【IT168 专稿】对于企业用户而言，UTM最让人疑虑的地方，就是效能，当UTM所有功能全部开启时，其中影响整体效能最大的安全功能，则是网关防毒。对此，管理者只要根据企业实际需求，拟定出企业网络总吞吐量的底线，然后再依此作为UTM网关防毒的基本传输速率即可。

    换句话说，若该企业限定网络总传输量务必在100Mbps以上，那么，只要将选择范围限定在网关防毒效能最高必须达到100Mbps的UTM机种即可，如此一来，效能即不再构成问题;接着，只要就此范畴内的UTM机种与其它单个功能的安全方案进行ROI效益比对分析即可。

    UTM采购ROI比对评估事项

    虽然当前对于IT投资报酬率(ROI)的计算方式各有不同，不过，各种算法多少皆可作为ROI比对分析上的参考依据。本文则以下列公式作为采购效益的分析基准：

    ROI=(效益+营收)/总成本

    上述公式中，所谓营收，是指导入UTM设备之后所增加的营业额，不过，在此先假设营收不变，暂且撇开不谈。由此公式推知，针对UTM采购的ROI比对评估要项，大致可分成效益及成本两个方面，其中就效益来说，各效益项目之加总数值愈高，则ROI的效益也愈好。

    以下先介绍有哪些可比对的重点项目：

    1.功能的完备性-前文已提及，只要限定机种范围，效能即不构成问题。但是UTM既然集众多安全功能于一身，比起单一功能的安全产品来说，其相对应功能的完备性，势必会较差一些，例如IDS特征码数量较少，抑或病毒码更新较慢，再不然，虽可阻挡垃圾邮件，但却不支持Image Spam的过滤等等。

    不同品牌的UTM即使效能相同，但是基于厂商本身的技术背景不同，可能各有擅长的领域，而使某些安全功能较完备，而某些功能较薄弱。功能的完备性对企业安全目标之达成，有一定程度的影响，虽然大部分功能的ROI分析，可能需要在实际部署安装之后才能进行评估，但是管理及采购人员仍可就厂商列举的规格(例如特征码数、更新频率等)，或透过不同产品提供的短期试用，来进行较初步的评估比对。

    2.部署的难易度-安装1台UTM，与安装多台不同安全设备，在安装复杂度上，自然不可同日而语。而且前者各功能可1次立即上线，至于后者，则必须依序完成安装工作。下面我们来看UTM应用实例！

    初战URL过滤让“开心网”无法显示

    笔者单位使用的是H3C公司的U200-CA，这是一款非常不错的UTM安全网关产品，该产品内置了防病毒，防范IPS入侵攻击，防垃圾邮件等安全功能。当然这也是大部分UTM安全网关所具备的。

    笔者决定通过该款UTM产品对“开心网”下手，首先采用的是URL过滤封堵法，利用UTM产品自带的URL过滤功能对“开心网”进行过滤，具体操作如下。

    第一步：进入U200-CA UTM设备的管理界面，然后选择“策略管理”->“深度安全策略”，之后点“应用安全策略”链接进入到UTM模式下。

    第二步：在UTM界面下通过“URL过滤”->“规则管理”查看当前规则。

    第三步：点击“新建”规则，然后对URL过滤策略进行设置，输入过滤名称，然后是“域名过滤”方式，这里我们可以选择“固定字符串”或“正则表达式”两种形式。前者就是所谓的严格匹配，后者则是支持“*”通配符。笔者输入“www.kaixin”，接下来将“使能状态”设置为“使能”保证该条目生效。同时在“动作集”处设置该条目生效在“所有时间”，同时发现URL访问时进行阻断。确定完毕后我们的内网用户将不能够访问“www.kaixin”字眼的URL地址了。

    经过笔者设置最终内网用户在输入www.kaixin.com时会出现该页无法显示的提示，成功的阻止了用户对“开心网”的访问。

    再战URL过滤让“开心网”相关站点无法显示

    然而好景不长，笔者刚刚添加了www.kaixin.com的URL过滤策略阻止?... 了www.kaixin001.com这个“开心网”的怀抱，依然疯狂的偷菜，疯狂的停车。于是笔者决定再战URL过滤让“开心网”相关站点无法显示。

    再次来到“URL过滤”->“规则管理”处添加新的规则，这次笔者决定使用“正则表达式”的方式来对内网用户进行限制，在域名过滤处设置“正则表达式”，然后输入过滤信息为“.*kaixin*.*”，这样就能够封锁掉所有在域名中出现“kaixin”字眼的URL访问了。说白了“正则表达式”方便我们更模糊的进行URL匹配，而前面提到的“固定字符串”设置的是严格匹配原则。其他操作类似上面介绍的，重新设置后内网又安静了，用户对www.kaixin001.com站点的访问也被成功过滤掉。

    小提示：

    不管我们添加的是“正则表达式”还是“固定字符串”，在设置完毕后都要重新返回到URL过滤的策略管理与规则管理处将这些条目激活，否则设置将无法生效。

    经过过滤设置后我们会看到在UTM管理界面中出现的URL过滤阻断条目，从图中我们可以看到被URL过滤掉的条目有452个，这些都是被过滤掉的内网用户对“开心网”的访问请求。

    通过正则表达式过滤“开心网”后世界一下子清净了，领导也真正的开心了，员工们则可以踏踏实实的工作。

    用IP过滤将“开心网”彻底屏蔽

    “开心网”被过滤后员工塌实工作了一段时间，然而奇怪的是笔者又听到了一些“声音”，员工之间还是因为“开心网”闹了矛盾。原来有几个员工不知道采取什么方式突破了笔者在UTM上的URL过滤封锁，他们在上班时间继续大张旗鼓的偷别人的菜，贴别人的车。

    经过调查笔者发现这些员工没有使用诸如www.kaixin001.com的URL地址进行访问，而是通过IP地址，看来UTM对URL的过滤只是基于域名的。如果用户知道网站的IP地址直接访问的话，过滤功能将不起任何效果。
笔者在本机进行了测试，通过nslookup www.kaixin001.com进行查询，结果发现DNS顺利解析出了IP地址。

    使用笔者经过dns解析出来的IP地址访问开心网将不会出现任何问题，所有页面顺利浏览。

    那么我们该如何针对IP地址进行过滤呢?唯一的办法就是通过访问控制列表ACL来实现了，不过这需要用户及时更新开心网的最新IP地址信息，毕竟他的IP地址可能会有所变动。在UTM设备上针对IP地址进行过滤具体步骤如下。

    第一步：进入UTM管理界面然后选择“策略管理”->“ACL”，然后“新建”一个规则，这里会让我们选择ACL类别，由于我们是针对某IP做限制，所以选择基本型或高级型访问控制列表都是可以的。笔者选择“基本型”。

    第二步：接下来设置“访问控制列表ID”信息，只要不与之前设置的列表数重复即可，确定后该策略生成。

    第三步：默认情况下访问控制列表是空的，我们需要为其添加规则。点“新建”按钮添加过滤条目。

    第四步：我们设置“规则ID”信息，同时将操作选择为“禁止”，针对IP地址过滤的目的IP地址进行添加，这个目的IP地址就是我们通过nslookup解析出来的IP地址，由于“开心网”地址不是连续的，所以我们需要为每个解析出来的IP地址单独设置过滤条目。协议处选择IP将阻止所有TCP/IP协议。确定后该条目生效。

    第五步：我们依次添加过滤条目，直到所有与开心网有关的IP地址都被过滤。最后添加默认ACL规则容许所有IP通过。设置完毕后保存即可。这样该ACL访问控制列表将只针对与开心网有关的IP地址进行过滤，而不会对其他协议其他IP的数据包进行丢弃。

    总结：

    总体来看，UTM产品为信息安全用户提供了一种更加实用也加易用的选择。用户可以在一个更加统一的架构上建立自己的安全基础设施，而以往困扰用户的安全产品联动性等问题也能够得到极大的缓解。用户可以随时在这个平台上增加或调整安全功能，并且无论如何组合这些安全功能都可以很好的进行协同。