Fortinet CTO談次世代防火牆：UTM不死 轉型成IDC Firewall

近年來，因為效能整合問題，有越來越多大企業選擇採購次世代防火牆（NGFW）取代UTM。

而曾經盛極一時的UTM產品，已經走到窮途末路了嗎？的確有不少企業即便採購UTM產品，往往因為效能考量，只啟用其中一或二種安全模組，其餘資安防護功能預設關閉。但這樣的作法則失掉資安業者推出UTM產品問世的原意。

根據IDC今年3月針對2013年第四季資安設備市占率及出貨調查顯示，兼具多功能的UTM產品因為Target等大量資料外洩的事件，銷售有大幅的成長，但市占第一名的思科，因為併購次世代防火牆業者Sourcefire，仍囊括資安硬體設備將近2成（18.1％）的市占率。

對於打造市面上第一臺UTM（Unified Threat Management，整合式威脅管理）產品資安業者Fortinet，該公司創辦人兼技術長謝華認為，UTM的確面臨次世代防火牆的衝擊，Fortinet雖然在資安硬體市場的表現上，整體市占排名第三名（僅次於思科和Check Point），但為了迎戰下一波的資安攻防賽，Fortinet也已經做好公司和產品轉型的準備。

謝華和兄長謝青在2000年共同創辦Fortinet之前，也是Netscreen的軟體總監以及軟體架構師，創辦Fortinet之後，產品技術與架構設計主力都在謝華身上，並擁有該公司產品引擎主要的專利。以下為iThome在加拿大溫哥華專訪謝華的內容。

問：越來越多大企業採購次世代防火牆取代UTM， UTM還有存在的價值嗎？

答：當年UTM問世，解決許多企業必須同時購置多臺閘道端資安防護設備，才能做好企業內網安全防護的問題。這樣的產品設計也受到IDC肯定，引領一波UTM產品發展風潮。

只不過，資安產業要回應駭客攻擊速度，只要產業反應速度不夠快，就會給其他資安新創公司和產品新的發展空間。

UTM因為啟用多種資安模組導致設備效能不彰，尤其面對網路第七層的各種新型態威脅，像是應用程式控管等，也讓偏重網路第三層資安防護功能的UTM束手無策。當時，許多有預算採購高階資安設備的大型企業，則都採購次世代防火牆藉此強化應用程式的控管功能。

問：那是不是說，UTM受到市場唾棄，已經沒有繼續存在的價值了？

答：其實不是。隨著晶片設計和處理器效能提升，加上補足網路第七層應用程式控管模組的功能，UTM產品逐漸成為中小企業和許多零售服務業者，在閘道端資安防護產品的第一選擇。

「麻雀雖小、五臟俱全」是企業對UTM產品最好的形容，尤其是零售連鎖通路，單一分店的規模不算大、但累計總數卻是大量的情況則更常見。

因此，這類連鎖或中小型企業，最常採購兼具多種防護功能模組的UTM產品，作為各地分店或規模較小企業的閘道防護設備。

問：如果UTM現在鎖定中小企業為主，是不是表示，UTM最適合作為資安入門和中階產品？那下一步的產品轉型為何呢？

答：中小企業鎖定UTM產品，較大型企業採用次世代防火牆產品，是基於功能需求與採購能力做的選擇，但這並不意味UTM產品已經放棄高階資安防護產品的市場。

反倒是，為了對抗更多元複雜的駭客攻擊，兼具多種防護功能的高階效能閘道端產品，也逐漸成為某些產業的首選，例如電信或者是機房業者，則採購高階的UTM產品（號稱IDC Firewall）作為主要的防護設備。

問：所以說，UTM這項產品還會持續存在？

答：沒錯，UTM產品不死，不僅是中小企業和許多連鎖服務業者首選的閘道端產品，UTM產品本身也會有新一代的產品轉型，更高效能的UTM產品則成為電信或機房業者面對高流量、更複雜攻擊類型的IDC Firewall產品。

預計在今年第四季推出的FortiGate-3810D，就是該公司UTM產品轉型IDC Firewall的代表，不僅內建100GbE的網路通訊埠接口，網路流量吞吐每秒更超過300Gb。

問：那UTM產品有能力對抗目標式攻擊的APT（進階持續性威脅）資安威脅嗎？

答：資安業者對抗APT攻擊，紛紛採用沙箱（Sandbox）技術，利用在沙箱模擬電腦執行的環境，檢視這些惡意程式是否會被觸發危險的行為。

對Fortinet而言，目前已經將專屬的沙箱技術FortiSandbox，率先應用在針對電子郵件偵測防禦的FortiMail產品上，也可以作為UTM產品FortiGate的選購模組，作為企業防禦APT攻擊的防線。

問：Fortinet能從UTM產品轉型，有什麼關鍵嗎？

答：超過200名資安研究員的資安研發中心FortiGuard Labs，豐富且即時的資安情資，是該公司產品防禦效能的重要關鍵。

問：Fortinet有多少個資安研發中心？每年的研發經費多少？有不同定位嗎？

答：Fortinet主要的資安研發中心以加拿大和美國為主，有62％的研發人員都位於加拿大，美國其次（17％）、中國第三（14％），其他設有研發中心的國家還包括法國、日本和馬來西亞等。至於研發費用，以2013年為例，研發費用為4.48億美元，占整體經費的16.7％。

其中，在加拿大的資安研發人員超過200人，除了人數最多外，所有的資安研究以及病毒特徵碼的蒐集與檢測，都以加拿大為主；而所有資安威脅研究與報告也都以加拿大的FortiGuard Threat Research and Response為主；至於美國，專注在Fortinet自行研發的ASIC晶片研究。

問：Fortinet資安研發中心和其他同業的差異為何？

答：「Size does matters！」Fortinet目前的研發規模比其他資安公司大，也讓Fortinet可以在防毒以及資安技術上有更多投入與領先。Fortinet從公司成立迄今，並不像其他資安設備廠商和第三方防毒軟體業者合作，因為有足夠的研發人力，迄今已經擁有超過120TB個病毒樣本，比Virus Total還多，成為公司寶貴的資產之一。

問：這對Fortinet的產品帶來何種效益？

答：Fortinet推出第一款UTM產品就是整合了包括防火牆、防毒牆、防垃圾郵件以及其他功能模組在內。因為是採用自家蒐集與偵測的病毒資料庫，病毒的即時偵測能力就掌握在自家研發人員手中，可以確保一定的偵測速度和品質。

不只在防毒特徵碼的偵測速度，包含其他防垃圾郵件以及威脅情報分析等，透過全球20萬個客戶、佈署在網路上超過160萬個Fortinet設備，都可以在第一時間掌握全球最新的威脅情資，並透過研究人員的即時分析，得到最即時的答案與最適切的解決方式。

問：接下來還有哪些嚴重、必須提前預防的資安威脅出現呢？

答：UTM轉型成IDC Firewall就是因為網路流量越來越大、威脅越來越複雜，必須更有效的即時面對與處理網路威脅，資安業者才推出這樣的高階產品。

隨著軟體定義一切的趨勢逐漸成熟，包括軟體定義網路（SDN）的應用，可以將原本只有30～40％的網路頻寬使用率，提升3倍的實際案例越來越多，企業不僅將意識到，SDN技術改變了電腦使用的邊界，也改變機房伺服器存取的方式，這種新型態的網路架構將成為資安業者下一波必須關注的資安風險。

問：除了要防範SDN帶來的風險，還有其他的嗎？

答：包括無線網路（Wi-Fi）和物聯網（IoT）帶來的資安風險也不可不慎。因為無線和手機網路的應用越來越普及，有更多原本不連網的設備，搭配小但效能好的各種新型態處理器（例如ARM等），讓原本產品走向IP化。所有東西，甚至連公車站牌都IP化後，如何控管這麼多的裝置設備安全，是資安業者無法忽視的趨勢。

無線網路的風險從過去、現在甚至是未來，並沒有隨著時間的改變而有所減緩，反而因為網路頻寬越來越大、資安威脅越來越多、網路攻擊越來越複雜，而更難有效防禦。