在應用安全網關產品的投標中，往往可以看到UTM，上網行為管理，防病毒網關，Web安全網關這幾類的產品。一個企業的公開招標，可以看到有至少10家不同類型的廠商參與投標。用戶會產生很大的困惑，究竟什么樣的產品才是最符合需求呢？在下面的內容里，將從網絡安全的發展角度、用戶的需求偏重點、功能、性能等幾個方面做具體的探討。

網關安全產品的由來以及發展趨勢

　　如果說路由器實現了企業內部網與Internet的互聯互通，那么網絡層防火墻就是企業內部網與Internet互聯互通上的過濾崗哨，它根據數據包的性質（數據包的性質有目地和源IP地址、源和目的TCP/UDP端口、TCP包的ACK位、出站和入站網絡接口等。）進行包過濾，主要發揮在網絡層的訪問控制保障作用。

　　網絡層防火墻在20世紀90年代推向市場，設計策略遵循安全防范的基本原則是“除非明確允許，否則就禁止”。為了實現企業內部網與Internet的互聯互通，以滿足企業基本Internet應用的需求，通常網絡層防火墻對外開放了80、443、25、110和21等http、https、smtp、pop3和FTP這幾種協議常用的標準端口。

　　然而，如今隨著網絡技術的發展，80、443、25、110和21端口不再僅僅是常用的http、https、smtp、pop3和FTP等應用協議使用的專利，越來越多的應用可以自動掃描防火墻的開放端口進行通信，例如IM、P2P、流媒體、網絡游戲、網絡炒股等Internet應用，同時網絡威脅的散布與攻擊技術也不再限于網絡層，而上升到基于http、https、smtp、pop3和FTP等應用協議的數據包中。這樣一來傳統網絡層防火墻基于數據包性質的過濾規則，就沒法檢測數據包的內容，也就無法分析檢測過濾出其中的網絡應用威脅。

　　為了防御網絡層防火墻通常所開放的這5個常用Internet應用協議所帶來的網絡威脅，像木馬、病毒、間諜軟件等，出現了防病毒網關（這是國內的叫法，國外叫Anti-malware網關）。同時出現的還有上網行為管理產品，對IM，P2P，流媒體，網絡游戲，網絡炒股、web2.0站點等加以管控，他的強項在于對于網絡應用的管理，而并非防御網絡應用威脅。

　　Web安全網關最早出現是在防病毒網關的基礎上增加了對URL的分類過濾，主要實現對http、https、FTP、SMTP、POP3等應用協議的安全與web內容的過濾管控。隨著Internet應用技術的發展變化，為了實現全面的Internet應用安全與管理，web安全網關在防病毒的基礎上又集成了應用控制、帶寬管理等上網行為管理類產品的大部分功能。除了上面應用層的網關廠商，傳統的防火墻廠商也在拓展其功能。在傳統的網絡層訪問控制的基礎上增加了網絡應用的識別與管控，具有了應用控制、帶寬管理甚至URL過濾等功能，叫法也變成了應用防火墻。

　　功能最全面的應用網關是UTM，它包括網絡層防火墻、垃圾郵件過濾、IPS、防病毒，URL過濾、應用控制和帶寬管理等一系列的功能。但是，面對以上眾多功能有相互融合和滲透的產品，用戶該如何選購？

　　大企業的選擇——偏重于安全

　　金融，運營商等大型企業的辦公與業務系統對安全非常重視，因為木馬，間諜軟件植入企業內部的主機或者終端會對企業造成無法彌補的危害和經濟損失，所以他們通常都有較完整的網絡安全防護架構，防火墻中啟用的訪問控制策略也比較多，在這種情況下用戶只需要增加對必須開放的端口以及應用協議進行防護。

　　例如郵件與Web應用，郵件有專門的郵件安全網關，web需要web安全網關或者防病毒網關。雖然UTM設備里面有郵件安全與web安全的組件，但是防護效果不一定滿足這類用戶的需求。例如對于防病毒的功能，大企業用戶首要關心的是性能，其次是查殺防護效果，即識別率，最后還關心增強的功能，是否支持多種協議，是否具有多種部署方式等，當然功能上至少支持http，https，pop3，smtp，ftp這5種應用協議的掃描過濾。

　　性能是否滿足，一上線就能體現，同樣對這類用戶性能滿足的同時，過濾防護效果也非常重要。因為全球每年產生的malware數量會超過500萬個，設備中內置的特征庫應該可以找到至少500萬個樣本，這樣才能保證識別1年內的所有威脅。犧牲特征數量，可以大幅提升性能，但卻不能做到有效的防護。通常UTM設備會放2萬個左右的特征，最多找到100萬左右的樣本。這樣的樣本數量相當于專業病毒廠商4個月左右的樣本數量。所以大型企業用戶通常會選擇專業的防病毒網關或者web安全網關。

　　Web安全網關與防病毒網關實現的安全部分功能非常類似，但是web安全網關還增添了Internet應用接入的管控功能。對上網行為會作相應管理與控制，這些都可以輔助加強企業的網絡安全。例如對IM進行控制，同樣可以阻斷病毒的一部分傳播渠道。

　　小企業的選擇——偏重于管理

　　小企業并不是不重視安全，只是為了做到安全而采購防火墻，IPS，防病毒網關，郵件安全網關等一系列產品，投資與潛在風險危害不成比例，性價比不高。所以小企業更愿意選擇管理類的上網行為管理與綜合類的UTM。

　　對于小企業的管理者或者網管人員，很容易看到上網行為管理產品的效果。可以迅速提高生產力與實現帶寬的優化。同樣UTM產品也是不錯的選擇，因為企業可以得到更多的功能而只花很少的費用。而且通常小企業用戶數有限也不會碰到性能的瓶頸。當然也需要UTM廠商集成優秀廠商的病毒引擎，病毒庫，垃圾郵件引擎，URL引擎與數據庫，這樣可以給小企業用戶提供更完美的體驗。

安全網關產品分析

　　性能方面，讓我們拋開產品的界限，以不同的應用功能來做其重點性能的分析：

　　網絡層防火墻，性能體現在tcp連接與udp轉發，目前市面上最高端的性能已經高達10G，因為在底層轉發使用了專有芯片或網絡處理器來加速。

　　帶寬管理，性能瓶頸在于udp包轉發，在此基礎上要對協議進行識別，對于普通企業來說，1G的帶寬管理已經足夠。

　　URL過濾，性能瓶頸在于http proxy的處理速度，經過優化之后最好的設備可達線速。

　　網關防病毒的性能瓶頸在于基于特征的掃描與http的并發連接，通過硬件的掃描加速可以實現http 1G基于特征的掃描和實際環境中4萬左右的http并發。

　　以上每個功能單獨做到極致都會沒有辦法處理其他功能，但市面上優秀的web安全網關，例如安啟華的web安全網關設備在千兆網絡環境中可以啟用多種功能，這對于大企業來說完全滿足需求。

　　功能方面，帶有安全功能的是UTM與防病毒網關、web安全網關。帶有管理功能的是UTM、web安全網關與上網行為管理網關。安全通常帶有全球的特性，所以國際廠商通常從安全入手，增加管理功能滿足用戶需求。管理帶有明顯區域特性，所以通常國內廠商會占有更高的份額，因為對區域性的應用能夠及時更新與控制。既做到全球性的安全，又做到區域性的管理功能是每個廠商追求的目標，只有市場才可以真正檢驗。

總結

　　需求的多樣性導致了產品的復雜性，沒有一成不變的產品與廠商。在每個領域，市場只會記住幾個主要的名字。對于企業用戶，拋開各個廠商的建議，首先要分析自己的網絡需求，安全還是管理或者是兼而有之。如果選擇安全，如何量化安全的程度，參考同行業的選購或者從實際環境的使用比較都是明智的選擇。盡量選擇每個領域最領先的產品，這是對投資最好的保護。