由于UTM作為安全防護技術的最新產(chǎn)品，業(yè)界對于UTM產(chǎn)品測評并沒有一個完善的考量制度，也由于各大生產(chǎn)廠商對于產(chǎn)品的理解不同，所以導致了UTM產(chǎn)品的功能性存在差異。本次的測評就只通過性能和功能兩個方面進行，旨在企業(yè)選用UTM產(chǎn)品時起到幫助作用，但希望企業(yè)不單單關注UTM產(chǎn)品測評，還要考慮到企業(yè)自身的應用環(huán)境。

UTM產(chǎn)品測評：性能測試

雖說UTM產(chǎn)品的功能差異化明顯，但是最基本的防火墻、VPN、防病毒和入侵控測功能還是必不可少的，也是最為常用的。因此，本次性能測試主要針對這4個模塊進行。

在本項測試中，我們采用業(yè)界普遍認可的思博倫通信公司的Avalanche 2500和Reflector 2500專業(yè)測試儀器，以及Avalanche 7.50配套性能測試軟件?？疾霼TM產(chǎn)品旨在開啟防火墻模塊、NAT工作模式狀態(tài)下的新建連接速率、最大并發(fā)連接數(shù)以及應用吞吐量。另外，我們還考察了UTM產(chǎn)品在開啟防火墻、IPS、防病毒、VPN等模塊狀態(tài)下的應用吞吐量。

新建連接速率是測試一個網(wǎng)絡設備所能承受最大新建速率的基本指標。新建連接速率說明了UTM產(chǎn)品在不丟失連接的基礎上每秒能夠成功處理的最大連接數(shù)，其測試結果的單位是連接/秒。

測試時，我們以Avalanche 2500模擬內(nèi)網(wǎng)客戶機以不同速率，向外網(wǎng)的Reflector 2500模擬的Web服務器發(fā)送HTTP請求，并下載64字節(jié)的頁面做有效性驗證。通過二分法找到，UTM處理性能的極限情況，我們?nèi)O限情況下負載穩(wěn)定期內(nèi)的60秒平均值作為新建連接速率的測試結果。

最大并發(fā)連接數(shù)是測試一個網(wǎng)絡設備所允許的最大并發(fā)連接容量的基本指標。最大并發(fā)連接說明了UTM產(chǎn)品在不丟失連接的基礎上所能處理的最大連接數(shù)。這個指標除了和新建連接速率有關外，還和UTM本身的內(nèi)存容量、連接數(shù)據(jù)存儲結構有關。

測試時，我們以Avalanche 2500模擬內(nèi)網(wǎng)客戶機，向外網(wǎng)的Reflector 2500模擬的Web服務器發(fā)送HTTP請求，并于Reflector端設置每個連接的等待時間，以維持那些新建的連接，直到UTM產(chǎn)品達到并發(fā)處理的最大上限。

應用吞吐量是衡量網(wǎng)絡設備對應用層數(shù)據(jù)處理能力的基本指標。測試時，我們以Avalanche 2500模擬內(nèi)網(wǎng)客戶機以一定的速率，向外網(wǎng)的Reflector 2500模擬的Web服務器發(fā)送HTTP請求，并下載1MB大小的數(shù)據(jù)，我們?nèi)∝撦d穩(wěn)定期內(nèi)，Reflector服務器發(fā)送數(shù)據(jù)的60秒平均值作為測試結果。

為了考察UTM綜合處理效率，我們還同時開啟防火墻、VPN、防病毒以及入侵檢測等模塊進行應用吞吐量測試。測試時，我們以Avalanche 2500模擬IPSec VPN網(wǎng)關與被測UTM產(chǎn)品進行IPSec VPN對聯(lián)，對于無法完成IPSec協(xié)商的產(chǎn)品，我們允許采用同等型號的設備進行IPSec VPN對連。

在隧道建立后，我們要求UTM開啟防病毒和入侵檢測，對其內(nèi)部傳輸?shù)臄?shù)據(jù)進行分析，測試過程與應用吞吐量類似，性能測試結果見。

UTM產(chǎn)品測評：功能測試

基本功能測試。作為一款網(wǎng)關型產(chǎn)品，UTM對復雜網(wǎng)絡的支持能力值得用戶關注。在本項測試中，我們主要考察UTM部署模式是否支持橋、路由和混合模式，NAT功能實現(xiàn)的完善程度以及策略描述的能力，帶寬管理能力和VPN的支持能力。

擴展功能測試。目前，很多中小型企業(yè)由于工作性質(zhì)或帶寬的限制，需要對IM類即時通信類軟件產(chǎn)品、P2P軟件進行阻斷、限流控制，這就給UTM產(chǎn)品的應用層協(xié)議分析能力提出了更高的要求。因此，在本項測試中，我們還考察了UTM產(chǎn)品對這類應用的識別和監(jiān)控處理能力。

對于中小企業(yè)，一定的垃圾郵件過濾能力以及對Web內(nèi)容過濾能力也是它們需要的。面對用戶需要，UTM產(chǎn)品中的這些防護模塊究竟能夠到達什么樣的防護效果，與專業(yè)的過濾產(chǎn)品相比有何不足，也是用戶所關注的。

另外，我們在進行UTM產(chǎn)品測評時還考慮到某些產(chǎn)品的特色功能，例如，負責均衡、HA等，我們還根據(jù)實驗室的環(huán)境進行了有效性測試。

易用性。UTM設備不同于交換機、路由器等網(wǎng)絡產(chǎn)品，管理員往往需要通過基于對一段時間內(nèi)發(fā)生網(wǎng)絡事件的分析，對現(xiàn)行的安全策略進行修改，因此UTM產(chǎn)品的易用性就非常重要。我們在評價一款UTM產(chǎn)品的易用性時，主要從以下幾個方面進行分析。

安裝與部署。我們主要考察UTM產(chǎn)品是否具有安裝向導，支持的管理方式，支持的聯(lián)機模式以及是否具備遠程統(tǒng)一管理能力等。

規(guī)則設定?？疾霼TM應用規(guī)則設定的復雜程度，是否支持基于時間、特定用戶群（組）制定相應的策略，以及是否支持基于策略的帶寬管理能力。

用戶配置接口。考察UTM產(chǎn)品是否提供自有管理系統(tǒng)、支持語言版本、幫助說明與設置范例等。

日志與報表?？疾霼TM的事件記錄方式、分類方式、記錄備份與發(fā)送方式、報表與統(tǒng)計圖表及警示分析等。

升級與更新。UTM產(chǎn)品固件是否可更新。另外，入侵特征庫、病毒庫、垃圾郵件庫、URL站點庫是否更新、授權的更新方式、以及定期更新時間與狀態(tài)告知等。

賬戶安全管理?？疾霼TM產(chǎn)品是否采用分級管理，分角色方式定義不同控制權限。

調(diào)試手段?？疾霼TM產(chǎn)品是否為用戶提供了必要的網(wǎng)絡故障檢測手段和調(diào)試工具，方便用戶能快速定位故障，例如，Ping、Trace Route、數(shù)據(jù)包捕獲、Telnet、SSH、應用協(xié)議跟蹤等。

【編輯推薦】

1. 企業(yè)VPN應用簡單概要
2. 簡析三種VPN服務類型
3. 簡析三種VPN部署模式
4. 八種企業(yè)使用VPN的優(yōu)勢
5. 哪些用戶適合采用VPN進行網(wǎng)絡連接