防火墻與 UTM 有哪些區別

防火墻（NGFW）與UTM本質上的區別：

先說說傳統的安全設備：
入侵防御設備 IPS

應用安全防護體系不完善，只能針對操作系統或者應用軟件的底層漏洞進行防護，缺乏針對Web攻擊威脅的防御能力，對Web攻擊防護效果不佳。缺乏攻擊事后防護機制，不具備數據的雙向內容檢測能力，對未知攻擊產生的后果無能為力，如入侵防御設備無法應對來自于web網頁上的SQL，XSS漏洞，無法防御來自內網的敏感信息泄露或者敏感文件過濾等等。

Web應用防火墻 WAF

傳統Web防火墻面對當前復雜的業務流量類型處理性能有限，且只針對來自Web的攻擊防護，缺乏針對來自應用系統底層漏洞的攻擊特征，缺乏基于敏感業務內容的保護機制，只能提供簡單的關鍵字過濾功能，無法對Web業務提供L2-L7層的整體安全防護。

傳統的“串糖葫蘆式的組合方案”

由于防火墻功能上的缺失使得企業在網絡安全建設的時候針對現有多樣化的攻擊類型采取了打補丁式的設備疊加方案，形成了“串糖葫蘆”式部署。通常我們看到的網絡安全規劃方案的時候都會以防火墻+入侵防御系統+網關殺毒+……的形式。這種方式在一定程度上能彌補防火墻功能單一的缺陷，對網絡中存在的各類攻擊形成了似乎全面的防護。但在這種環境中，管理人員通常會遇到如下的困難：

二，有幾種設備就可以防護幾種攻擊，但大部分客戶無法全部部署，所以存在短板；即使全部部署，這些設備也不對服務器和終端向外主動發起的業務流進行防護，在面臨新的未知攻擊的情況下缺乏有效防御措施，還是存在被繞過的風險。

傳統的有缺陷，所以升級版UTM與NGWF怎么樣呢？

這種設備的理念是將多個功能模塊集中如：FW、IPS、AV，聯合起來達到統一防護，集中管理的目的。這無疑給安全建設者們提供了更新的思路。

事實證明國內市場UTM產品確實得到用戶認可，據IDC統計數據09年UTM市場增長迅速，但2010年UTM的增長率同比有明顯的下降趨勢。這是因為UTM設備僅僅將FW、IPS、AV進行簡單的整合，傳統防火墻安全與管理上的問題依然存在，比如缺乏對WEB服務器的有效防護等；另外，UTM開啟多個模塊時是串行處理機制，一個數據包先過一個模塊處理一遍，再重新過另一個模塊處理一遍，一個數據要經過多次拆包，多次分析，性能和效率使得UTM難以令人信服。Gartner認為“UTM安全設備只適合中小型企業使用，而NGFW才適合員工大于1000人以上規模的大型企業使用。”

NGWF功能已經相當完備，然而不同的廠家生產的設備性能也不一樣。大部分下一代防火墻只能看到除web攻擊外的大部分攻擊，極少部分下一代防火墻能夠看到簡單的WEB攻擊，但均無法看到業務的漏洞。攻擊和漏洞無法關聯就很難確定攻擊的真實性；另外，大部分下一代防火墻防不住web攻擊，也不對服務器/終端主動向外發起的業務流進行防護，比如信息泄露、僵尸網絡等，應對未知攻擊的方式比較單一，只通過簡單的聯動防護，仍有被繞過的風險。

總結：個人覺得下一代防火墻需要把各模塊（IPS、AV等）做到邏輯上也是一臺設備，可以智能化的關聯分析。而不是目前很多UTM看起來一臺設備有很多模塊，但各種模塊之間都是割裂的

回答所涉及的環境：聯想天逸510S、Windows 10。