在應(yīng)用安全網(wǎng)關(guān)產(chǎn)品的投標(biāo)中，往往可以看到UTM，上網(wǎng)行為管理，防病毒網(wǎng)關(guān)，Web安全網(wǎng)關(guān)這幾類的產(chǎn)品。一個企業(yè)的公開招標(biāo)，可以看到有至少10家不同類型的廠商參與投標(biāo)。用戶會產(chǎn)生很大的困惑，究竟什么樣的產(chǎn)品才是最符合需求呢？在下面的內(nèi)容里，將從網(wǎng)絡(luò)安全的發(fā)展角度、用戶的需求偏重點(diǎn)、功能、性能等幾個方面做具體的探討。
　　下面，將從網(wǎng)絡(luò)安全的發(fā)展角度分析這幾種網(wǎng)關(guān)產(chǎn)品的由來以及發(fā)展趨勢。
　　如果說路由器實(shí)現(xiàn)了企業(yè)內(nèi)部網(wǎng)與Internet的互聯(lián)互通，那么網(wǎng)絡(luò)層防火墻就是企業(yè)內(nèi)部網(wǎng)與Internet互聯(lián)互通上的過濾崗哨，它根據(jù)數(shù)據(jù)包的性質(zhì)（數(shù)據(jù)包的性質(zhì)有目地和源IP地址、源和目的TCP/UDP端口、TCP包的ACK位、出站和入站網(wǎng)絡(luò)接口等。）進(jìn)行包過濾，主要發(fā)揮在網(wǎng)絡(luò)層的訪問控制保障作用。網(wǎng)絡(luò)層防火墻在20世紀(jì)90年代推向市場，設(shè)計策略遵循安全防范的基本原則是“除非明確允許，否則就禁止”。為了實(shí)現(xiàn)企業(yè)內(nèi)部網(wǎng)與Internet的互聯(lián)互通，以滿足企業(yè)基本Internet應(yīng)用的需求，通常網(wǎng)絡(luò)層防火墻對外開放了80、443、25、110和21等http、https、smtp、pop3和FTP這幾種協(xié)議常用的標(biāo)準(zhǔn)端口。然而，如今隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，80、443、25、110和21端口不再僅僅是常用的http、https、smtp、pop3和FTP等應(yīng)用協(xié)議使用的專利，越來越多的應(yīng)用可以自動掃描防火墻的開放端口進(jìn)行通信，例如IM、P2P、流媒體、網(wǎng)絡(luò)游戲、網(wǎng)絡(luò)炒股等Internet應(yīng)用，同時網(wǎng)絡(luò)威脅的散布與攻擊技術(shù)也不再限于網(wǎng)絡(luò)層，而上升到基于http、https、smtp、pop3和FTP等應(yīng)用協(xié)議的數(shù)據(jù)包中。這樣一來傳統(tǒng)網(wǎng)絡(luò)層防火墻基于數(shù)據(jù)包性質(zhì)的過濾規(guī)則，就沒法檢測數(shù)據(jù)包的內(nèi)容，也就無法分析檢測過濾出其中的網(wǎng)絡(luò)應(yīng)用威脅。于是為了防御網(wǎng)絡(luò)層防火墻通常所開放的這5個常用Internet應(yīng)用協(xié)議所帶來的網(wǎng)絡(luò)威脅，像木馬、病毒、間諜軟件等，出現(xiàn)了防病毒網(wǎng)關(guān)（這是國內(nèi)的叫法，國外叫Anti-malware網(wǎng)關(guān)）。同時出現(xiàn)的還有上網(wǎng)行為管理產(chǎn)品，對IM，P2P，流媒體，網(wǎng)絡(luò)游戲，網(wǎng)絡(luò)炒股、web2.0站點(diǎn)等加以管控，他的強(qiáng)項(xiàng)在于對于網(wǎng)絡(luò)應(yīng)用的管理，而并非防御網(wǎng)絡(luò)應(yīng)用威脅。Web安全網(wǎng)關(guān)最早出現(xiàn)是在防病毒網(wǎng)關(guān)的基礎(chǔ)上增加了對URL的分類過濾，主要實(shí)現(xiàn)對http、https、FTP、SMTP、POP3等應(yīng)用協(xié)議的安全與web內(nèi)容的過濾管控。隨著Internet應(yīng)用技術(shù)的發(fā)展變化，為了實(shí)現(xiàn)全面的Internet應(yīng)用安全與管理，web安全網(wǎng)關(guān)在防病毒的基礎(chǔ)上又集成了應(yīng)用控制、帶寬管理等上網(wǎng)行為管理類產(chǎn)品的大部分功能。除了上面應(yīng)用層的網(wǎng)關(guān)廠商，傳統(tǒng)的防火墻廠商也在拓展其功能。在傳統(tǒng)的網(wǎng)絡(luò)層訪問控制的基礎(chǔ)上增加了網(wǎng)絡(luò)應(yīng)用的識別與管控，具有了應(yīng)用控制、帶寬管理甚至URL過濾等功能，叫法也變成了應(yīng)用防火墻。功能最全面的應(yīng)用網(wǎng)關(guān)是UTM，它包括網(wǎng)絡(luò)層防火墻、垃圾郵件過濾、IPS、防病毒，URL過濾、應(yīng)用控制和帶寬管理等一系列的功能。
　　但是，面對以上眾多功能有相互融合和滲透的產(chǎn)品，用戶該如何選購？

大企業(yè)的選擇——偏重于安全

　　金融，運(yùn)營商等大型企業(yè)的辦公與業(yè)務(wù)系統(tǒng)對安全非常重視，因?yàn)槟抉R，間諜軟件植入企業(yè)內(nèi)部的主機(jī)或者終端會對企業(yè)造成無法彌補(bǔ)的危害和經(jīng)濟(jì)損失，所以他們通常都有較完整的網(wǎng)絡(luò)安全防護(hù)架構(gòu)，防火墻中啟用的訪問控制策略也比較多，在這種情況下用戶只需要增加對必須開放的端口以及應(yīng)用協(xié)議進(jìn)行防護(hù)。例如郵件與Web應(yīng)用，郵件有專門的郵件安全網(wǎng)關(guān)，web需要web安全網(wǎng)關(guān)或者防病毒網(wǎng)關(guān)。雖然UTM設(shè)備里面有郵件安全與web安全的組件，但是防護(hù)效果不一定滿足這類用戶的需求。例如對于防病毒的功能，大企業(yè)用戶首要關(guān)心的是性能，其次是查殺防護(hù)效果，即識別率，最后還關(guān)心增強(qiáng)的功能，是否支持多種協(xié)議，是否具有多種部署方式等，當(dāng)然功能上至少支持http，https，pop3，smtp，ftp這5種應(yīng)用協(xié)議的掃描過濾。性能是否滿足，一上線就能體現(xiàn)，同樣對這類用戶性能滿足的同時，過濾防護(hù)效果也非常重要。因?yàn)槿蛎磕戤a(chǎn)生的malware數(shù)量會超過500萬個，設(shè)備中內(nèi)置的特征庫應(yīng)該可以找到至少500萬個樣本，這樣才能保證識別1年內(nèi)的所有威脅。犧牲特征數(shù)量，可以大幅提升性能，但卻不能做到有效的防護(hù)。通常UTM設(shè)備會放2萬個左右的特征，最多找到100萬左右的樣本。這樣的樣本數(shù)量相當(dāng)于專業(yè)病毒廠商4個月左右的樣本數(shù)量。所以大型企業(yè)用戶通常會選擇專業(yè)的防病毒網(wǎng)關(guān)或者web安全網(wǎng)關(guān)。
　　Web安全網(wǎng)關(guān)與防病毒網(wǎng)關(guān)實(shí)現(xiàn)的安全部分功能非常類似，但是web安全網(wǎng)關(guān)還增添了Internet應(yīng)用接入的管控功能。對上網(wǎng)行為會作相應(yīng)管理與控制，這些都可以輔助加強(qiáng)企業(yè)的網(wǎng)絡(luò)安全。例如對IM進(jìn)行控制，同樣可以阻斷病毒的一部分傳播渠道。

小企業(yè)的選擇——偏重于管理

　　小企業(yè)并不是不重視安全，只是為了做到安全而采購防火墻，IPS，防病毒網(wǎng)關(guān)，郵件安全網(wǎng)關(guān)等一系列產(chǎn)品，投資與潛在風(fēng)險危害不成比例，性價比不高。所以小企業(yè)更愿意選擇管理類的上網(wǎng)行為管理與綜合類的UTM。對于小企業(yè)的管理者或者網(wǎng)管人員，很容易看到上網(wǎng)行為管理產(chǎn)品的效果?？梢匝杆偬岣呱a(chǎn)力與實(shí)現(xiàn)帶寬的優(yōu)化。同樣UTM產(chǎn)品也是不錯的選擇，因?yàn)槠髽I(yè)可以得到更多的功能而只花很少的費(fèi)用。而且通常小企業(yè)用戶數(shù)有限也不會碰到性能的瓶頸。當(dāng)然也需要UTM廠商集成優(yōu)秀廠商的病毒引擎，病毒庫，垃圾郵件引擎，URL引擎與數(shù)據(jù)庫，這樣可以給小企業(yè)用戶提供更完美的體驗(yàn)。

　　上面是基于用戶需求所作的選擇分析，下面將對這幾類產(chǎn)品自身特點(diǎn)作簡單分析。
　　首先性能方面：
　　讓我們拋開產(chǎn)品的界限，以不同的應(yīng)用功能來做其重點(diǎn)性能的分析：
　　網(wǎng)絡(luò)層防火墻，性能體現(xiàn)在tcp連接與udp轉(zhuǎn)發(fā)，目前市面上最高端的性能已經(jīng)高達(dá)10G，因?yàn)樵诘讓愚D(zhuǎn)發(fā)使用了專有芯片或網(wǎng)絡(luò)處理器來加速。
　　帶寬管理，性能瓶頸在于udp包轉(zhuǎn)發(fā)，在此基礎(chǔ)上要對協(xié)議進(jìn)行識別，對于普通企業(yè)來說，1G的帶寬管理已經(jīng)足夠。
　　URL過濾，性能瓶頸在于http proxy的處理速度，經(jīng)過優(yōu)化之后最好的設(shè)備可達(dá)線速。
　　網(wǎng)關(guān)防病毒的性能瓶頸在于基于特征的掃描與http的并發(fā)連接，通過硬件的掃描加速可以實(shí)現(xiàn)http 1G基于特征的掃描和實(shí)際環(huán)境中4萬左右的http并發(fā)。
　　以上每個功能單獨(dú)做到極致都會沒有辦法處理其他功能，但市面上優(yōu)秀的web安全網(wǎng)關(guān)，例如安啟華的web安全網(wǎng)關(guān)設(shè)備在千兆網(wǎng)絡(luò)環(huán)境中可以啟用多種功能，這對于大企業(yè)來說完全滿足需求。
　　其次從功能上判斷：
　　帶有安全功能的是UTM與防病毒網(wǎng)關(guān)、web安全網(wǎng)關(guān)。帶有管理功能的是UTM、web安全網(wǎng)關(guān)與上網(wǎng)行為管理網(wǎng)關(guān)。安全通常帶有全球的特性，所以國際廠商通常從安全入手，增加管理功能滿足用戶需求。管理帶有明顯區(qū)域特性，所以通常國內(nèi)廠商會占有更高的份額，因?yàn)閷^(qū)域性的應(yīng)用能夠及時更新與控制。既做到全球性的安全，又做到區(qū)域性的管理功能是每個廠商追求的目標(biāo)，只有市場才可以真正檢驗(yàn)。

總結(jié)

　　需求的多樣性導(dǎo)致了產(chǎn)品的復(fù)雜性，沒有一成不變的產(chǎn)品與廠商，站在IT產(chǎn)品發(fā)展的角度，當(dāng)出現(xiàn)諸侯割據(jù)的局面時，那說明一統(tǒng)天下的產(chǎn)品即將出現(xiàn)。在每個領(lǐng)域，市場只會記住幾個主要的名字。對于企業(yè)用戶，拋開各個廠商的建議，首先要分析自己的網(wǎng)絡(luò)需求，安全還是管理或者是兼而有之。如果選擇安全，如何量化安全的程度，參考同行業(yè)的選購或者從實(shí)際環(huán)境的使用比較都是明智的選擇。盡量選擇每個領(lǐng)域最領(lǐng)先的產(chǎn)品，這是對投資最好的保護(hù)。