Немало долгих и напряженных дискуссий состоялось между сетевыми инженерами и маркетологами в попытках ответить на вопрос: отличается ли UTM от NGFW? Один вендор пытается доказать другому, что именно его продукт — это новый этап в истории развития сетевых средств защиты. Другой производитель говорит, что решение конкурентов может обеспечивать безопасность исключительно малого и среднего бизнеса и только компания, производящая NGFW, способна защитить корпорации с масштабной ИТ-инфраструктурой.

Отличие UTM от NGFW

Немало долгих и напряженных дискуссий состоялось между сетевыми инженерами и маркетологами в попытках ответить на вопрос: отличается ли UTM от NGFW? Один вендор пытается доказать другому, что именно его продукт — это новый этап в истории развития сетевых средств защиты. Другой производитель говорит, что решение конкурентов может обеспечивать безопасность исключительно малого и среднего бизнеса и только компания, производящая NGFW, способна защитить корпорации с масштабной ИТ-инфраструктурой.

Есть ли различие между UTM и NGFW? Изложим по пунктам наше мнение по этому вопросу.

Как UTM облегчило защиту корпоративных сетей

В начале развития сетевых технологий, когда понятий UTM и NGFW не существовало, были обычные L3-L4 межсетевые экраны, которые могли фильтровать сетевой трафик по трем критериям: IP источника, IP назначения и сервис — сетевой порт. Тогда большая часть атак закрывалась этим скромным функционалом. 

Со временем технологии развивались, вместе с ними развивались и злоумышленники, и бизнесу потребовалась надежная защита. Стало необходимо: 

• отслеживать состояние сессий пользователей;
• использовать спам-фильтры для защиты почты; 
• защищать каналы связи между филиалами / удаленными пользователями;
• закрывать уязвимости системой IPS/IDS; 
• разграничивать права пользователей в интернете по категориям веб-ресурсов;
• проверять трафик антивирусом. 

В результате довольно быстро появились средства защиты, которые могли закрывать все эти потребности. Но разные устройства выполняли разные функции. Так, возник логичный вопрос: как службе информационной безопасности получить устройство, которое бы защищало от всего, занимало бы немного места в стойке и было бы относительно недорогим?

Инженеры разных компаний долго ломали голову над этим вопросом. Было понятно, что требуется создать некий комбайн, который смог бы объединить в одном устройстве всё или почти всё. Результатом работы лучших умов мира в области сетевых и компьютерных технологий стало появление универсальных шлюзов безопасности. С легкой руки компании IDC эти решения получили название Unified Threat Management — UTM. 

Так началась новая эпоха концепции «всё в одном».

Как появилось новое поколение брандмауэров

Развитие технологий продолжалось. Производители выкатывали свои версии комбайнов UTM. У одних получался лучше VPN, у других IPS, кому-то удавалось получить больше производительности SSL-инспекции, а у кого-то лучше работал антивирус. Вариантов было много, и пользователю все равно приходилось искать компромисс, исходя из своих потребностей.
Для решения этой ситуации было два варианта — новый технологический прорыв либо новое название существующего решения. Так в игру вступили маркетологи.

Неожиданно для всех 14 декабря 2011 года в «Квадранте для корпоративных межсетевых экранов» компании Gartner появился никому ранее не известный класс решений Next Gen Firewall — NGFW. Однако было несколько «но»: 

• по описанию функционал NGFW, как две капли воды, был похоже на UTM;
• решения класса UTM при идентичном функционале и характеристиках объявили не способными защитить крупный бизнес, а только малый и иногда средний;
• производители так называемого следующего поколения межсетевых экранов никак не поясняли, почему их разработка — революционная. Единственное отличие заключалось в дополнительном механизме защиты. Однако по этому критерию любой вендор UTM мог не раз за год обогнать другого, то есть UTM мог иметь больше функций и при этом работать лучше, чем NGFW.

В чем разница между UTM и NGFW

Переход от UTM к NGFW наблюдается практически у всех производителей — как зарубежных, так и отечественных. Однако, когда смотришь Packet Flow и спрашиваешь, что изменилось, оказывается, что практически ничего.

Справедливости ради стоит отметить, что «ничего» все же звучит очень категорично. Вендоры придумывают новый функционал, исправляют баги в старом, пытаются распараллелить процессы в операционных системах своих продуктов, увеличить пропускные способности своего UTM и NGFW. 

Ключевое в этом процессе — реализация одновременных процессов, что требует установки в аппаратную платформу отдельных сопроцессоров, способных выполнить операции определенного типа. За счет чего, как правило, кратно повышается стоимость «железа» и софта.

Какие у NGFW есть возможности

Функции защиты NGFW обычно ровно такие же, как и у старого доброго UTM. Вот краткая справка по скилам двух систем.

• SSL-инспекция. Мы получаем возможность разбирать шифрованный трафик в сети, что радикально повышает и безопасность, и наши возможности по остальным видам контроля.
• IDS/IPS — система обнаружения/предотвращения вторжений. У сетевых атак специфический «вид» в трафике, который мы по заранее сформированной базе (сигнатурам) можем искать и блокировать.
• Антивирусная проверка. Мы можем ловить вредоносное программное обеспечение не только с помощью антивируса на хосте, когда он уже попадает на рабочую станцию или сервер, но и прямо в трафике.
• Proxy. Глубоко разбирая трафик, мы можем избирательно ограничивать доступ пользователей к ресурсам в интернете.
• Контроль приложений. Мы можем запретить использовать в нашей сети определенные приложения, например Facebook. Средство защиты будет «видеть» трафик этого приложения и блокировать его.
• Контроль пользователей. NGFW/UTM могут различать пользователей и индивидуально настраивать политику безопасности. 
• Интеграция с другими средствами защиты. Например, мы можем «вылавливать» на NGFW/UTM передаваемые файлы и отправлять их на автоматическую проверку в сетевую песочницу. 
• VPN-функционал не связан с проверкой трафика, но часто бывает составной частью NGFW/UTM. Мы можем строить VPN-туннели прямо с NGFW/UTM, без необходимости покупки дополнительных VPN-шлюзов.

Конечно, не все вендоры могут похвастаться паритетным набором функций, а если такие функции есть у обоих классов решений и у разных вендоров, то качество может отличаться. Кроме того, данный факт не говорит о том, что кто-то из производителей сделал глобальный рывок вперед и оставил всех позади. По сути, он добавил в свой комбайн еще один механизм, который пока не добавили другие, но не факт, что удачно.

Когда новое поколение заменит старое

Замена UTM на NGFW частично уже произошла. Но в большинстве случаев только на уровне маркетинга, то есть производители используют формулировку агентства Gartner для повышения продаж. 

Если же говорить о реальном технологическом прорыве и появлении чего-то принципиально нового, то подобное можно увидеть лишь в единичных случаях. Так, некоторые производители оборудования используют аппаратное ускорение для выполнения ресурсоемких задач, распределяя их между отдельными процессорами — ASIC, FPGA или специализированными сетевыми процессорами. Либо создают параллельные процессы с помощью выделения ядер из многоядерной архитектуры на уровне операционной системы. Это позволяет добиться высокой производительности, особенно в условиях большого объема трафика. 

Вот примеры таких вендоров: 

• Fortinet с собственными специализированными интегральными микросхемами для обработки трафика; 
• Palo Alto и Check Point, которые используют выделенные ядра для разного рода операций.

При этом полной замены UTM на NGFW никогда не произойдет из-за цены. Устройства с аппаратным ускорением стоят значительно дороже устройств на центральных процессорах, в которых ускорения и параллелизации процессов можно добиться исключительно оптимизацией ПО. Безусловно, этот метод хорош и позволяет добиться высоких результатов, которые порой могут превосходить аппаратные ускорители, но он неуникальный и неинновационный.

Подведем итоги

Отличие NGFW от UTM есть, и переход к новому поколению межсетевых экранов действительно был. Для большинства сетевых инженеров самый главный критерий NGFW — параллелизация процессов обработки трафика либо на уровне операционной системы, либо с использованием специализированных аппаратных ускорителей и сопроцессоров. 

Однако важно четко понимать, что у одних производителей такой прорыв действительно был и продолжается, а у других — это исключительно достижение маркетологов.