【51CTO.com 綜合消息】近年來，隨著安全技術的發(fā)展和安全意識的提升，能夠綜合防范多種網絡威脅的UTM產品正逐漸得到廣大用戶的青睞。

國內外大小廠商也都乘勢殺入了這個市場。X-Firewall、云火墻、XTM、UTM2，多少概念欲迷人眼；多核架構、硬件加速、千兆、萬兆，無數(shù)性能試比高低。在這個紛亂的市場，用戶如何能夠選擇到符合自己需求的UTM產品呢？通過這幾年對各廠商UTM產品的了解、測試和使用，我們總結了一些心得。

首先，我們需要確認，是為了核心網絡還是為了普通網絡進行采購。如果是核心網絡，對安全產品的首要要求是高性能和高穩(wěn)定性，選擇UTM產品也許并不合適。而普通網絡，特別是分支機構網絡，對安全產品的首要要求是綜合防護能力和易用性，選擇UTM產品則是明智之舉。

區(qū)分核心網絡和普通網絡，根據每個用戶實際情況的不同，可能有各種不同的判斷標準，如大型數(shù)據中心，總部信息中心等。從經驗上看，我們也可以暫時的用實際流量進行簡單劃分。通常實際流量能達到500M以上的，就可以劃分為核心網絡了。

然后，我們需要考慮，我們到底需要什么樣的功能組合？在考慮功能組合時，最好能夠遵循只有必須在網關上完成的功能才在UTM中進行考慮的原則，以盡量的提高部署UTM后整個網絡的可用性。在這個原則下，防火墻+IPS+AV應該是最基本的要求。然后從加強內部管理出發(fā)，上網行為管理和流量控制也是比較有用的功能。在有需要的場合，將VPN（包括IPSEC VPN和SSL VPN）放在UTM中也比較適合。

而某些廠商宣傳的抗DDoS攻擊、反垃圾郵件和內網終端管理則不宜于整合進UTM之中。UTM主要還是應該工作在多數(shù)流量正常的環(huán)境之中，僅需要具備抵御常規(guī)攻擊的能力即可。對抗DDoS這種大規(guī)模攻擊手段，應該交給專業(yè)的抗攻擊設備或者應急響應服務來解決。而專業(yè)的抗攻擊設備也通常都是采用牽引方式旁路處理，而不是放在網關處。

至于反垃圾郵件，盡管目前多數(shù)的UTM設備都支持此功能，但這是一個明顯的可以不在網關處進行考慮的功能。而內網終端管理這功能放進UTM中則幾乎是一個宣傳的噱頭了。UTM完全可以去和終端管理系統(tǒng)聯(lián)動來做諸如準入一類的功能（其實用802.1x和交換機聯(lián)動更好，不過不是所有交換機都具備此功能）。但是終端管理功能，顯然違背了能不在網關上工作的功能就不在網關上作的原則，加重了網關的工作壓力。更何況還存在著整個網絡被某臺異常的終端拖垮的風險。

因此，在不考慮硬件性能瓶頸的時候，較好的UTM功能組合應為：FW+IPS+AV（主要處理網絡病毒，文件病毒交給防毒軟件）+應用管理+流控+VPN（IPsec和SSl）。

考慮到硬件性能和預算限制時，可以根據需要，先把VPN（特別是SSL VPN）和流控去掉，看看是否能夠滿足硬件性能和預算限制；如果還不行，再把應用管理劃掉；再不行則犧牲AV功能。

除以上功能外，好的UTM產品還應具備良好的易用性。例如在設備故障時保證網絡不中斷的硬件Bypass能力，根據用戶需求利用預設模塊進行策略快速切換的能力，在大規(guī)模部署時的集中管理能力等等。在我們接觸過的眾多產品中，提供了“一鍵配置”的某廠商設備給我們留下了深刻的印象。其設備上設置了高中低3個按鈕，通過觸按按鈕，可以直接在預設的策略模板中進行切換。

例如在部署某個新應用或者進行網絡調整時，切換至全通策略；在面對上級檢查或者緊急情況時，切換至只允許特定應用通過的策略等，都可以通過設備上的按鈕直接切換，而無需再進入配置界面進行調整。特別的適合于大規(guī)模部署時的應用。

再來看性能。目前廠商的產品規(guī)格中多按照防火墻、IPS、AV等各種功能模塊進行單獨的性能標注。此時，我們需要向廠商確定，其標注的性能參數(shù)是只打開該項功能時的數(shù)據還是功能全開時的數(shù)據。市面上有不少的產品，如果只當一個單獨的防火墻或者IPS或者AV網關使用時，可以樣樣精通；但是一旦功能全開，則樣樣稀松。從實用出發(fā)，在選擇產品時應要求廠家提供功能全開（至少是防火墻+IPS+AV同時打開）時性能數(shù)據，并在采購合同中予以約束。

鑒于廠商有時迫于宣傳和競爭的需要提供的是理論上的最高性能，有條件的客戶最好能夠采用測試儀先進行一下性能測試。

由于Smartbizs、IXIA等標準測試儀的出現(xiàn)，現(xiàn)在對諸如UTM此類的網絡產品進行性能測試是一件很簡單的事情。但在具體測試過程中，應注意以下要點。

1：64-1518字節(jié)的UDP吞吐測試僅能證明設備的網絡層吞吐能力，對于UTM這樣的設備，還應該做讀取32k頁面的HTTP吞吐測試，以驗證其應用層性能。

2：如果有技術能力的，在測試時最好不采用測試儀默認的數(shù)據包，而是重新自行構造。

3：應在加入一定背景流壓力（至少維持5萬以上并發(fā)連接）時進行入侵檢測和防病毒的檢測率測試。

4：盡可能采用市場抽樣的方式獲得被測設備。如果是廠商提供的，應進行封樣，并與最終采購產品進行詳細的比對。

5：順序做功能測試和性能測試。要求廠商工程師在測試開始前完成配置工作，一旦測試開始，在整個測試過程中絕對不允許廠商對設備再進行操作。

認清需求選功能，嚴格測試定性能。希望每位用戶都能選到符合自己需求的網絡安全產品。

【編輯推薦】

1. 貴公司安全措施失效的五個原因
2. Red Hat Enterprise Linux4.0功能與安全
3. 安全使用RedHat Linux系統(tǒng)
4. Red Hat PXE Server DHCP包遠程拒絕服務漏洞

【責任編輯：安泉 TEL：（010）68476606】