UTM設備的急速發展，在美國市場的市場份額已經超過了防火墻。在國內市場，單純的防火墻也顯現出市場份額逐步降低的趨勢。尤其是進入2009年以來，這個趨勢更加明顯，越來越多的用戶開始選擇UTM，或者從防火墻升級到UTM，來為自己的網絡提供更深層次、更具管理性且更全面的防御能力。

用戶在選擇防火墻時，依照吞吐量、并發連接數等數據標準參考，基本上不存在設備選型的困難。由于各個廠家對于UTM的技術實現方式各不相同，甚至有些廠家將防火墻進行簡單包裝，就打著UTM的旗號大肆宣傳，迷惑用戶對UTM的選型。

l 傳統UTM問題重重

傳統的UTM解決方案在命名、性能、吞吐量、冗余和管理上存在的種種問題。實際上是將幾種不同的產品封裝在一個盒子里，沒有考慮太多有關產品集成或冗余堆積的問題，由此會導致對數據流量進行兩次、甚至三次的檢測，從而嚴重降低了網絡傳輸的性能。對于網絡流量大的企業來說，這類產品并不實用。

如今，IDC又提出了代表七層融合安全的下一代安全網關——X-UTM，用戶又該如何選擇?

根據IDC的X-UTM技術標準，安全產品在全功能打開情況下，不僅要完成HTTP的大包處理，而且要完成各種網絡應用協議的小包處理，在此基礎上單個端口吞吐量仍然可以達到1Gbps，再加上其具有的高可用性(會話級別切換)、多安全區域等功能，從而可以從技術上保證企業用戶關鍵應用的安全實現。

對X-UTM而言，其誕生的意義源于安全，其首要標準就是“管理網絡層，控制應用層”。維護從網絡到應用的安全體系，成為了X-UTM的價值所在。如何判斷一款安全設備是合格的X-UTM設備，以及如何根據實際需求來選擇合適的X-UTM。

l 合格X-UTM的三大指標

根據IDC和Fortinet的設計要求，一款合格的X-UTM設備，其處理引擎必須具備分類處理的能力，比如針對HTTP實現處理吞吐500Mbps、SMTP 400Mbps、POP3 300Mbps。

因此，所謂幫助用戶實現應用層安全，就是要使安全設備符合真正互聯網流量的體系結構，而不是單獨做一個Web安全網關。要回答這個問題，一般來說需要從功能、管理和管控三個方面進行考量。

第一，豐富的功能

有的廠家推出的產品雖然號稱UTM，但只是在傳統防火墻上通過硬件耦合的方式添加了防病毒功能，或者僅僅能夠抵御網絡層的DoS攻擊而不具備入侵防御功能，在本質上仍然是防火墻的有限增強，所能滿足的用戶價值也是有限的。

X-UTM對用戶來說，作為一種網關產品，X-UTM需要處理的東西很多。總結當前各種新興安全設備可以發現，單純的Web防火墻、上網行為管理、HTTP過濾網關等設備，其核心都是在保護Web，這些設備不需要考慮DNS、VoIP，它們都屬于應用層的專項安全產品。

同時，X-UTM還需要能夠提供完全的IP安全審計。通過對病毒、Web過濾、垃圾郵件等等模塊的日志審計報告的分析，系統需要能夠完全體現出這些七層威脅，包括對數據還原的支持。對于企業管理員來說，信息泄露、BBS信息都要能夠完整地被還原。

第二，可定制的管理

無論是UTM，還是代表下一代安全網關的X-UTM，由于支持眾多的安全特性，X-UTM的系統管理面臨很大的挑戰。如何將防火墻、VPN、防病毒、入侵防御、反垃圾郵件這樣眾多的功能有機地結合起來，使其既能方便配置，又能更好地協同工作，是UTM的系統管理要解決的首要問題。易用性是UTM系統管理最基本的要求，除此之外，還必須考慮到對病毒和入侵防御特征庫的升級更新、集中部署等情況的支持。

同時，如何讓用戶去習慣系統，將其變成自己的東西，而不是混雜地去被動接受，這是很重要的。而且這個定制化的體系，必須具備豐富性的特點。比如針對防病毒，需要支持流行的協議，如FTP POP3 Web 2.0 IM等等，還要考慮不同的端口、文件的大小限制、超時如何處理、文件類型識別等多種情況，系統必須支持靈活的配置。

而在Web過濾方面，安全廠商必須有一個服務系統，幫助用戶去識別全球不同類型的網站，主動幫助用戶去進行分析，才能體現自身的服務優勢。如果僅僅自己寫一個地址、域名，根本就不符合X-UTM的初衷。因為根本達不到幫助用戶真正屏蔽有害網站的效果。要知道，當前越來越多的網站隱藏性都很強，需要專業公司的技術幫助。

第三，策略化管控

根據Fortinet的統計，一個中等規模的企業，其網絡流量分配比例大致為：25%的HTTP封包，75%的UDP、DNS、IM、視頻等應用。不難看出，HTTP協議僅僅是網絡中的一部分，大量的基礎網絡協議和應用都需要X-UTM提供周到的保護。對于中小企業，可能選擇具有二三十兆轉發性能的UTM產品就已足夠，而對于大型企業或運營級用戶，則需要幾百兆甚至G比特的處理能力。

X-UTM對企業而言，由于要管理的范疇大得多：企業用戶訪問互聯網需要管控、企業的OA資源需要保護、企業內部VPN網絡需要保護，甚至是企業內部的每一個個體都需要保護。

比如像Web過濾，里面有大量的特性，X-UTM需要根據用戶的群組、不同用戶的角色分配，判定哪些用戶可以訪問哪些資源，哪些用戶不能訪問哪些資源，或者通過特殊的策略，靈活進行分配。

在集群管理方面，當在一個網絡中部署多臺X-UTM設備時，可以通過集中管理中心來對設備組進行配置，這樣經過一次配置，組內所有的X-UTM設備可以整體生效。

換句話說，不能說Web上有策略就是過濾，從Fortinet的經驗看，具體的分類標準——50類起步，沒有80類都不能算優秀?？梢钥闯?，X-UTM強調顆?；陌踩芾?，不能把所有結果丟給用戶，需要符合用戶的實際需求。