刘会军　邓翠屏　叶乔辉

【摘 要】企业内外部网络的交互需求越来越多样，传统的防火墙产品已无法满足复杂网络综合性防御的需要，而集成多重安全功能的安全网关则能为企业信息安全构建有力的保护屏障。本文描述了某企业在生产经营中所面临的网络安全需求场景，通过对安全网关产品的介绍及分析对比总结了安全网关的选型思路及建议。

【关键词】安全网关；UTM；下一代防火墙

1.引言

随着企业的快速发展，企业内外部网络的交互需求变得越来越复杂多样，为抵御来自外部网络的安全威胁，企业通常会选择各种安全产品部署在网络边界。这类部署在企业内网与外部网络边界的安全产品通常称之为安全网关。

安全网关的产品多种多样，有通用型的防火墙、专用型VPN防火墙、入侵检测/防御设备、防病毒网关、应用控制防火墙、集成多种安全功能的UTM（统一安全威胁）和NGFW（下一代防火墙）等，如何选择合适的安全产品构建起企业内网安全的铜墙铁壁也是一项复杂的系统工程。

以某企业的实际需求为例：该企业的内外部网络访问需求场景如图1所示。

在图1里场景一描述了员工要求在公网上通过WEB网页访问企业的办公系统；场景二描述了分支机构或办事处要求通过专线获得企业内网的IP地址访问各类服务器；场景三描述的是企业需要对员工访问Internet的内容进行管控；场景四则描述的是企业与合作伙伴之间有互访需求，但是为保障信息安全，双方需隐藏真实的主机IP和路由信息，转换成私网地址进行通信。

不同的需求场景对应不同的网络技术和安全产品，是购买不同的安全设备分别实现还是寻找一种安全产品一次解决所有需求？哪一种性价比更高、更利于管理和维护？让我们先看看有哪些安全网关产品可以供我们选择。

2.主要安全网关产品介绍与分析

纵观安全网关的产品演变历史，可以看出其发展趋势是在功能与性能之间寻求最佳平衡点，从这个角度上说，安全网关大致可以分为如下三种类型（当然，还有按架构、功能等的分类方法，本文不讨论）：

2.1 单一功能安全网关

（1）防火墙：最早期的安全网关非防火墙莫属了，防火墙是一种防御OSI 模型四层以下攻击的安全设备，传统防火墙只能根据与数据包源地址和目标地址有关的信息来检测流量，实现IP 地址、端口层面的安全防护。在网络发展的初期，确实起到很大的作用，但随着网络攻击技术的日新月异，OSI 模型四层以上尤其是应用层的攻击逐渐成为主流，传统的防火墙已经无能为力，于是就催生了一批新型的安全网关。

（2）VPN防火墙：VPN（虚拟专用网络）被定义为通过一个公用网络（通常是因特网）建立一个临时的、安全的连接，该连接是一条穿过混乱的公用网络的安全、稳定的加密隧道，常用的VPN防火墙技术有IPsec VPN和 SSL VPN等。

（3）防病毒网关：是一种用以保护网络内（一般是局域网）进出数据安全的网络设备。主要体现在病毒查杀、关键字过滤（如色情、反动）、垃圾邮件阻止等功能，同时部分设备也具有一定防火墙（划分Vlan）的功能。

（4）上网行为管理设备：通过硬件内置的应用识别规则库、网页地址库，结合深度内容检测、网页智能识别等技术，帮助企业管理和控制用户对互联网的使用，通常包括网页访问过滤、网络应用控制、带宽流量管理、信息收发审计、用户行为分析等功能。

还有很多其它单一功能的安全网关，这里就不详述了。

2.2 UTM（统一威胁管理）

UTM（Unified Threat Management）即统一威胁管理，最早由IDC于2004年提出。根据IDC的定义，UTM是指能够提供广泛的网络保护的设备，它在一个单一的硬件平台下提供了以下的一些技术特征：防火墙、防病毒、入侵检测和防护功能。现在的UTM通常是用于全方位解决企业综合网络安全问题的产品，另外还集成了VPN、访问控制、垃圾邮件拦截、服务质量（QoS）、负载均衡和高可用性（HA）等功能。

2.3 NGFW（下一代防火墙）

虽然下一代防火墙产品还没有一个统一的标准，但业内普遍认同的关于NGFW的定义，则来自Gartner于2009年发布的一份名为《Defining the Next-Generation Firewall》的文档。Gartner 认为，下一代防火墙是一种多功能集成式线速网络安全处理平台，包含所有标准功能，如常见的网络地址转换（NAT）、包过滤和深度包检测（DPI）等功能，而应用识别、控制和可视化是其重要的核心特性。

3.产品选型

针对企业的需求场景，并结合当前主流的安全技术，我们首先可以明确的是：该企业需要一台带SSL VPN功能和IPSec VPN功能的防火墙来分别实现远程办公和办事处电脑的接入；还需要一台能进行双向地址转换的高性能防火墙实现企业与合作商网络之间的大数据量快速转发；另外该企业还需要一台类似上网行为管理设备的应用防火墙。

纵观上面介绍的各类产品，我们可以看到，针对每一个需求场景都有相对应的独立设备来实现，同时也有集成多种功能的设备一次解决所有需求。那么在进行产品选型的时候我们应该如何做呢？很明显如果企业部署多种单一功能的网关时，必然会碰到一系列的问题，例如：

可用性问题：安全设备增多，则故障节点增多，故障排查难度增大；

可管理性问题：安全设备增多，则加大管理人员的工作量，增加管理的难度，人为操作失误的概率也增加。

兼容性问题：由于多种安全设备很可能出自不同厂商，因此兼容性会打折扣，直接影响网络安全体系的整体效能。

成本问题：配备多个安全设备会导致成本的增加。

因此，通常情况下在选型的时候应尽量选择能一次解决多种需求的设备。

而满足该企业需求的多功能安全网关有UTM和NGFW二大类，在选型的时候建议同时考虑国内与国外知名厂商的安全产品，并进行充分的对比和测试。

该企业经过多方查阅资料，最终选定了三家厂商的二大类设备：国内厂商一的NGFW设备和国外厂商二和厂商三的UTM设备。按照魔力象限分析，厂商一在国内NGFW领域处于领导者地位，厂商二和厂商三在全球UTM领域分别处于领导者和挑战者的地位。

经过近三个月的技术交流和产品试用，针对该企业的四大需求场景，三家厂商给出的解决方案中的产品对比测试结果如下：

三家厂商的设备都具有防火墙、VPN、防病毒、IPS、内容过滤、流量管理等功能模块；

厂商一的应用控制功能做的非常好，厂商三的UTM设备不具备应用控制功能；

厂商一的NGFW设备不具备双向地址转换功能，但通过其它途径可间接实现，且该NGFW设备只集成了IPSec VPN功能，SSL VPN的功能需搭配另外一台设备实现；

厂商二的UTM设备缺少短信网关发送功能；

厂商二的UTM设备在进行大文件拷贝的时候比厂商一的NGAF设备稍快；

虽然三家厂商的设备各有优缺点，但最终该企业从最为关注的VPN和数据转发功能出发，给厂商二的UTM设备评了技术分的相对高分。当然最后中选的是哪家厂商的设备还需要综合考虑价格、售后服务等因素，本文就不深究了。

4.结束语

和多数安全网关产品一样，NGFW和UTM在出现的时候都存在概念过度炒作的嫌疑，用户在选购安全网关产品时一定要保持清醒的认识，UTM和NGFW短期内不存在取代关系，经过包装的产品在功能上会越来越相似。面对众多安全功能相互融合和渗透的产品，建议用户可以从以下几个方面综合考虑：

（1）明确企业所需的关键功能：不是功能越多越好，适合自己的才是最好的。要明确自己的需求，根据企业的网络规模和具体应用，选择合适的产品。

（2）对性能进行测试和评估：传统防火墙产品主要考虑的是吞吐量、并发连接数等指标。而多功能的安全产品的性能则体现在打开防病毒、内容过滤、应用控制等功能后所能承载的流量，目前尚无准确的量化指标。在选购的时候，除了衡量硬件平台的架构和处理能力外，更重要的是进行多角度的测试。

（3）友好的管理界面：产品要有一个能控制各个模块的图形化管理控制台。策略的管理与扩展能力，用户、日志和告警管理是否能和组织已有的安全体系相适应，也是选型时要特别关注的。

（4）充分考量售后服务：虽然厂商的产品各有特色，但在售后服务方面却千差万别。例如有些能提供对安卓、苹果平台的支持，有些则需另行购买支持模块。另外安全设备的策略部署和配置能否根据企业的网络结构、规章制度变更获得同步支撑，也是售后服务的重要内容。

总之，安全网关产品选型的每一个环节都应该重视，同时安全产品的产生与发展完全取决于网络安全威胁的发展演变。因此，密切跟踪网络安全的最新动态以及网络安全知名厂商的产品路线图对于理解和选购安全网关是很有帮助的。

参考文献：

[1]白君芬. UTM 信息安全技术研究. 现代计算机，2009年第8期.

[2]蒋巍. UTM采购的若干误区. 信息安全与技术，2010年第12期.

[3]绿盟科技. 绿盟安全网关产品白皮书，2009.

[4]深信服科技公司. 深信服下一代防火墙NGAF技术白皮书，2011年8月.

[5]竞速下一代防火墙. 计算机世界，2011年第24 期.