防火墙和utm的主要区别是什么？

防火墙（NGFW）与UTM本质上的区别：

先说说传统的安全设备：

入侵防御设备 IPS

应用安全防护体系不完善，只能针对操作系统或者应用软件的底层漏洞进行防护，缺乏针对Web攻击威胁的防御能力，对Web攻击防护效果不佳。缺乏攻击事后防护机制，不具备数据的双向内容检测能力，对未知攻击产生的后果无能为力，如入侵防御设备无法应对来自于web网页上的SQL，XSS漏洞，无法防御来自内网的敏感信息泄露或者敏感文件过滤等等。

Web应用防火墙 WAF

传统Web防火墙面对当前复杂的业务流量类型处理性能有限，且只针对来自Web的攻击防护，缺乏针对来自应用系统底层漏洞的攻击特征，缺乏基于敏感业务内容的保护机制，只能提供简单的关键字过滤功能，无法对Web业务提供L2-L7层的整体安全防护。

传统的“串糖葫芦式的组合方案”

由于防火墙功能上的缺失使得企业在网络安全建设的时候针对现有多样化的攻击类型采取了打补丁式的设备叠加方案，形成了“串糖葫芦”式部署。通常我们看到的网络安全规划方案的时候都会以防火墙+入侵防御系统+网关杀毒+……的形式。这种方式在一定程度上能弥补防火墙功能单一的缺陷，对网络中存在的各类攻击形成了似乎全面的防护。

但在这种环境中，管理人员通常会遇到如下的困难：

一，有几款设备就可以看到几种攻击，但是是割裂的难以对安全日志进行统一分析；有攻击才能发现问题，在没有攻击的情况下，就无法看到业务漏洞，但这并不代表业务漏洞不存在；即使发现了攻击，也无法判断业务系统是否真正存在安全漏洞，还是无法指导客户进行安全建设；

二，有几种设备就可以防护几种攻击，但大部分客户无法全部部署，所以存在短板；即使全部部署，这些设备也不对服务器和终端向外主动发起的业务流进行防护，在面临新的未知攻击的情况下缺乏有效防御措施，还是存在被绕过的风险。

传统的有缺陷，所以升级版UTM与NGWF怎么样呢？

这种设备的理念是将多个功能模块集中如：FW、IPS、AV，联合起来达到统一防护，集中管理的目的。这无疑给安全建设者们提供了更新的思路。

事实证明国内市场UTM产品确实得到用户认可，据IDC统计数据09年UTM市场增长迅速，但2010年UTM的增长率同比有明显的下降趋势。这是因为UTM设备仅仅将FW、IPS、AV进行简单的整合，传统防火墙安全与管理上的问题依然存在，比如缺乏对WEB服务器的有效防护等；另外，UTM开启多个模块时是串行处理机制，一个数据包先过一个模块处理一遍，再重新过另一个模块处理一遍，一个数据要经过多次拆包，多次分析，性能和效率使得UTM难以令人信服。Gartner认为“UTM安全设备只适合中小型企业使用，而NGFW才适合员工大于1000人以上规模的大型企业使用。”

NGWF功能已经相当完备，然而不同的厂家生产的设备性能也不一样。大部分下一代防火墙只能看到除web攻击外的大部分攻击，极少部分下一代防火墙能够看到简单的WEB攻击，但均无法看到业务的漏洞。攻击和漏洞无法关联就很难确定攻击的真实性；另外，大部分下一代防火墙防不住web攻击，也不对服务器/终端主动向外发起的业务流进行防护，比如信息泄露、僵尸网络等，应对未知攻击的方式比较单一，只通过简单的联动防护，仍有被绕过的风险。

总结：个人觉得下一代防火墙需要把各模块（IPS、AV等）做到逻辑上也是一台设备，可以智能化的关联分析。而不是目前很多UTM看起来一台设备有很多模块，但各种模块之间都是割裂的。