防火墙与 UTM 有哪些区别

• 防火墙功能模块工作在七层网络协议的第三层。大多数传统防火墙用一种状态检测技术检查和转发TCP/IP包。UTM中的防火墙在工作中不仅仅实现了传统的状态检测包过滤功能，而且还决定了防病毒、入侵检测等功能是否开启以及它们的工作模式。通过防火墙的策略，各种功能可以实现更好的融合。

• 从整个系统角度讲，UTM防火墙要实现的不仅仅是网络访问的控制，同时也要实现数据包的识别与转发，例如HTTP、Mail等协议的识别与转发，对相应的模块进行处理，从而减轻其他模块对数据处理的工作量，提高系统性能和效率。

• UTM防火墙能植入很多更高的新功能，例如虚拟域、动态路由和多播路由，它支持各种新技术，例如VoIP、H.323、SIP、IM和P2P等，起点高，应用前景更广，适应性更强。

• 从UTM的操作界面上，用户就可以清楚地看出，UTM防火墙策略有很多种选择，宛如在一个网络门户大平台上，植入内容丰富的机制，层次分明、操作简单、同时又灵活实用。

防火墙（NGFW）与UTM本质上的区别：

先说说传统的安全设备：
入侵防御设备 IPS

应用安全防护体系不完善，只能针对操作系统或者应用软件的底层漏洞进行防护，缺乏针对Web攻击威胁的防御能力，对Web攻击防护效果不佳。缺乏攻击事后防护机制，不具备数据的双向内容检测能力，对未知攻击产生的后果无能为力，如入侵防御设备无法应对来自于web网页上的SQL，XSS漏洞，无法防御来自内网的敏感信息泄露或者敏感文件过滤等等。

Web应用防火墙 WAF

传统Web防火墙面对当前复杂的业务流量类型处理性能有限，且只针对来自Web的攻击防护，缺乏针对来自应用系统底层漏洞的攻击特征，缺乏基于敏感业务内容的保护机制，只能提供简单的关键字过滤功能，无法对Web业务提供L2-L7层的整体安全防护。

传统的“串糖葫芦式的组合方案”

由于防火墙功能上的缺失使得企业在网络安全建设的时候针对现有多样化的攻击类型采取了打补丁式的设备叠加方案，形成了“串糖葫芦”式部署。通常我们看到的网络安全规划方案的时候都会以防火墙+入侵防御系统+网关杀毒+……的形式。这种方式在一定程度上能弥补防火墙功能单一的缺陷，对网络中存在的各类攻击形成了似乎全面的防护。但在这种环境中，管理人员通常会遇到如下的困难：

二，有几种设备就可以防护几种攻击，但大部分客户无法全部部署，所以存在短板；即使全部部署，这些设备也不对服务器和终端向外主动发起的业务流进行防护，在面临新的未知攻击的情况下缺乏有效防御措施，还是存在被绕过的风险。

传统的有缺陷，所以升级版UTM与NGWF怎么样呢？

这种设备的理念是将多个功能模块集中如：FW、IPS、AV，联合起来达到统一防护，集中管理的目的。这无疑给安全建设者们提供了更新的思路。

事实证明国内市场UTM产品确实得到用户认可，据IDC统计数据09年UTM市场增长迅速，但2010年UTM的增长率同比有明显的下降趋势。这是因为UTM设备仅仅将FW、IPS、AV进行简单的整合，传统防火墙安全与管理上的问题依然存在，比如缺乏对WEB服务器的有效防护等；另外，UTM开启多个模块时是串行处理机制，一个数据包先过一个模块处理一遍，再重新过另一个模块处理一遍，一个数据要经过多次拆包，多次分析，性能和效率使得UTM难以令人信服。Gartner认为“UTM安全设备只适合中小型企业使用，而NGFW才适合员工大于1000人以上规模的大型企业使用。”

NGWF功能已经相当完备，然而不同的厂家生产的设备性能也不一样。大部分下一代防火墙只能看到除web攻击外的大部分攻击，极少部分下一代防火墙能够看到简单的WEB攻击，但均无法看到业务的漏洞。攻击和漏洞无法关联就很难确定攻击的真实性；另外，大部分下一代防火墙防不住web攻击，也不对服务器/终端主动向外发起的业务流进行防护，比如信息泄露、僵尸网络等，应对未知攻击的方式比较单一，只通过简单的联动防护，仍有被绕过的风险。

总结：个人觉得下一代防火墙需要把各模块（IPS、AV等）做到逻辑上也是一台设备，可以智能化的关联分析。而不是目前很多UTM看起来一台设备有很多模块，但各种模块之间都是割裂的