【51CTO.com 綜合消息】近年來，隨著安全技術的發展和安全意識的提升，能夠綜合防范多種網絡威脅的UTM產品正逐漸得到廣大用戶的青睞。

國內外大小廠商也都乘勢殺入了這個市場。X-Firewall、云火墻、XTM、UTM2，多少概念欲迷人眼；多核架構、硬件加速、千兆、萬兆，無數性能試比高低。在這個紛亂的市場，用戶如何能夠選擇到符合自己需求的UTM產品呢？通過這幾年對各廠商UTM產品的了解、測試和使用，我們總結了一些心得。

首先，我們需要確認，是為了核心網絡還是為了普通網絡進行采購。如果是核心網絡，對安全產品的首要要求是高性能和高穩定性，選擇UTM產品也許并不合適。而普通網絡，特別是分支機構網絡，對安全產品的首要要求是綜合防護能力和易用性，選擇UTM產品則是明智之舉。

區分核心網絡和普通網絡，根據每個用戶實際情況的不同，可能有各種不同的判斷標準，如大型數據中心，總部信息中心等。從經驗上看，我們也可以暫時的用實際流量進行簡單劃分。通常實際流量能達到500M以上的，就可以劃分為核心網絡了。

然后，我們需要考慮，我們到底需要什么樣的功能組合？在考慮功能組合時，最好能夠遵循只有必須在網關上完成的功能才在UTM中進行考慮的原則，以盡量的提高部署UTM后整個網絡的可用性。在這個原則下，防火墻+IPS+AV應該是最基本的要求。然后從加強內部管理出發，上網行為管理和流量控制也是比較有用的功能。在有需要的場合，將VPN（包括IPSEC VPN和SSL VPN）放在UTM中也比較適合。

而某些廠商宣傳的抗DDoS攻擊、反垃圾郵件和內網終端管理則不宜于整合進UTM之中。UTM主要還是應該工作在多數流量正常的環境之中，僅需要具備抵御常規攻擊的能力即可。對抗DDoS這種大規模攻擊手段，應該交給專業的抗攻擊設備或者應急響應服務來解決。而專業的抗攻擊設備也通常都是采用牽引方式旁路處理，而不是放在網關處。

至于反垃圾郵件，盡管目前多數的UTM設備都支持此功能，但這是一個明顯的可以不在網關處進行考慮的功能。而內網終端管理這功能放進UTM中則幾乎是一個宣傳的噱頭了。UTM完全可以去和終端管理系統聯動來做諸如準入一類的功能（其實用802.1x和交換機聯動更好，不過不是所有交換機都具備此功能）。但是終端管理功能，顯然違背了能不在網關上工作的功能就不在網關上作的原則，加重了網關的工作壓力。更何況還存在著整個網絡被某臺異常的終端拖垮的風險。

因此，在不考慮硬件性能瓶頸的時候，較好的UTM功能組合應為：FW+IPS+AV（主要處理網絡病毒，文件病毒交給防毒軟件）+應用管理+流控+VPN（IPsec和SSl）。

考慮到硬件性能和預算限制時，可以根據需要，先把VPN（特別是SSL VPN）和流控去掉，看看是否能夠滿足硬件性能和預算限制；如果還不行，再把應用管理劃掉；再不行則犧牲AV功能。

除以上功能外，好的UTM產品還應具備良好的易用性。例如在設備故障時保證網絡不中斷的硬件Bypass能力，根據用戶需求利用預設模塊進行策略快速切換的能力，在大規模部署時的集中管理能力等等。在我們接觸過的眾多產品中，提供了“一鍵配置”的某廠商設備給我們留下了深刻的印象。其設備上設置了高中低3個按鈕，通過觸按按鈕，可以直接在預設的策略模板中進行切換。

例如在部署某個新應用或者進行網絡調整時，切換至全通策略；在面對上級檢查或者緊急情況時，切換至只允許特定應用通過的策略等，都可以通過設備上的按鈕直接切換，而無需再進入配置界面進行調整。特別的適合于大規模部署時的應用。

再來看性能。目前廠商的產品規格中多按照防火墻、IPS、AV等各種功能模塊進行單獨的性能標注。此時，我們需要向廠商確定，其標注的性能參數是只打開該項功能時的數據還是功能全開時的數據。市面上有不少的產品，如果只當一個單獨的防火墻或者IPS或者AV網關使用時，可以樣樣精通；但是一旦功能全開，則樣樣稀松。從實用出發，在選擇產品時應要求廠家提供功能全開（至少是防火墻+IPS+AV同時打開）時性能數據，并在采購合同中予以約束。

鑒于廠商有時迫于宣傳和競爭的需要提供的是理論上的最高性能，有條件的客戶最好能夠采用測試儀先進行一下性能測試。

由于Smartbizs、IXIA等標準測試儀的出現，現在對諸如UTM此類的網絡產品進行性能測試是一件很簡單的事情。但在具體測試過程中，應注意以下要點。

1：64-1518字節的UDP吞吐測試僅能證明設備的網絡層吞吐能力，對于UTM這樣的設備，還應該做讀取32k頁面的HTTP吞吐測試，以驗證其應用層性能。

2：如果有技術能力的，在測試時最好不采用測試儀默認的數據包，而是重新自行構造。

3：應在加入一定背景流壓力（至少維持5萬以上并發連接）時進行入侵檢測和防病毒的檢測率測試。

4：盡可能采用市場抽樣的方式獲得被測設備。如果是廠商提供的，應進行封樣，并與最終采購產品進行詳細的比對。

5：順序做功能測試和性能測試。要求廠商工程師在測試開始前完成配置工作，一旦測試開始，在整個測試過程中絕對不允許廠商對設備再進行操作。

認清需求選功能，嚴格測試定性能。希望每位用戶都能選到符合自己需求的網絡安全產品。

【編輯推薦】

1. 貴公司安全措施失效的五個原因
2. Red Hat Enterprise Linux4.0功能與安全
3. 安全使用RedHat Linux系統
4. Red Hat PXE Server DHCP包遠程拒絕服務漏洞

【責任編輯：安泉 TEL：（010）68476606】