单位有一套应用系统准备对外发布，如何对其进行安全防护？
根据该应用系统的类型及价值，可以进行如下防护：防火墙（端口重定向、包过滤）、抗dos攻击（syn洪水攻击、ip碎片攻击、假冒ip地址攻击等）、时间控制（一天中的多段时间）、流量控制（每日/星期/月流量）、带宽优化（保障关键应用的带宽）、会话控制（保障资源合理利用）、web缓存（加快系统反应时间）、ids（检测应用攻击）、ips（阻拦应用攻击）、身份认证（鉴别使用者身份）、应用加密（不被窃听）、vpn（鉴别使用者身份、加密、抗抵赖）、负载均衡（保障应用性能）等。那种只靠防火墙＋抗dos攻击的防护措施只能保证应用系统基本的可用性，不能保证应用系统的机密性、完整性、可控性和不可抵赖性。

xx厂家既有防火墙、ids又有utm，怎么选择呢？
首先，看该utm是否是oem国外的产品，若是则不如直接选择国外品牌；其次，看该utm包含了哪些原防火墙、ids的功能，如果功能不全则不如选择原防火墙＋ids的组合。若资金有限，还是选择只做utm厂家的产品性价比高。

因为某种原因，utm可以不要入侵检测与阻拦模块吗？
可以。对于二代utm产品，您可以选择不要除防火墙模块外的任何其它模块。

有无限制用户数的utm/防火墙吗？
没有。所谓的“无限制用户数”是指：一、没有在管理功能上做限制，二、没有有效的控制用户会话数的手段。由于性能上的局限，这种产品所能带的用户终究是有限制的。

流量管理就是带宽管理吗？
不是。单位时间（每秒）的流量是带宽，一定时间范围内（每天/每星期/每月）的流量不是带宽而是总流量。目前市面上的防火墙/utm/流量优化设备一般只有带宽管理功能而没有全面的总流量管理功能，二代utm同时具备带宽和流量管理功能，既可以对ip又可以对用户的不同应用进行管理。

如何选择带宽（qos）管理设备？
可以考虑两个标准：一、带宽管理功能和包过滤功能在同一条策略中设置；二、能针对源ip及目的端口的组合进行设置。如果带宽管理功能和包过滤策略分离，就不能做到统一带宽管理；如果只能针对源ip或目的端口进行设置就不能实现对每一客户端的精细控制，就有可能导致受控ip的所有应用同时变慢等副作用。

utm可以被托管吗？
可以。二代utm设有多个不同角色的用户，可以将策略管理员的职责外包给专业机构，如mssp，在建立好安全策略后，还可以将此职责收回，也可以将审计员的职责外包给信息安全审计机构，同时，统一威胁管理也使得管理者的工作大大简便。

为安全起见，可以有多个dmz区，一个dmz区放一台服务器吗？
可以。您可以将任何网卡配置成dmz区。

为了提高出网效率，可以有多个wan连接吗？
可以。您可以将任何网卡配置成wan连接，用于连接电信、网通、教育网等不同的网络。

内网控制（或某一其它）功能只能在lan口处才有吗？
不是，根据需求及配置，您可以在任意网卡处拥有全部或部分功能，从而不影响内网安全域细化。

多wan口的设备好还是多lan口的设备好？
多lan 口的设备更能保护内网安全，它相当于内置了一台三层交换机，各个lan口所在的网络之间是缺省隔离的，并受到utm的保护，这使得内网安全域可以细化，例如财务部、高级管理人员的网络可以和其它部门的网络分开，保障其不受内部人员或网络蠕虫的攻击（据美国fbi统计70～85％的攻击来自于内部），这是用网卡别名生成不同网段所不能比拟的。多wan口设备主要用于业务连续性要求高的单位，不能解决内部的安全问题。多mdz口的设备和多lan口的设备类似，可以更进一步保障dmz网络的安全。

只能有lan、wan、dmz三种安全域吗？
不是，根据需求及配置，您可以拥有2～n个不同的安全域，相当于同时拥有n/2台utm防火墙，其中n等于网卡的数量。那些号称有1lan、1dmz、 2wan网卡的设备，由于网卡角色固定，扩展性及灵活性不高，不能满足变化多端的实际用户网络环境，所能实现的安全等级也不会很高。

为方便管理及节约投资起见，可以将管理员主机设在任意安全域内吗？
可以。您可以将管理员主机设在任意安全域内以方便管理。与此相反，您也可以将某一安全域专门用于管理以加强安全性。

内网的计算机是装备了可信计算技术的安全计算机，还需要老三样（防火墙、防病毒、入侵检测）的保护吗？
需要。可信计算技术只解决了用户及终端可信的问题（正确的用户使用正确的计算机），它不能保证用户及终端不受病毒（除了bios病毒）等外界攻击，也不能保证经过验证的用户及终端不攻击其他用户及终端。实践证明，在只装备了可信技术的计算机上安装windows操作系统，将100％被黑，若是被网络蠕虫侵犯，这台可信计算机还将充当傀儡攻击其它计算机。因此，可信计算技术和"老三样"不是代替的关系而是互补的关系。

utm可以用于内网安全吗？
可以。中神通内网安全网关是utm在内网安全领域的实践，它在防御外部攻击的同时，也可以防御内网之间的窃听和攻击。

绑定ip及mac地址可以用来解决身份认证问题吗？
不能，即使在一级接入交换机的端口上绑定，也不能根据ip及mac地址来判定一台计算机是否合法，这是因为计算机的ip和mac地址可以同时改变，在windows下这种改变更加简便易行。

有更好的办法用来解决内网ip地址盗用的问题吗？
可以。您可以启用身份认证功能，将内网的安全域细化。

有更好的办法用来解决内网用户私设代理、路由逃避收费吗？
可以。一般用户机器和网关的不同在于同时连接数的不同，可以将内网用户的同时连接数设为一个合理值，并对连接会话的流量进行排序，流量排在前几名的连接可能是代理发出的。还可以检测同一ip的qq、msn帐号，多个帐号表明可能是代理。

可以通过封闭端口来阻止bt、p2p下载吗？
不能。bt、p2p的端口可以在全部65535个端口中变换，不能指定某个端口就是bt、p2p所用的端口。如果只保留80、53等常用端口而封掉1024以上端口将影响ftp等常见软件的使用，好的控制方法是在全开的前提下进行的，这样不会影响正常工作。