如何从“瑞士军刀”到“复合装甲”

　　刚才已经提到了，UTM对于广大用户来说就好比是“瑞士军刀”， 功能多样，但是一次只能使用其中一项功能。厂商在产品指标中标注的防火墙xxM、入侵防御xxM、防病毒xxM指的是单开此功能时所能达到的最大值，而一旦用户将这些功能同时开启时，性能的巨大降幅让人难以接受。如，2005年市场上出现的第一代UTM产品，当防火墙、入侵防御和防病毒同时打开时，性能下降幅度普遍超过50%，甚至达到80%或者90%之多。因此，在项目实施过程中经常能看到工程师们建议用户只使用开某个功能，之后再逐步打开其他功能的场景。用户购买的一台UTM产品，实际上等于购买了一台防火墙“或”一台IPS“或”一台防毒墙。

　　UTM=防火墙“或”IPS“或”防毒墙“或“其他单独防护手段?这个等式显然违背了用户购买UTM产品进行综合防护的初衷。随着技术的不断发展可以分析出一个成功的UTM产品绝不应该像“瑞士军刀”，而应该像“复合装甲”一样能够提供一体化多层次的防御和简单易用的安装方式。

　　如何进行UTM产品的选择与测试

　　采购产品的前提就是要明确需求，结合自身的需求我们在选择合适的产品。首先，我们需要确认是为了核心网络还是为了普通网络进行采购。如果是核心网络，对安全产品的首要要求是高性能和高稳定性，选择UTM产品也许并不合适。而普通网络，特别是分支机构网络，对安全产品的首要要求是综合防护能力和易用性，选择UTM产品则是明智之举。

　　然后，我们需要考虑，我们到底需要什么样的功能组合?在考虑功能组合时，最好能够遵循只有必须在网关上完成的功能才在UTM中进行考虑的原则，以尽量的提高部署UTM后整个网络的可用性。在这个原则下，防火墙+IPS+AV应该是最基本的要求。然后从加强内部管理出发，上网行为管理和流量控制也是比较有用的功能。在有需要的场合，将VPN放在UTM中也比较适合。

　　基于以上几点，在不考虑硬件性能瓶颈的时候，较好的UTM功能组合应为：FW+IPS+AV(主要处理网络病毒，文件病毒交给防毒软件)+应用管理+流控+VPN(IPSec和SSL)。考虑到硬件性能和预算限制时，可以根据需要，先把VPN(特别是SSL VPN)和流控去掉，看看是否能够满足硬件性能和预算限制;如果还不行，再把应用管理划掉;再不行则牺牲AV功能。

　　除以上功能外，好的UTM产品还应具备良好的易用性。例如在设备故障时保证网络不中断的硬件Bypass能力，根据用户需求利用预设模块进行策略快速切换的能力，在大规模部署时的集中管理能力等等。