由于UTM作為安全防護(hù)技術(shù)的最新產(chǎn)品，業(yè)界對(duì)于UTM產(chǎn)品測(cè)評(píng)并沒(méi)有一個(gè)完善的考量制度，也由于各大生產(chǎn)廠商對(duì)于產(chǎn)品的理解不同，所以導(dǎo)致了UTM產(chǎn)品的功能性存在差異。本次的測(cè)評(píng)就只通過(guò)性能和功能兩個(gè)方面進(jìn)行，旨在企業(yè)選用UTM產(chǎn)品時(shí)起到幫助作用，但希望企業(yè)不單單關(guān)注UTM產(chǎn)品測(cè)評(píng)，還要考慮到企業(yè)自身的應(yīng)用環(huán)境。

UTM產(chǎn)品測(cè)評(píng)：性能測(cè)試

雖說(shuō)UTM產(chǎn)品的功能差異化明顯，但是最基本的防火墻、VPN、防病毒和入侵控測(cè)功能還是必不可少的，也是最為常用的。因此，本次性能測(cè)試主要針對(duì)這4個(gè)模塊進(jìn)行。

在本項(xiàng)測(cè)試中，我們采用業(yè)界普遍認(rèn)可的思博倫通信公司的Avalanche 2500和Reflector 2500專業(yè)測(cè)試儀器，以及Avalanche 7.50配套性能測(cè)試軟件?？疾霼TM產(chǎn)品旨在開啟防火墻模塊、NAT工作模式狀態(tài)下的新建連接速率、最大并發(fā)連接數(shù)以及應(yīng)用吞吐量。另外，我們還考察了UTM產(chǎn)品在開啟防火墻、IPS、防病毒、VPN等模塊狀態(tài)下的應(yīng)用吞吐量。

新建連接速率是測(cè)試一個(gè)網(wǎng)絡(luò)設(shè)備所能承受最大新建速率的基本指標(biāo)。新建連接速率說(shuō)明了UTM產(chǎn)品在不丟失連接的基礎(chǔ)上每秒能夠成功處理的最大連接數(shù)，其測(cè)試結(jié)果的單位是連接/秒。

測(cè)試時(shí)，我們以Avalanche 2500模擬內(nèi)網(wǎng)客戶機(jī)以不同速率，向外網(wǎng)的Reflector 2500模擬的Web服務(wù)器發(fā)送HTTP請(qǐng)求，并下載64字節(jié)的頁(yè)面做有效性驗(yàn)證。通過(guò)二分法找到，UTM處理性能的極限情況，我們?nèi)O限情況下負(fù)載穩(wěn)定期內(nèi)的60秒平均值作為新建連接速率的測(cè)試結(jié)果。

最大并發(fā)連接數(shù)是測(cè)試一個(gè)網(wǎng)絡(luò)設(shè)備所允許的最大并發(fā)連接容量的基本指標(biāo)。最大并發(fā)連接說(shuō)明了UTM產(chǎn)品在不丟失連接的基礎(chǔ)上所能處理的最大連接數(shù)。這個(gè)指標(biāo)除了和新建連接速率有關(guān)外，還和UTM本身的內(nèi)存容量、連接數(shù)據(jù)存儲(chǔ)結(jié)構(gòu)有關(guān)。

測(cè)試時(shí)，我們以Avalanche 2500模擬內(nèi)網(wǎng)客戶機(jī)，向外網(wǎng)的Reflector 2500模擬的Web服務(wù)器發(fā)送HTTP請(qǐng)求，并于Reflector端設(shè)置每個(gè)連接的等待時(shí)間，以維持那些新建的連接，直到UTM產(chǎn)品達(dá)到并發(fā)處理的最大上限。

應(yīng)用吞吐量是衡量網(wǎng)絡(luò)設(shè)備對(duì)應(yīng)用層數(shù)據(jù)處理能力的基本指標(biāo)。測(cè)試時(shí)，我們以Avalanche 2500模擬內(nèi)網(wǎng)客戶機(jī)以一定的速率，向外網(wǎng)的Reflector 2500模擬的Web服務(wù)器發(fā)送HTTP請(qǐng)求，并下載1MB大小的數(shù)據(jù)，我們?nèi)∝?fù)載穩(wěn)定期內(nèi)，Reflector服務(wù)器發(fā)送數(shù)據(jù)的60秒平均值作為測(cè)試結(jié)果。

為了考察UTM綜合處理效率，我們還同時(shí)開啟防火墻、VPN、防病毒以及入侵檢測(cè)等模塊進(jìn)行應(yīng)用吞吐量測(cè)試。測(cè)試時(shí)，我們以Avalanche 2500模擬IPSec VPN網(wǎng)關(guān)與被測(cè)UTM產(chǎn)品進(jìn)行IPSec VPN對(duì)聯(lián)，對(duì)于無(wú)法完成IPSec協(xié)商的產(chǎn)品，我們?cè)试S采用同等型號(hào)的設(shè)備進(jìn)行IPSec VPN對(duì)連。

在隧道建立后，我們要求UTM開啟防病毒和入侵檢測(cè)，對(duì)其內(nèi)部傳輸?shù)臄?shù)據(jù)進(jìn)行分析，測(cè)試過(guò)程與應(yīng)用吞吐量類似，性能測(cè)試結(jié)果見(jiàn)。

UTM產(chǎn)品測(cè)評(píng)：功能測(cè)試

基本功能測(cè)試。作為一款網(wǎng)關(guān)型產(chǎn)品，UTM對(duì)復(fù)雜網(wǎng)絡(luò)的支持能力值得用戶關(guān)注。在本項(xiàng)測(cè)試中，我們主要考察UTM部署模式是否支持橋、路由和混合模式，NAT功能實(shí)現(xiàn)的完善程度以及策略描述的能力，帶寬管理能力和VPN的支持能力。

擴(kuò)展功能測(cè)試。目前，很多中小型企業(yè)由于工作性質(zhì)或帶寬的限制，需要對(duì)IM類即時(shí)通信類軟件產(chǎn)品、P2P軟件進(jìn)行阻斷、限流控制，這就給UTM產(chǎn)品的應(yīng)用層協(xié)議分析能力提出了更高的要求。因此，在本項(xiàng)測(cè)試中，我們還考察了UTM產(chǎn)品對(duì)這類應(yīng)用的識(shí)別和監(jiān)控處理能力。

對(duì)于中小企業(yè)，一定的垃圾郵件過(guò)濾能力以及對(duì)Web內(nèi)容過(guò)濾能力也是它們需要的。面對(duì)用戶需要，UTM產(chǎn)品中的這些防護(hù)模塊究竟能夠到達(dá)什么樣的防護(hù)效果，與專業(yè)的過(guò)濾產(chǎn)品相比有何不足，也是用戶所關(guān)注的。

另外，我們?cè)谶M(jìn)行UTM產(chǎn)品測(cè)評(píng)時(shí)還考慮到某些產(chǎn)品的特色功能，例如，負(fù)責(zé)均衡、HA等，我們還根據(jù)實(shí)驗(yàn)室的環(huán)境進(jìn)行了有效性測(cè)試。

易用性。UTM設(shè)備不同于交換機(jī)、路由器等網(wǎng)絡(luò)產(chǎn)品，管理員往往需要通過(guò)基于對(duì)一段時(shí)間內(nèi)發(fā)生網(wǎng)絡(luò)事件的分析，對(duì)現(xiàn)行的安全策略進(jìn)行修改，因此UTM產(chǎn)品的易用性就非常重要。我們?cè)谠u(píng)價(jià)一款UTM產(chǎn)品的易用性時(shí)，主要從以下幾個(gè)方面進(jìn)行分析。

安裝與部署。我們主要考察UTM產(chǎn)品是否具有安裝向?qū)?，支持的管理方式，支持的?lián)機(jī)模式以及是否具備遠(yuǎn)程統(tǒng)一管理能力等。

規(guī)則設(shè)定。考察UTM應(yīng)用規(guī)則設(shè)定的復(fù)雜程度，是否支持基于時(shí)間、特定用戶群（組）制定相應(yīng)的策略，以及是否支持基于策略的帶寬管理能力。

用戶配置接口?？疾霼TM產(chǎn)品是否提供自有管理系統(tǒng)、支持語(yǔ)言版本、幫助說(shuō)明與設(shè)置范例等。

日志與報(bào)表?？疾霼TM的事件記錄方式、分類方式、記錄備份與發(fā)送方式、報(bào)表與統(tǒng)計(jì)圖表及警示分析等。

升級(jí)與更新。UTM產(chǎn)品固件是否可更新。另外，入侵特征庫(kù)、病毒庫(kù)、垃圾郵件庫(kù)、URL站點(diǎn)庫(kù)是否更新、授權(quán)的更新方式、以及定期更新時(shí)間與狀態(tài)告知等。

賬戶安全管理?？疾霼TM產(chǎn)品是否采用分級(jí)管理，分角色方式定義不同控制權(quán)限。

調(diào)試手段?？疾霼TM產(chǎn)品是否為用戶提供了必要的網(wǎng)絡(luò)故障檢測(cè)手段和調(diào)試工具，方便用戶能快速定位故障，例如，Ping、Trace Route、數(shù)據(jù)包捕獲、Telnet、SSH、應(yīng)用協(xié)議跟蹤等。

【編輯推薦】

1. 企業(yè)VPN應(yīng)用簡(jiǎn)單概要
2. 簡(jiǎn)析三種VPN服務(wù)類型
3. 簡(jiǎn)析三種VPN部署模式
4. 八種企業(yè)使用VPN的優(yōu)勢(shì)
5. 哪些用戶適合采用VPN進(jìn)行網(wǎng)絡(luò)連接