图二

    如果不是分支机构，单一据点的公司或企业是否适合使用 utm 呢？关键点在于公司的信息环境与目标。如果老板很清楚自己公司与信息相关的业务需求仅限于上网找数据以及利用电子邮件与客户往来，此时使用utm 就很合适，可以完全解决基本的信息需求，也不会让网络性能影响到公司的营运；不过若是像网吧或网络拍卖这类型的公司，营运行为深受网络带宽与性能影响，又得特别防范黑客入侵系统，一个可弹性定义 policy、又具有备援性功能的防火墙，甚至是 ips ，就是企业需要考虑的了。

    其实，utm 解决方案应该是整体安全策略的一部分，而不是唯一的安全措施。网络接入控制、身份识别控制和资源控制都应在适当的时间与地点同步实施。

【内容导航】

文本tag： utm/ids/ips

    功能测试

    基本功能测试。作为一款网关型产品，utm对复杂网络的支持能力值得用户关注。在本项测试中，我们主要考察utm部署模式是否支持桥、路由和混合模式，nat功能实现的完善程度以及策略描述的能力，带宽管理能力和vpn的支持能力。

    安氏领信：linktrust utm x5300

图三

    linktrust utm x5300是北京安氏领信科技发展有限公司开发的，面向企业级百兆高端应用市场的一款国产utm产品。linktrust utm x5300以领信安全实验室“linktrust security lab”的网络安全软件平台ltos为核心，在ltos核心层融会设计了安全检测引擎，并高度集成了防火墙、vpn、入侵检测/防护、防病毒、防垃圾邮件、p2p防护、内容安全控制、高可用性、带宽管理、anti-x服务、多媒体通信安全、即时消息过滤、认证授权、远程安全接入等众多安全功能。

    x5300采用标准的1u机身设计，具备4个10/10mbps以太网接口，一个ids、ha以及gsm接口。另外，x5300还提供了console管理接口以及usb备用接口。x5300内置特征签名库可对各种端口扫描、信息探测、恶意攻击进行准确检测与有效阻断，使其对应用层攻击具备了全方位防护能力，特有的流量mirror port功能使网管对网络活动了如指掌。

    x5300支持基于smtp、pop3、imap协议的垃圾邮件过滤，可智能识别多国语言，配合阈值过滤、rbl、路径检查、连接控制、转发控制、邮件控制、异常控制、流量控制和延时投递等综合安全控制手段对垃圾邮件进行控制。

    另外，x5300还支持http、ftp协议的内容过滤，可实时检测出隐含在高层应用协议中的病毒、木马、蠕虫和恶意代码，除了实时响应、主动阻断之外还可动用多种手段通知管理员。

    在性能测试方面，x5300表现良好，在开启防火墙模块、nat转换状态下，新建连接速率可达6435连接/秒，最大并发连接达到了80万，应用吞吐量可达94.0mbps。

    在ipsec测试中，x5300与我们的avalanche测试仪进行ipsec vpn隧道协商时出了一些小问题。所以，我们在测试中采用两台相同的x5300进行ipsec vpn对连。x5300在开启防火墙、vpn、防病毒和入侵检测功能等模块时，应用吞吐量达到了88.1 mbps。

    在功能测试方面，x5300可以支持路由、透明模式，另外通过3个网络接口可以实现路由和透明的混杂模式。对于im和p2p类软件的支持能力方面，x5300只能对特定版本qq、msn、shype等软件进行监控、识别，并可以进行相应的阻断或限流处理。

    在易用性方面，x5300支持中文图形化web管理界面，便于管理员完成初始化系统配置。出于对系统安全性的考虑，x5300采用了符合gb/t 18336-2001安全设计要求的分级管理体系，aaa认证协议可保证对用户身份强制认证和安全审计。

【内容导航】

文本tag： utm/ids/ips

    fortinet：fortigate 400a

图四

    fortigate 400a是fortinet公司设计的基于asic硬件utm产品，可以在网络边界处为中小型企业提供实时的保护。fortigate 400a通过采用fortinet公司自主开发的fortiasic内容处理器和强化安全的操作系统fortios，可以有效降低因检测有害的病毒、蠕虫及其他基于内容的安全威胁而对网络性能的影响。

    fortigate 400a除了提供防火墙、vpn和入侵检测/防御功能外，同时具有防病毒/蠕虫和web内容过滤等应用层功能，以及反垃圾邮件、反间谍件功能和流量控制功能，为日益增长的中小企业网络的安全需求，提供了其所需要的性能、灵活性和安全保证。

    fortigate 400a有两个10/100/1000mbps自适应以太网接口，可以升级到千兆网络。同时，它还具有4个用户定义的10/10mbps接口，可以提供冗余的wan连接，高可靠性和多区域的特性允许管理员在划分其网络的区域时有更高的灵活性，并可以在不同区域之间设置策略。另外，fortigate 400a前面板具有lcd屏和简单的控制按键，可以在没有外部控制台的情况下为其提供简单的管理配置参数。

    在性能测试方面，fortigate 400a表现出色，各项指标均为本次测试的最好成绩。在开启防火墙模块、nat转换状态下，新建连接速率可达10017连接/秒，最大并发连接达到了84.8万，应用吞吐量可达94.0mbps。

    在测试中，fortigate 400a与我们的avalanche测试仪进行ipsec vpn隧道协商时出了一些小问题，所以我们在测试时，采用两台相同的fortigate 400a进行ipsec vpn对联。fortigate 400a在开启防火墙、vpn、防病毒和入侵检测功能等模块时，应用吞吐量达到了94.0mbps。这也是本次测试中，唯一一款在开启vpn、防病毒和入侵检测功能等功能后，应用吞吐量没有下降的产品。