UTM設(shè)備的急速發(fā)展，在美國(guó)市場(chǎng)的市場(chǎng)份額已經(jīng)超過了防火墻。在國(guó)內(nèi)市場(chǎng)，單純的防火墻也顯現(xiàn)出市場(chǎng)份額逐步降低的趨勢(shì)。尤其是進(jìn)入2009年以來，這個(gè)趨勢(shì)更加明顯，越來越多的用戶開始選擇UTM，或者從防火墻升級(jí)到UTM，來為自己的網(wǎng)絡(luò)提供更深層次、更具管理性且更全面的防御能力。

用戶在選擇防火墻時(shí)，依照吞吐量、并發(fā)連接數(shù)等數(shù)據(jù)標(biāo)準(zhǔn)參考，基本上不存在設(shè)備選型的困難。由于各個(gè)廠家對(duì)于UTM的技術(shù)實(shí)現(xiàn)方式各不相同，甚至有些廠家將防火墻進(jìn)行簡(jiǎn)單包裝，就打著UTM的旗號(hào)大肆宣傳，迷惑用戶對(duì)UTM的選型。

l 傳統(tǒng)UTM問題重重

傳統(tǒng)的UTM解決方案在命名、性能、吞吐量、冗余和管理上存在的種種問題。實(shí)際上是將幾種不同的產(chǎn)品封裝在一個(gè)盒子里，沒有考慮太多有關(guān)產(chǎn)品集成或冗余堆積的問題，由此會(huì)導(dǎo)致對(duì)數(shù)據(jù)流量進(jìn)行兩次、甚至三次的檢測(cè)，從而嚴(yán)重降低了網(wǎng)絡(luò)傳輸?shù)男阅?。?duì)于網(wǎng)絡(luò)流量大的企業(yè)來說，這類產(chǎn)品并不實(shí)用。

如今，IDC又提出了代表七層融合安全的下一代安全網(wǎng)關(guān)——X-UTM，用戶又該如何選擇?

根據(jù)IDC的X-UTM技術(shù)標(biāo)準(zhǔn)，安全產(chǎn)品在全功能打開情況下，不僅要完成HTTP的大包處理，而且要完成各種網(wǎng)絡(luò)應(yīng)用協(xié)議的小包處理，在此基礎(chǔ)上單個(gè)端口吞吐量仍然可以達(dá)到1Gbps，再加上其具有的高可用性(會(huì)話級(jí)別切換)、多安全區(qū)域等功能，從而可以從技術(shù)上保證企業(yè)用戶關(guān)鍵應(yīng)用的安全實(shí)現(xiàn)。

對(duì)X-UTM而言，其誕生的意義源于安全，其首要標(biāo)準(zhǔn)就是“管理網(wǎng)絡(luò)層，控制應(yīng)用層”。維護(hù)從網(wǎng)絡(luò)到應(yīng)用的安全體系，成為了X-UTM的價(jià)值所在。如何判斷一款安全設(shè)備是合格的X-UTM設(shè)備，以及如何根據(jù)實(shí)際需求來選擇合適的X-UTM。

l 合格X-UTM的三大指標(biāo)

根據(jù)IDC和Fortinet的設(shè)計(jì)要求，一款合格的X-UTM設(shè)備，其處理引擎必須具備分類處理的能力，比如針對(duì)HTTP實(shí)現(xiàn)處理吞吐500Mbps、SMTP 400Mbps、POP3 300Mbps。

因此，所謂幫助用戶實(shí)現(xiàn)應(yīng)用層安全，就是要使安全設(shè)備符合真正互聯(lián)網(wǎng)流量的體系結(jié)構(gòu)，而不是單獨(dú)做一個(gè)Web安全網(wǎng)關(guān)。要回答這個(gè)問題，一般來說需要從功能、管理和管控三個(gè)方面進(jìn)行考量。

第一，豐富的功能

有的廠家推出的產(chǎn)品雖然號(hào)稱UTM，但只是在傳統(tǒng)防火墻上通過硬件耦合的方式添加了防病毒功能，或者僅僅能夠抵御網(wǎng)絡(luò)層的DoS攻擊而不具備入侵防御功能，在本質(zhì)上仍然是防火墻的有限增強(qiáng)，所能滿足的用戶價(jià)值也是有限的。

X-UTM對(duì)用戶來說，作為一種網(wǎng)關(guān)產(chǎn)品，X-UTM需要處理的東西很多。總結(jié)當(dāng)前各種新興安全設(shè)備可以發(fā)現(xiàn)，單純的Web防火墻、上網(wǎng)行為管理、HTTP過濾網(wǎng)關(guān)等設(shè)備，其核心都是在保護(hù)Web，這些設(shè)備不需要考慮DNS、VoIP，它們都屬于應(yīng)用層的專項(xiàng)安全產(chǎn)品。

同時(shí)，X-UTM還需要能夠提供完全的IP安全審計(jì)。通過對(duì)病毒、Web過濾、垃圾郵件等等模塊的日志審計(jì)報(bào)告的分析，系統(tǒng)需要能夠完全體現(xiàn)出這些七層威脅，包括對(duì)數(shù)據(jù)還原的支持。對(duì)于企業(yè)管理員來說，信息泄露、BBS信息都要能夠完整地被還原。

第二，可定制的管理

無(wú)論是UTM，還是代表下一代安全網(wǎng)關(guān)的X-UTM，由于支持眾多的安全特性，X-UTM的系統(tǒng)管理面臨很大的挑戰(zhàn)。如何將防火墻、VPN、防病毒、入侵防御、反垃圾郵件這樣眾多的功能有機(jī)地結(jié)合起來，使其既能方便配置，又能更好地協(xié)同工作，是UTM的系統(tǒng)管理要解決的首要問題。易用性是UTM系統(tǒng)管理最基本的要求，除此之外，還必須考慮到對(duì)病毒和入侵防御特征庫(kù)的升級(jí)更新、集中部署等情況的支持。

同時(shí)，如何讓用戶去習(xí)慣系統(tǒng)，將其變成自己的東西，而不是混雜地去被動(dòng)接受，這是很重要的。而且這個(gè)定制化的體系，必須具備豐富性的特點(diǎn)。比如針對(duì)防病毒，需要支持流行的協(xié)議，如FTP POP3 Web 2.0 IM等等，還要考慮不同的端口、文件的大小限制、超時(shí)如何處理、文件類型識(shí)別等多種情況，系統(tǒng)必須支持靈活的配置。

而在Web過濾方面，安全廠商必須有一個(gè)服務(wù)系統(tǒng)，幫助用戶去識(shí)別全球不同類型的網(wǎng)站，主動(dòng)幫助用戶去進(jìn)行分析，才能體現(xiàn)自身的服務(wù)優(yōu)勢(shì)。如果僅僅自己寫一個(gè)地址、域名，根本就不符合X-UTM的初衷。因?yàn)楦具_(dá)不到幫助用戶真正屏蔽有害網(wǎng)站的效果。要知道，當(dāng)前越來越多的網(wǎng)站隱藏性都很強(qiáng)，需要專業(yè)公司的技術(shù)幫助。

第三，策略化管控

根據(jù)Fortinet的統(tǒng)計(jì)，一個(gè)中等規(guī)模的企業(yè)，其網(wǎng)絡(luò)流量分配比例大致為：25%的HTTP封包，75%的UDP、DNS、IM、視頻等應(yīng)用。不難看出，HTTP協(xié)議僅僅是網(wǎng)絡(luò)中的一部分，大量的基礎(chǔ)網(wǎng)絡(luò)協(xié)議和應(yīng)用都需要X-UTM提供周到的保護(hù)。對(duì)于中小企業(yè)，可能選擇具有二三十兆轉(zhuǎn)發(fā)性能的UTM產(chǎn)品就已足夠，而對(duì)于大型企業(yè)或運(yùn)營(yíng)級(jí)用戶，則需要幾百兆甚至G比特的處理能力。

X-UTM對(duì)企業(yè)而言，由于要管理的范疇大得多：企業(yè)用戶訪問互聯(lián)網(wǎng)需要管控、企業(yè)的OA資源需要保護(hù)、企業(yè)內(nèi)部VPN網(wǎng)絡(luò)需要保護(hù)，甚至是企業(yè)內(nèi)部的每一個(gè)個(gè)體都需要保護(hù)。

比如像Web過濾，里面有大量的特性，X-UTM需要根據(jù)用戶的群組、不同用戶的角色分配，判定哪些用戶可以訪問哪些資源，哪些用戶不能訪問哪些資源，或者通過特殊的策略，靈活進(jìn)行分配。

在集群管理方面，當(dāng)在一個(gè)網(wǎng)絡(luò)中部署多臺(tái)X-UTM設(shè)備時(shí)，可以通過集中管理中心來對(duì)設(shè)備組進(jìn)行配置，這樣經(jīng)過一次配置，組內(nèi)所有的X-UTM設(shè)備可以整體生效。

換句話說，不能說Web上有策略就是過濾，從Fortinet的經(jīng)驗(yàn)看，具體的分類標(biāo)準(zhǔn)——50類起步，沒有80類都不能算優(yōu)秀。可以看出，X-UTM強(qiáng)調(diào)顆?；陌踩芾恚荒馨阉薪Y(jié)果丟給用戶，需要符合用戶的實(shí)際需求。