В чём разница между UTM, NGFW и USG
Производители называют свои устройства сетевой безопасности по разному: UTM, NGFW и USG. В них легко запутаться даже внимательному человеку. Маркетологи создали столько названий специально: так легче убедить клиента, что их устройство самое правильное и безопасное.
Разбираемся, есть ли различия в функционале и характеристиках этих устройств и стоит ли обращать внимания на название при выборе.

Расшифруем аббревиатуры:
UTM — Unified threat management, единое управление угрозами
NGFW — Next Generation Firewall, фаервол следующего/нового поколения
USG — UniFi Security Gateway, шлюз безопасности UniFI. Так называет свои фаерволы компания Ubiquiti
Термин UTM ввела консалтинговая компания IDC в 2004 году. С 90-х годов появились новые угрозы: спуфинг, фишинг, усилился DDoS.
Производители добавляли новые функции защиты в фаерволы.
Он контролирует внешний и внутренний трафик, а в трафике можно найти любые атаки извне и нарушение информационной безопасности. Например, ссылки в электронном письме, которые ведут на подставной сайт или сигнатуры вирусов.
У первых UTM-устройств были 2 большие проблемы:
Единственный процессор отвечал за все функции безопасности.
Трафик выгружался на HDD, потому что не хватало оперативной памяти. Жёсткий диск ограничивал скорость обработки трафика 100 Мбит/с.
Если в компании передаётся 10 Гбит/с, то UTM превращался в обычный фаервол, которого хватает только на маршрутизацию.
NGFW-traffic-processing-scheme
Фаервол применяет политики к трафику, затем дешифрует его, потом работает антивирус, работа с приложениями и остальные функции по цепочке. Каждая включённая функция снижает производительность

В 2008 году Palo Alto Networks выпустила фаервол, которой контролировал доступ пользователя к приложениям и обрабатывал трафик на нескольких процессорах одновременно.
Гартнер и Palo Alto назвали его NGFW — фаервол следующего поколения
и начали активно рекламировать, что он лучше защищает чем UTM. Гартнер даже выпускал два разных магических квадранта с аналитикой рынка: отдельно по NGFW и отдельно по UTM.
Сейчас объём трафика такой, что один процессор не обработает его — ни в UTM, ни в NGFW.
А в 2018 году Гартнер перестал разделять рыночные сегменты UTM и NGFW.
Его квадрат теперь называется Enterprise firewall и объединяет всех производителей.
В 2020 году разницы между UTM, NGFW и USG нет. Разделение условно, потому что у них:
Одинаковые функции
Одинаковая обработка трафика на всех уровнях ОSI
Модельный ряд для компаний любого размера

 

 



Сравним по этим пунктам UTM и NGFW от разных производителей. Для примеров мы взяли по устройству из каждой группы: UTM Sophos SG Series и NGFW Fortinet FortiGate.
Разберём функции безопасности UTM и NGFW:
UTM: Sophos SG Series
Network Firewall
NAT
IPSec/SSL
VPN
IPS, DoS Protection
URL Filtering
Application Control
Dual Engine Antivirus
Antispam
Email Encryption and DLP
Wireless Controller
Reverse Proxy
Cloud-based Sandboxing
Multi-SSID Support
Captive Portal
Web Application Firewall
NGFW: Fortinet FortiGate
Firewall
Routing/NAT
IPSec/SSL
VPN
IPS & DoS
Web Filtering
Application Control
Antivirus
Antispam
Email Filtering
Wireless Controller
Explicit Proxy
FortiSanbox Cloud
SD-WAN
L2/Switching
Device Identification
Policy Modes
SSL Inspection
Anti-Malware
Одни и те же функции с разными названиями. Взяты из официальных даташитов

По функционалу UTM и NGFW одинаковы. Рассмотрим другие особенности.
NGFW Fortinet и UTM Sophos обрабатывают трафик на нескольких процессорах одновременно. Sophos использует чипы Интел, а Fortinet — чипы ASIC NP7, CP9 и SOC4, собственные разработки компании. Подробнее о них можно узнать
в большой статье: Полное руководство о FortiGate.
Количество моделей. В 2010-х годах Gartner занимал позицию, что UTM подходит для малого и среднего бизнеса, а NGFW — для корпораций с большим объёмом трафика. Сравним младшие и старшие модели сейчас.
У UTM Sophos старшая модель SG 650. Её пропускная способность в режиме IPS 16 Гбит/с. Наиболее близкая модель у Fortinet — 1800F. В режиме IPS выдаёт 13 Гбит/с. Этого достаточно для обслуживания головного офиса на 500–700 человек.
UTM-Sophos-SG650
Sophos SG 650. 2 места в стойке, модульная архитектура — заглушки на передней панели меняются на блоки сетевых интерфейсы, которые нужны в сети

NGFW-Fortigate-1800F
FortiGate 1800F. Тоже двухстоечное исполнение, набор сетевых интерфейсов для установки в ЦОД

У Fortinet есть и шкафы на 6 мест в стойке, разработанные специально для провайдеров, но мощности таких устройств нужны лишь ограниченному количеству компаний. Например магистральным провайдерам.
Возьмём младшие модели в настольном исполнении: SG 105 у Sophos и FortiGate 60E у Fortinet. Обе модели имеют Wi-Fi модуль, и гигабитные порты RJ45.
Пропускная способность в режиме IPS составляет 350 Мбит/с для SG
105 и 400 Мбит/с для FortiGate. Если запутались, где UTM, а где NGFW — значит маркетологи вас не обманули. Разницы действительно нет.
Сетевые интерфейсы и исполнение Sophos SG 105
Fortinet FortiGate 60E. Суммарно 10 гигабитных портов, USB и Wi-Fi

Сетевые интерфейсы и исполнение Fortigate 60E
Fortinet FortiGate 60E. Суммарно 10 гигабитных портов, USB и Wi-Fi

Ещё раз различия UTM и NGFW в таблице:
UTM NGFM
Функции ИБ: IPS, DLP, Антивирус, VPN и т. д. done done
Обработка трафика на 7-м уровне OSI done done
Несколько процессоров done done
Модель для офиса на 10 человек done done
Модель в ЦОД на 700 человек done done
Мы считаем, что не имеет смысла плодить лишние сущности: достаточно использовать название NGFW везде.
Этого же подхода придерживаются все вендора: Fortinet, Cisco и Check Point раньше выпускали UTM-устройства, а потом переименовали их в NGFW.

Функции безопасности NGFW
Функции безопасности одинаковые во всех NGFW:
DPI
IDS/IPS
Антивирус
DLP
Фильтрация по URL
VPN
Инспектирование SSL
Антиспам
Application Control
Web Application Firewall
Аутентификация пользователей
Sandboxing
Gartner называет главным отличием NGFW от предыдущих поколений фаерволов функцию глубокой проверки пакетов (DPI) на уровне приложений, а не только в рамках инспекции портов и протоколов

NGFW включает встроенное средство предотвращение вторжений (IDS/IPS). Оно блокирует вредоносный трафик в режиме реального времени на основе сигнатур. Информация о новых угрозах обновляется в базе и поступает на устройства NGFW за 10–60 минут.
IPS работает по принципу «запрещено все, что не разрешено»: если приложение не идентифицировано или выполняет нетипичные для него действия, оно будет заблокировано.
Антивирусные сигнатуры для NGFW обновляются также в онлайн-режиме. Трафик проверяется на наличие вирусов, шпионского ПО, троянов и червей.
Средство для предотвращение утечек данных (DLP) в NGFW отслеживает все потоки данных, которые выходят за пределы локальной сети. При обнаружении в потоке конфиденциальной информации, передача автоматически блокируется.
Однако его функции сильно обрезаны, по-сравнению с российскими разработками. Иностранный регламент по защите персональных данных (General Data Protection Regulation, GDPR) ограничивает возможности вендоров в создании таких DLP.
Мы рекомендуем не полагаться на эту функцию в NGFW, а сразу приобретать российские решения, например от InfoWatch.
Фильтрация URL по репутации позволяет автоматически блокировать скомпрометированные сайты, не загружая с них данные.
NGFW решения поддерживают виртуальную частную сеть (VPN), дешифрование и инспекцию SSL-трафика, предотвращает непрерывные атаки, обеспечивают защиту почтовых программ и позволяют настраивать антиспам.
Application Control отслеживает метки приложений, которые используются в сети. Если пользователь попытается запустить неизвестную программу, NGFW заблокирует запуск и уведомит администратора. По такому же принципу, только в отношении веб-приложений и сервисов, работает Web Application Firewall. Для ограничения действий внутри сети и контроля прав доступа используется аутентификация пользователей.
Для безопасного тестирования настроек и запуска непроверенных приложений, в NGFW можно настроить безопасную копию сети — «песочницу» (Sandbox).

Как выбрать NGFW с помощью Гартнера
Гартнер — большое аналитическое агентство, которое анализирует ИТ-рынок и собирает маркетинговую информацию по разным сегментам. На её основе Гартнер выпускает большие аналитические отчёты, даёт консультации и создаёт «квадранты Гартнера» — положение на рынке разных компаний относительно друг друга.
Место компании на графике отображают два показателя: по вертикали это финансовые и маркетинговые успехи компании, а по горизонтали — уровень развития технологий. На самом деле для анализа используется много показателей, но упрощённо деление такое.
Компании стремятся переместиться в верхний правый квадрант лидеров рынка.
В 2018 году Gartner объединил квадранты UTM и NGFW в единый Network Firewalls. Это значит, что компания, которая вместе с Palo Alto и развивала идею NGFW, не видит разницу между названиями.
Компания объяснила такой шаг тем, что некоторые вендоры представлены в двух квадрантах, а функционал UTM и NGFW совпадает.

В 2018 году было 4 лидера:
Fortinet
Palo Alto
Check Point
Cisco
Эти компании занимают 95% российского рынка фаерволов нового поколения. У них представительства компаний и склады в России, развитая сеть дистрибьюторов, гарантия и техподдержка.

Самые большие изменения произошли в 2020 году. На рынке корпоративных фаерволов осталось три лидера — Palo Alto, Fortinet и Check Point.
Cisco потеряла свои позиции и перешла в квадрат претендентов. Можно предположить, что выпущенный на рынок NGFW Firepower не оправдал ожиданий, оказался слабым с технической стороны и со стороны функций безопасности.
Это видно в сравнении с другими вендорами, которое мы приводим дальше в статье.
Fortinet улучшил свои технические показатели и уровень инноваций. Он вплотную приблизился к главному конкуренту на рынке NGFW — Palo Alto.
Palo Alto не успевает развивать технологии и Gartner это отражает перемещением компании влево. За 3 года на рынке видел регресс. Не такой серьёзный как у Cisco, но ощутимый, чтобы конкуренты могли догнать и перегнать компанию.
Check Point в 2020 году вырос по финансовым и технологическим показателям одновременно. Из всех компаний в квадрате Гартнера, это лучшее и самое сильное изменение.
Sophos теряет рынок. К сожалению компания и так слабо представлена в России.