雖然很多人認為，當性能為最優(yōu)先考慮時，可以采用單一功能產品，但部署及管理一堆專用裝置的成本卻可能會令人咋舌。除了一開始購買各項裝置的資本支出之外，IT部門可能還須面對多樣的使用者接口與管理工具。所以，在效能、成本及易管理性之間可以平衡時，UTM 解決方案往往是最佳的選擇。

不過，這不代表隨便買個 UTM 產品就好了，因為各廠商的產品差異甚大，所以在把企業(yè)網絡安全托付給特定產品前，最好先評估自己企業(yè)需要怎樣特定的產品，再仔細考慮各項功能與技術規(guī)格的差異是否符合自己企業(yè)需要。

Web過濾方法

目前市面上多數的 UTM 裝置都具備Web 過濾的功能。但 IT 主管必須確認哪一種 Web 過濾的方法最適合自己的需求。

部分UTM 工具搭配了外掛的 Web 過濾功能，將裝置的網絡流量轉到專屬 Web 過濾服務器來執(zhí)行政策。其它種類的 UTM 裝置則具備整合式 Web 過濾功能，讓企業(yè)可透過選擇來封鎖網站 (列于不斷更新的數據庫中)，建立自身的網頁存取政策，以防范員工登入不明網頁，造成安全疑慮。

不論您偏好何種過濾方式，UTM 裝置都必須讓組織能迅速地布署。而IT 主管還可以透過黑名單、白名單及一些事先定義或使用者定義的類別來自由訂定 Web 過濾的設定值，降低網絡安全威脅。

由于UTM融合了多種控制功能，使內容過濾的應用范圍得到進一步擴展，這種擴展將體現在用戶利用UTM，完成與各種手段相結合的內容監(jiān)管要求。 內容過濾技術很多來自于專門的網關中，而伴隨UTM安全網關的興起，加上內容過濾技術很難獨立發(fā)揮更完善的內容監(jiān)管作用，這些內容過濾技術將逐步被納入到UTM中。所以，內容過濾與UTM網關中其他訪問控制技術的合并使用，形成一套更加全面策略體系，更加接近人的監(jiān)管思想的完整表達，對于很多企業(yè)來說，這一點是非常重要的。

然而，UTM網關主要內容過濾在應用層產生大量的計算需求。這必然嚴重影響到UTM網關的性能。另外，內容過濾配置復雜性和管理靈活性的實現難度也大大增加，會增加額外的管理負擔。

出于這些考慮，一些UTM網關會放棄提供內容過濾的做法，當然也有一些廠商在尋求突破。其實，UTM網關提供內容過濾主要是在保障性能的前提下，要充分發(fā)揮統(tǒng)一管理的優(yōu)勢，因此在UTM網關上實現內容過濾要能夠與其他策略融合。

內容過濾技術一般包括URL過濾、關鍵詞匹配、圖像過濾、模版過濾和智能過濾技術等。目前，內容過濾技術處于初級階段，圖像過濾、模版過濾等還處于理論研究階段，許多技術瓶頸尚未解決，實際應用并不多見，智能過濾同樣只限于研究領域應用，沒有大量應用。相比之下，URL過濾、關鍵詞匹配、應用過濾成熟。

URL/Web過濾

關鍵字過濾

基于內容權重過濾

文件及應用過濾

實際上Web過濾是指上網監(jiān)控功能，具備內容過濾的UTM網關通過多重過濾與保護，通過對內容和網址進行監(jiān)控，對無關的網站實行過濾，從而實現對網絡內部人員上網進行監(jiān)控。

筆者單位使用的是H3C公司的U200-CA，這是一款非常不錯的UTM安全網關產品，該產品內置了防病毒，防范IPS入侵攻擊，防垃圾郵件等安全功能。當然這也是大部分UTM安全網關所具備的。

筆者決定通過該款UTM產品對“開心網”下手，首先采用的是URL過濾封堵法，利用UTM產品自帶的URL過濾功能對“開心網”進行過濾，具體操作如下。

第一步：進入U200-CA UTM設備的管理界面，然后選擇“策略管理”->“深度安全策略”，之后點“應用安全策略”鏈接進入到UTM模式下。

第二步：在UTM界面下通過“URL過濾”->“規(guī)則管理”查看當前規(guī)則。

第三步：點擊“新建”規(guī)則，然后對URL過濾策略進行設置，輸入過濾名稱，然后是“域名過濾”方式，這里我們可以選擇“固定字符串”或“正則表達式”兩種形式。前者就是所謂的嚴格匹配，后者則是支持“*”通配符。

筆者輸入“www.kaixin”，接下來將“使能狀態(tài)”設置為“使能”保證該條目生效。同時在“動作集”處設置該條目生效在“所有時間”，同時發(fā)現URL訪問時進行阻斷。確定完畢后我們的內網用戶將不能夠訪問“www.kaixin”字眼的URL地址了。

經過筆者設置最終內網用戶在輸入www.kaixin.com時會出現該頁無法顯示的提示，成功的阻止了用戶對“開心網”的訪問。

后記：

許多大型企業(yè)或擁有龐大數據中心的公司需要部署額外的威脅管理工具 (例如防火墻、防毒網關器及入侵防御系統(tǒng)) 以滿足其高容量與高效能的需求，然而安全光靠設備還是不行的，人力才是設備使用的根本。