在應(yīng)用安全網(wǎng)關(guān)產(chǎn)品的投標(biāo)中，往往可以看到UTM，上網(wǎng)行為管理，防病毒網(wǎng)關(guān)，Web安全網(wǎng)關(guān)這幾類(lèi)的產(chǎn)品。一個(gè)企業(yè)的公開(kāi)招標(biāo)，可以看到有至少10家不同類(lèi)型的廠商參與投標(biāo)。用戶(hù)會(huì)產(chǎn)生很大的困惑，究竟什么樣的產(chǎn)品才是最符合需求呢？在下面的內(nèi)容里，將從網(wǎng)絡(luò)安全的發(fā)展角度、用戶(hù)的需求偏重點(diǎn)、功能、性能等幾個(gè)方面做具體的探討。

下面，將從網(wǎng)絡(luò)安全的發(fā)展角度分析這幾種網(wǎng)關(guān)產(chǎn)品的由來(lái)以及發(fā)展趨勢(shì)。

如果說(shuō)路由器實(shí)現(xiàn)了企業(yè)內(nèi)部網(wǎng)與Internet的互聯(lián)互通，那么網(wǎng)絡(luò)層防火墻就是企業(yè)內(nèi)部網(wǎng)與Internet互聯(lián)互通上的過(guò)濾崗哨，它根據(jù)數(shù)據(jù)包的性質(zhì)（數(shù)據(jù)包的性質(zhì)有目地和源IP地址、源和目的TCP/UDP端口、TCP包的ACK位、出站和入站網(wǎng)絡(luò)接口等。）進(jìn)行包過(guò)濾，主要發(fā)揮在網(wǎng)絡(luò)層的訪問(wèn)控制保障作用。網(wǎng)絡(luò)層防火墻在20世紀(jì)90年代推向市場(chǎng)，設(shè)計(jì)策略遵循安全防范的基本原則是“除非明確允許，否則就禁止”。

為了實(shí)現(xiàn)企業(yè)內(nèi)部網(wǎng)與 Internet的互聯(lián)互通，以滿(mǎn)足企業(yè)基本Internet應(yīng)用的需求，通常網(wǎng)絡(luò)層防火墻對(duì)外開(kāi)放了80、443、25、110和21等http、 https、smtp、pop3和FTP這幾種協(xié)議常用的標(biāo)準(zhǔn)端口。然而，如今隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，80、443、25、110和21端口不再僅僅是常用的http、https、smtp、pop3和FTP等應(yīng)用協(xié)議使用的專(zhuān)利，越來(lái)越多的應(yīng)用可以自動(dòng)掃描防火墻的開(kāi)放端口進(jìn)行通信，例如IM、P2P、流媒體、網(wǎng)絡(luò)游戲、網(wǎng)絡(luò)炒股等Internet應(yīng)用，同時(shí)網(wǎng)絡(luò)威脅的散布與攻擊技術(shù)也不再限于網(wǎng)絡(luò)層，而上升到基于http、https、smtp、 pop3和FTP等應(yīng)用協(xié)議的數(shù)據(jù)包中。

這樣一來(lái)傳統(tǒng)網(wǎng)絡(luò)層防火墻基于數(shù)據(jù)包性質(zhì)的過(guò)濾規(guī)則，就沒(méi)法檢測(cè)數(shù)據(jù)包的內(nèi)容，也就無(wú)法分析檢測(cè)過(guò)濾出其中的網(wǎng)絡(luò)應(yīng)用威脅。于是為了防御網(wǎng)絡(luò)層防火墻通常所開(kāi)放的這5個(gè)常用Internet應(yīng)用協(xié)議所帶來(lái)的網(wǎng)絡(luò)威脅，像木馬、病毒、間諜軟件等，出現(xiàn)了防病毒網(wǎng)關(guān)（這是國(guó)內(nèi)的叫法，國(guó)外叫Anti-malware網(wǎng)關(guān)）。

同時(shí)出現(xiàn)的還有上網(wǎng)行為管理產(chǎn)品，對(duì)IM，P2P，流媒體，網(wǎng)絡(luò)游戲，網(wǎng)絡(luò)炒股、web2.0站點(diǎn)等加以管控，他的強(qiáng)項(xiàng)在于對(duì)于網(wǎng)絡(luò)應(yīng)用的管理，而并非防御網(wǎng)絡(luò)應(yīng)用威脅。Web安全網(wǎng)關(guān)最早出現(xiàn)是在防病毒網(wǎng)關(guān)的基礎(chǔ)上增加了對(duì)URL的分類(lèi)過(guò)濾，主要實(shí)現(xiàn)對(duì)http、https、FTP、SMTP、POP3等應(yīng)用協(xié)議的安全與web內(nèi)容的過(guò)濾管控。

隨著Internet應(yīng)用技術(shù)的發(fā)展變化，為了實(shí)現(xiàn)全面的Internet應(yīng)用安全與管理，web安全網(wǎng)關(guān)在防病毒的基礎(chǔ)上又集成了應(yīng)用控制、帶寬管理等上網(wǎng)行為管理類(lèi)產(chǎn)品的大部分功能。除了上面應(yīng)用層的網(wǎng)關(guān)廠商，傳統(tǒng)的防火墻廠商也在拓展其功能。在傳統(tǒng)的網(wǎng)絡(luò)層訪問(wèn)控制的基礎(chǔ)上增加了網(wǎng)絡(luò)應(yīng)用的識(shí)別與管控，具有了應(yīng)用控制、帶寬管理甚至URL過(guò)濾等功能，叫法也變成了應(yīng)用防火墻。功能最全面的應(yīng)用網(wǎng)關(guān)是UTM，它包括網(wǎng)絡(luò)層防火墻、垃圾郵件過(guò)濾、IPS、防病毒，URL過(guò)濾、應(yīng)用控制和帶寬管理等一系列的功能。

但是，面對(duì)以上眾多功能有相互融合和滲透的產(chǎn)品，用戶(hù)該如何選購(gòu)？

大企業(yè)的選擇——偏重于安全

金融，運(yùn)營(yíng)商等大型企業(yè)的辦公與業(yè)務(wù)系統(tǒng)對(duì)安全非常重視，因?yàn)槟抉R，間諜軟件植入企業(yè)內(nèi)部的主機(jī)或者終端會(huì)對(duì)企業(yè)造成無(wú)法彌補(bǔ)的危害和經(jīng)濟(jì)損失，所以他們通常都有較完整的網(wǎng)絡(luò)安全防護(hù)架構(gòu)，防火墻中啟用的訪問(wèn)控制策略也比較多，在這種情況下用戶(hù)只需要增加對(duì)必須開(kāi)放的端口以及應(yīng)用協(xié)議進(jìn)行防護(hù)。例如郵件與Web應(yīng)用，郵件有專(zhuān)門(mén)的郵件安全網(wǎng)關(guān)，web需要web安全網(wǎng)關(guān)或者防病毒網(wǎng)關(guān)。雖然UTM設(shè)備里面有郵件安全與web安全的組件，但是防護(hù)效果不一定滿(mǎn)足這類(lèi)用戶(hù)的需求。

例如對(duì)于防病毒的功能，大企業(yè)用戶(hù)首要關(guān)心的是性能，其次是查殺防護(hù)效果，即識(shí)別率，最后還關(guān)心增強(qiáng)的功能，是否支持多種協(xié)議，是否具有多種部署方式等，當(dāng)然功能上至少支持http，https，pop3，smtp，ftp這5種應(yīng)用協(xié)議的掃描過(guò)濾。性能是否滿(mǎn)足，一上線就能體現(xiàn)，同樣對(duì)這類(lèi)用戶(hù)性能滿(mǎn)足的同時(shí)，過(guò)濾防護(hù)效果也非常重要。因?yàn)槿蛎磕戤a(chǎn)生的malware數(shù)量會(huì)超過(guò)500萬(wàn)個(gè)，設(shè)備中內(nèi)置的特征庫(kù)應(yīng)該可以找到至少 500萬(wàn)個(gè)樣本，這樣才能保證識(shí)別1年內(nèi)的所有威脅。犧牲特征數(shù)量，可以大幅提升性能，但卻不能做到有效的防護(hù)。通常UTM設(shè)備會(huì)放2萬(wàn)個(gè)左右的特征，最多找到100萬(wàn)左右的樣本。這樣的樣本數(shù)量相當(dāng)于專(zhuān)業(yè)病毒廠商4個(gè)月左右的樣本數(shù)量。所以大型企業(yè)用戶(hù)通常會(huì)選擇專(zhuān)業(yè)的防病毒網(wǎng)關(guān)或者web安全網(wǎng)關(guān)。

Web安全網(wǎng)關(guān)與防病毒網(wǎng)關(guān)實(shí)現(xiàn)的安全部分功能非常類(lèi)似，但是web安全網(wǎng)關(guān)還增添了Internet應(yīng)用接入的管控功能。對(duì)上網(wǎng)行為會(huì)作相應(yīng)管理與控制，這些都可以輔助加強(qiáng)企業(yè)的網(wǎng)絡(luò)安全。例如對(duì)IM進(jìn)行控制，同樣可以阻斷病毒的一部分傳播渠道。

小企業(yè)的選擇——偏重于管理

小企業(yè)并不是不重視安全，只是為了做到安全而采購(gòu)防火墻，IPS，防病毒網(wǎng)關(guān)，郵件安全網(wǎng)關(guān)等一系列產(chǎn)品，投資與潛在風(fēng)險(xiǎn)危害不成比例，性?xún)r(jià)比不高。所以小企業(yè)更愿意選擇管理類(lèi)的上網(wǎng)行為管理與綜合類(lèi)的UTM。對(duì)于小企業(yè)的管理者或者網(wǎng)管人員，很容易看到上網(wǎng)行為管理產(chǎn)品的效果。可以迅速提高生產(chǎn)力與實(shí)現(xiàn)帶寬的優(yōu)化。同樣UTM產(chǎn)品也是不錯(cuò)的選擇，因?yàn)槠髽I(yè)可以得到更多的功能而只花很少的費(fèi)用。而且通常小企業(yè)用戶(hù)數(shù)有限也不會(huì)碰到性能的瓶頸。當(dāng)然也需要 UTM廠商集成優(yōu)秀廠商的病毒引擎，病毒庫(kù)，垃圾郵件引擎，URL引擎與數(shù)據(jù)庫(kù)，這樣可以給小企業(yè)用戶(hù)提供更完美的體驗(yàn)。

上面是基于用戶(hù)需求所作的選擇分析，下面將對(duì)這幾類(lèi)產(chǎn)品自身特點(diǎn)作簡(jiǎn)單分析。

首先性能方面：

讓我們拋開(kāi)產(chǎn)品的界限，以不同的應(yīng)用功能來(lái)做其重點(diǎn)性能的分析：

網(wǎng)絡(luò)層防火墻，性能體現(xiàn)在tcp連接與udp轉(zhuǎn)發(fā)，目前市面上最高端的性能已經(jīng)高達(dá)10G，因?yàn)樵诘讓愚D(zhuǎn)發(fā)使用了專(zhuān)有芯片或網(wǎng)絡(luò)處理器來(lái)加速。

帶寬管理，性能瓶頸在于udp包轉(zhuǎn)發(fā)，在此基礎(chǔ)上要對(duì)協(xié)議進(jìn)行識(shí)別，對(duì)于普通企業(yè)來(lái)說(shuō)，1G的帶寬管理已經(jīng)足夠。

URL過(guò)濾，性能瓶頸在于http proxy的處理速度，經(jīng)過(guò)優(yōu)化之后最好的設(shè)備可達(dá)線速。

網(wǎng)關(guān)防病毒的性能瓶頸在于基于特征的掃描與http的并發(fā)連接，通過(guò)硬件的掃描加速可以實(shí)現(xiàn)http 1G基于特征的掃描和實(shí)際環(huán)境中4萬(wàn)左右的http并發(fā)。