【IT168 专稿】UTM是由硬件、软件和网络技术组成的具有专门用途的设备，由于媒体及UTM厂商的大力宣传，用户往往对UTM期望很高，以为UTM是功能较多的。通常来说，UTM需要具备防火墙、VPN、防病毒、入侵检测与阻断、流量分析、内容过滤、P2P协议过滤、3A认证等众多功能。

    UTM往往被称为网络安全的“瑞士军刀”，然而事实的情况是用户在实际使用时，发现这把军刀非常钝，甚至到了无法使用的程度：比如在启用防病毒功能后，绝大多数UTM产品性能都会下降到一个用户不能接受的程度－启用防毒功能前的十分之一甚至更低，这在当今千兆网络日益普及，大步向万兆迈进的时候，UTM低得可怜的性能显然难当网络安全防护的重任。

    UTM的问题在哪里？

    UTM的问题在于，UTM所需的硬件平台远没有到成熟的水平。UTM的关注点是在应用层安全，然而，真正实现应用层安全，无论是相应的硬件技术，还是应用层深度检测的软件架构，以及两者的紧密结合，技术上还有很长的路要走。

    UTM无疑是定位在网关安全防护，我们来看一下网关安全产品的发展过程：最早的交换机的访问控制是在二层，路由器的访问控制是在三层，由于路由器的CPU处理能力很低，因此路由器上做状态检查和三层的访问控制会严重影响路由器的性能，因此逐渐出现了防火墙产品，两者在硬件体系结构上最大的差别就是CPU的处理能力，即使是基于ASIC技术的防火墙，其使用的CPU的处理性能也远高于路由器的CPU，这是因为，相对于路由处理，防火墙的计算是一个计算密集型的任务，因此，必须有相应的具有强大计算能力的硬件支持。

    我们回过头看一下UTM，以病毒过滤为例，通常处理的都是七层数据（SMTP、HTTP等等）。要准确地检测应用层的攻击，单包检测的准确率是很低的，必须进行协议级数据的还原以保证检测的准确性，降低漏报率。网络中常用的应用协议在数十种，与状态检测相比，不同应用层协议重组的计算量提升了一个数量级以上，即使是目前计算能力最强的CPU在进行数百兆流量的协议还原时也会造成性能瓶颈，并大大增加网络延迟。