自从2004年idc提出utm的概念以来，在其后的四年间，utm的发展可谓迅速，在美国市场，utm的市场份额已经超越防火墙，成为安全网关市场的主流。在中国，utm的远大前程也展露无疑：根据idc的统计，2007年utm硬件增长迅猛，“全年同比增长87.6%，其中下半年同比增长105.4%，是2007 年下半年增长速度最快的安全子市场”(idc《中国it安全市场分析与预测，2007》)。而在同期，防火墙的市场份额则开始出现衰退。2008年上半年，这个趋势更加明显，越来越多的用户开始选择utm，或者从防火墙升级到utm，来为自己的网络提供更深入、更立体、更全面的安全防御。
　　按照产品生命周期的理论，我们可以看到目前的防火墙正从成熟期向衰退期过渡，而utm则正稳步迈向成熟。但对于防火墙产品，由于标准化程度相对较高，用户基本上不存在选择的困难。而对于utm，普通用户在选择时通常是一头雾水：由于目前针对utm尚没有形成正式的产品规范，因此各厂家实现utm的技术方式，以及utm所包含的功能特性都存在一定的差异，甚至有个别厂商仅仅将防火墙进行简单包装，就打着utm的旗号进行宣传，给用户造成了很大的误导。
　　具体到utm的选择上，用户可能存在更多的疑惑：哪些功能是必须的?哪些功能是可选的?哪些性能指标是决定性的?如何选择性能合适的设备?如何才能实现更快捷高效的部署管理……
　　上述问题可以归纳为：如何判断一款安全设备是合格的utm设备，以及如何根据实际需求来选择合适的utm。要回答这个问题，一般来说需要从功能、性能和管理性三个方面进行考量。
　　1. 功能的要求
　　在utm的所有功能中，并不是所有的功能都是必要的，用户需要根据自己的需求来确定采购目标。但一般来说，utm设备应该包括如下基本功能，才具备基本的可用性：
　　基础防火墙功能：包括状态过滤、访问控制、nat转换等，这些是防火墙的基本功能，也是utm中必不可缺的功能。
　　入侵防御(ips)功能：入侵防御功能是utm区别于防火墙的最基本特征。传统防火墙具有的是2-4层的防御能力，对更高层的协议不具备检测能力，而utm正是通过入侵检测和防御技术的实现，具有了2-7层的全面防御能力。从这一个角度来说，入侵检测能力的高低，是衡量一款utm是否专业的重要标准。
　　防病毒功能：utm所采用的网络防病毒引擎同桌面防病毒产品在实现上有一定的差异，病毒的实际检测率也是选择utm设备的重要参考。
　　vpn功能：utm应支持最基本的vpn功能，即端到端的ipsec vpn。
　　高可用性(ha)：由于utm整合了众多的安全特性，使得其对稳定性的要求较一般安全设备要更加苛刻，因为一旦发生故障，可能会导致所有安全防御功能失效，造成无法挽回的损失。utm应具备高可用性，能够采用主备模式，在检测到链路和设备故障时由备份设备取代主设备，提供不间断的安全防护。
　　上述功能可认为是utm的标准功能，如果一款设备不具备上述所有功能，则不能被称为合格的utm设备。譬如有的厂家推出的产品虽然号称utm，但只是在传统防火墙上通过硬件耦合的方式添加了防病毒功能，或者仅仅能够抵御网络层的dos攻击而不具备入侵防御功能，在本质上仍然是防火墙的有限增强，其所能满足的用户价值也是有限的。
　　除了上述功能，视不同用户的需求，utm可能还需要实现以下功能：
　　动态路由功能：实现rip、ospf等路由功能，对于小型客户，将路由器部分功能整合到utm中，可以节省投资，并使得网络接入更加扁平、易管理。
　　扩展的vpn功能：通过ssl vpn和l2tp vpn，可以提供更灵活的vpn组网能力，包括无客户端或瘦客户端的vpn部署，对动态用户的支持等。
　　内容过滤：狭义的内容过滤是对网页内容、url、网页控件等的过滤，广义的内容过滤还包括对各种互联网应用比如im/p2p、网络游戏、股票软件、流媒体应用等的检测和控制;在业务互联网化的今天，这部分功能对用户特别是对企业用户，价值日益凸显。
　　反垃圾邮件：对于utm中是否实现反垃圾邮件，存在一定的争议，但不可否认的是在utm中实现反垃圾邮件有一定的先天优势，借助入侵防御引擎的深度扫描能力，对通过邮件的入侵可以达到良好的防御效果。而对垃圾邮件的处理性能上，utm较专业的反垃圾邮件网关仍然有一定的差距。
　　负载分担功能：在双机热备的基础之上，通过ha双主或集群的方式，实现utm的负载分担。在对流量要求较高的场景下，通过负载分担可以提高安全网关整体的数据处理能力。
　　2. 性能的要求
　　对utm产品来说，对其性能的考量较传统网络设备或防火墙来说要复杂的多。utm的性能取决于其使用的具体功能：使用不同的安全特性，甚至对同一安全特性的不同配置方式，对utm性能的影响都是不一样的。举例来说，如果在utm中同时使用防病毒和内容过滤功能，性能肯定比只使用防病毒功能要低;而在只使用防病毒功能的情况下，对所有业务流量进行病毒扫描肯定比只对web业务流量进行扫描的性能要低。
　　为了简化起见，在评测utm的性能时一般只考虑两种场景：一是针对防火墙的性能，也就是utm只启用基础防火墙功能，而不启用防病毒、入侵防御等高级安全特性;另外是针对utm全特性的性能，也就是开启防病毒、入侵防御、内容过滤甚至反垃圾邮件等所有高级安全特性。在第一种场景下，其性能的评估跟防火墙的性能评估方法是一致的。在对utm全特性的性能评估中，主要考虑以下关键指标：
　　utm应用层转发性能：传统防火墙采用吞吐量来评估转发性能，而utm由于工作在2到7层，单纯使用ip或udp的吞吐量测试不具有实际意义，因此使用应用层转发性能来进行评估更加准确。通常可采用http并进行文件传输，来评估utm所支持的应用层转发性能。
　　并发连接数：并发连接数是utm可以同时维护的用户连接数，一般来说同一用户会存在多个连接。并发连接数越高，utm所能支持的连接用户就越多。
　　新建连接速率：新建连接速率是utm每秒钟能够处理用户的应用层请求的速率，它代表了设备在面对大量网络终端的访问请求时，所能体现出的响应速度。如果新建连接速率，会导致用户的网络访问速度慢等问题。
　　对于utm来说，自然是性能越高，所能提供的数据处理能力更高，但高性能的处理设备必然费用昂贵，用户在选择时需要根据预算选择具有合适处理能力的产品即可。对于中小企业，可能选择具有二三十兆转发性能的utm产品就已足够，而对于大型企业或运营级用户，则需要几百兆甚至g比特的处理能力。
　　3. 管理性要求
　　由于支持众多的安全特性，utm的系统管理面临很大的挑战。如何将防火墙、vpn、防病毒、入侵防御、反垃圾邮件这样众多的功能有机地结合起来，使其既能方便配置，又能更好地协同工作，是utm的系统管理要解决的首要问题。易用性是utm系统管理最基本的要求，除此之外，还必须考虑到对病毒和入侵防御特征库的升级更新、集中部署等情况的支持。
　　易用性：由于utm包含了众多的安全特性，因此能否方便快捷地部署，成为了用户的首要诉求。曾有用户调查显示，用户对utm易用性的关注超越了入侵防御和防病毒，成为用户在选购utm时最关注的问题。
　　集中管理能力：utm应该具有基于组的集群管理功能，当在一个网络中部署多台utm设备时，可以通过集中管理中心来对设备组进行配置，这样经过一次配置，组内所有的utm设备可以整体生效。另外通过集群管理，可以把分散在不同地方的utm设备的日志进行统一分析处理，形成全网的网络安全风险分析报告。
　　病毒库和入侵防御特征库的在线升级：跟防火墙不同，utm的病毒库、入侵特征库、反垃圾邮件库必须及时进行更新，这样才能具有最新的安全防护能力，因此需要对utm定期进行升级。尤其是通过在线升级的方式，能够保证设备在最短的时间内获得更新。能否提供在线升级，以及在线升级的频度，是考虑厂家实力和技术水平的重要指标。
　　日志和流量处理能力：utm应能够对病毒、入侵等高威胁性事件进行日志记录，并通过邮件等方式进行告警;应能通过netflow等技术对网络流量进行分析，可以查询实时流量和历史流量，这不仅可以帮助管理者更好地评估网络状况，还能够通过异常流量分析，发现潜伏的网络威胁。
　　根据对功能、性能和管理性三个方面的评估，用户基本上能够选择合格、合适的utm设备。目前可供选择的utm品牌众多，国外的包括juniper、fortinet、sonicwall、checkpoint等主流信息安全厂商都推出了自己的utm产品。在国内，启明星辰公司于2005年率先发布天清汉马系列utm产品，宣告国内安全厂商正式进军utm领域，随后安氏领信、联想网御、天融信等公司也纷纷通过自研或合作的方式，推出了自己的utm产品。在国内外厂商的大力投入下，中国的utm市场正进入群雄逐鹿、精彩纷呈的阶段。 来源:考试大 - 思科认证考试

责编:zj