTO謝華

為了驗證自己的技術，Fortinet不動聲色的做了一件事情。他們在2012年年底的時候，把自己一款型號為FortiGate 3140B作為"NGFW"交到了獨立安全評測機構NSS labs手中。NSS labs對全球各地產品進行"下一代防火墻比較分析"，Palo Alto、Barracuda、Check Point、SonicWALL、Juniper、Sourcefire等多家所謂NGFW知名廠商均以高端產品參與本次評比。

 結果Fortinet的FortiGate 3140B的表現并不比其他NGFW差，甚至在威脅檢出率方面勝過了所有對手。而這款FortiGate 3140B，其實只是Fortinet UTM中的一款產品而已。這樣一款普通的UTM產品在高端NGFW產品測試中能獲得如此佳績，無疑證明了Fortinet公司推動UTM技術發展所獲得的成就。

 如此一來，市面上所謂UTM不如NGFW的言論不攻自破了。《周易·系辭下》中說："天下同歸而殊途，一致而百慮。" NGFW與UTM本是同根，為用戶提供的解決方案可能有少許不同，但在網絡中所起的作用，基本是一樣的。而所有的"多功能防火墻"，功能少時速度固然很快，功能開多了速度一樣會慢。不同的，就要看所屬廠商的技術是否過硬，產品質量是否過關了。