UTM嫩芽--5款UTM产品横向比较评测

　　根据IDC预测，UTM产品市场在近几年将维持高速的增长态势，在2008年之前将维持平均接近80%的年增长率，并将于2008年成长为一个容量达到20亿美元的细分化市场，占有整个信息安全市场的半壁江山，达到57.6%。

　　虽然目前UTM市场正在以超乎我们预想的速度发展，但是对于很多读者而言，UTM依然是一个陌生的词汇，甚至就连业界也没有形成一个统一的对UTM进行公正评价的标准。为了帮助广大读者深入了解目前的UTM产品、技术水平及应用，《计算机世界》特别于近期组织了本次UTM产品横向比较评测，并通过对UTM产品的综合性能、支持的功能以及易用性等多个方面对其进行了客观公正的综合考察。

　　本次测试引起了业界的普遍关注，最后共有来自安氏领信、FortiNet、SonicWALL、WatchGuard、ZyXEL等5家国内外厂商的5款优秀产品参加了本次评测，具有较好的代表性。在此，我们对这些勇于参加测试，并愿意将自己产品的真实表现展现给读者的厂家表示衷心的感谢。在本次评测中，我们使用了业界认可的思博伦通信的测试仪器、软件，并选用了尽量贴近用户实际应用环境的测试标准，希望为用户采购和应用UTM产品提供有益的参考和指导。

　　UTM来了

　　2004年9月，IDC首度提出了“统一威胁管理”的概念，将防病毒、入侵检测和防火墙等安全设备划归为统一威胁管理（Unified Threat Management，简称UTM）这一新类别。该概念一经提出便引起了业界的广泛关注，并推动了以整合式安全设备为代表的细分化市场的诞生。

　　一时间，国内市场上打着UTM旗号的安全产品如雨后春笋般不断涌现。不过，细心的读者也许能够发现，这些早期的UTM产品往往出自两个源头：一种是基于原有防火墙架构的，并在其上增加其他各项安全功能而实现;而另一种则是基于原有IDS/IPS架构的，并在其上增加各项功能而实现。应该说很多早期的UTM产品更像是防火墙或IDS/IPS产品的改进版，产品本身并没有发生实质性的飞跃。

　　另外，由于部分媒体和厂商的片面宣传引导，很多用户对UTM产品期望值非常高——UTM能够完全解决现有的全部安全问题。在“UTM全能论”的引导下，很多早期的UTM设备往往是大量安全功能简单堆砌而成的产物，并没有在底层做好集成优化设计工作。因此，这些可怜的UTM就像一辆奥拓牵引着一辆满载的货车，过早地背上了沉重的包袱，不但没有解决好安全问题，反而由于缺乏良好的统一管理，足够的性能保证，导致诸多模块协同工作时成为网络的瓶颈和故障点。

　　随着业界对UTM理解的不断深入，以及UTM技术的不断成熟，如今的UTM产品正在从量变走向质变。目前，大多数厂家对UTM产品的设计思路是在一个真正的基于统一威胁管理的平台上，根据需要添加用户急需的安全功能。

　　在支持的功能方面，UTM也逐渐从华丽走向务实，即选择那些用户必备的或是迫切需要的功能。目前，市面上大多数的UTM产品具备了网络防火墙、VPN、网络入侵检测/防御和网关防病毒等多项基本的功能。同时，很多UTM产品还集成了常用的反垃圾邮件、Web内容过滤等模块。另外，诸如安全管理、日志、策略管理、服务质量（QoS）、负载均衡、高可用性（HA）和带宽管理等其他特性，也逐步加入了UTM产品中。不过，这些特性通常都是为主要的安全功能服务的。

　　谁需要UTM

　　随着攻击技术的不断成熟，各类攻击逐步从网络层向应用层发展。单一功能的安全防护设备虽然专业性强，但是往往需要多台设备配合组网，协调性、可维护性、投入成本往往不尽如人意。特别是在不同供应厂商之间出现扯皮的现象时，不利于分析网络故障的原因。而一款优秀的UTM产品往往具备基于应用协议层防御、低误报率检测、高可靠高性能平台和统一组件化管理等特点，其整合化的优势变得非常明显。

　　不过，就目前的UTM产品而言，它们也存在着一些短板，即性能的瓶颈和功能深度不足。首先，UTM是一款网关型硬件设备，各种应用数据均要经过它的检查、处理，因此，网络数据的处理能力非常重要。另外，如果UTM在基本防火墙应用的基础上，再开启那些非常占用资源的协议分析、病毒查杀、入侵检测等应用模块，处理能力会有明显下降。虽然，目前业界也有号称达到千兆级别的UTM产品，但是真正能够达到实用的也就是在百兆级。因此，对于那些对网络要求极高的大型企业以及电信运营商们，目前的UTM并不适合。

　　其次，部分厂商会误导用户。UTM把很多功能都集合在一起，但是受困于处理能力的限制，UTM产品添加的各项功能并没有单一功能的那些产品丰富。用户应该清楚地认识到UTM并不是简单地把几个一加在一起，而是把几个零点几加在一起。这就意味着，UTM产品还不具备功能单一的专业安全产品所能达到的安全级别，并不适合那些对安全极其敏感的行业、企业。

　　在系统地分析了UTM产品本身的特点之后，我们可以发现，目前的UTM产品只有在那些对网络带宽要求不高、安全防护等级不太高的应用场合，才能发挥其功能多、整合性高、易于管理维护、综合成本低的优势。

　　从目前的市场需求来看，国内中小企业对安全产品的要求非常明显：成本低、功能丰富、维护简单、易于管理等，但是对于带宽要求并不高，对安全级别的限制也没有那么严格。因此UTM设备恰好可以满足。试想，如果你把防病毒网关、反垃圾邮件网关、防拒绝服务攻击网关、内容过滤网关等，再加上路由器和防火墙这样的网关都塞给中小企业，就太复杂了，它们需要的就是一体化的网关设备。

　　UTM走向何方？

　　UTM的诞生，是技术发展使然，同时也是市场需求的演变。作为UTM产品，它既要实现常规的网络层安全（例如防火墙功能），又要求高速地处理应用层安全防御（如病毒与蠕虫扫描），所以技术上比一般的单项产品要求高。那么未来的UTM产品将有怎样的发展方向？

　　速度更快

　　由于UTM产品通常会同时运行多个功能模块，因此对系统性能的要求远远大于单纯的防火墙或入侵检测系统。而传统的x86架构产品，已经很难再有所提升，这意味着UTM产品必须使用更高端的硬件技术。

　　ASIC（专用集成电路）是被广泛应用于对性能敏感平台的一种处理器技术，将各种常用的加密、解密、规则匹配、数据分析等功能集成于ASIC处理器之内，才能够提供足够的处理能力，使UTM设备正常运作。

　　除了基于ASIC硬件架构之外，还有很多UTM安全设备使用了近年来兴起的NP（网络处理器）架构。NP是为了缓解ASIC设计周期长、成本高等问题而推出的处理器技术，同时NP能够提供趋近于ASIC的运算效能。

　　在提升硬件速度的同时，UTM产品同样面临着系统优化方面的问题。在认清UTM产品并不是安全功能的简单堆砌之后，如何更好地、更有效地在统一、高效的系统平台上，部署好各个安全模块，处理好集成优化问题，也是UTM厂商需要考虑的。

　　只有这两个方面都做好了，UTM产品才能真正摆脱性能的束缚，冲向千兆，冲向高端应用环境，并为更深入的数据检测提供支撑。

　　兼容WLAN

　　由于WLAN成本的降低，很多企业已经部署或将要部署WLAN产品。但是随着国内无线网络的普及，这些企业也会产生越来越多的安全忧虑。因此，各UTM厂商都需要制订针对国内无线网络的更为行之有效的安全解决方案。例如，如何让UTM产品兼容WLAN，并可以进行相应的策略管理、分发，以降低普通用户使用WLAN的风险。

　　最后，UTM作为网关型设备，其未来的发展还应该与下一代网络的建设紧密相关，随着IPv6、3G网络的不断普及，如何适应现有IPv4网络与其他网络共存而出现的新型安全性问题也十分重要。

　　我们如何评测

　　客观地说，对于UTM这种新兴的网络安全产品，目前业界还缺乏足够规范的测试与评价标准。同时，由于各个厂家对UTM概念理解的不同，也造成了UTM功能方面的差异。这些都给我们本次

　　测试标准的制定增加了一定的难度。因此，我们在制定测试标准时，参考了目前UTM常用的功能，以及基于这些功能的性能评价标准，并广泛听取了所有参测厂家的意见。

　　在本次测试中，我们从用户实际应用角度出发，考察百兆级UTM产品在一个人数规模在100～500人之间的中小型企业的综合防护能力。考虑到众多UTM产品的整合方式以及技术特色方面的差异，我们将本次测试分为性能测试、功能测试和易用性测试等三个方面。

　　需要说明的是，由于各家厂商对UTM产品线的划分不同，所以我们也无法对其送测产品的型号进行硬性规定。但是，可以肯定的是那些性能高、功能全的UTM产品往往意味着不菲的价格，读者在看我们测试结果的时候，切记不要片面追求某项测试指标的高低，应该全面考虑各种因素。

　　性能测试

　　虽说UTM产品的功能差异化明显，但是最基本的防火墙、VPN、防病毒和入侵控测功能还是必不可少的，也是最为常用的。因此，本次性能测试主要针对这4个模块进行。

　　在本项测试中，我们采用业界普遍认可的思博伦通信公司的Avalanche 2500和Reflector 2500专业测试仪器，以及Avalanche 7.50配套性能测试软件。考察UTM产品旨在开启防火墙模块、NAT工作模式状态下的新建连接速率、最大并发连接数以及应用吞吐量。另外，我们还考察了UTM产品在开启防火墙、IPS、防病毒、VPN等模块状态下的应用吞吐量。

　　新建连接速率是测试一个网络设备所能承受最大新建速率的基本指标。新建连接速率说明了UTM产品在不丢失连接的基础上每秒能够成功处理的最大连接数，其测试结果的单位是连接/秒。

　　测试时，我们以Avalanche 2500模拟内网客户机以不同速率，向外网的Reflector 2500模拟的Web服务器发送HTTP请求，并下载64字节的页面做有效性验证。通过二分法找到，UTM处理性能的极限情况，我们取极限情况下负载稳定期内的60秒平均值作为新建连接速率的测试结果。

　　最大并发连接数是测试一个网络设备所允许的最大并发连接容量的基本指标。最大并发连接说明了UTM产品在不丢失连接的基础上所能处理的最大连接数。这个指标除了和新建连接速率有关外，还和UTM本身的内存容量、连接数据存储结构有关。

　　测试时，我们以Avalanche 2500模拟内网客户机，向外网的Reflector 2500模拟的Web服务器发送HTTP请求，并于Reflector端设置每个连接的等待时间，以维持那些新建的连接，直到UTM产品达到并发处理的最大上限。

　　应用吞吐量是衡量网络设备对应用层数据处理能力的基本指标。测试时，我们以Avalanche 2500模拟内网客户机以一定的速率，向外网的Reflector 2500模拟的Web服务器发送HTTP请求，并下载1MB大小的数据，我们取负载稳定期内，Reflector服务器发送数据的60秒平均值作为测试结果。

　　为了考察UTM综合处理效率，我们还同时开启防火墙、VPN、防病毒以及入侵检测等模块进行应用吞吐量测试。测试时，我们以Avalanche 2500模拟IPSec VPN网关与被测UTM产品进行IPSec VPN对联，对于无法完成IPSec协商的产品，我们允许采用同等型号的设备进行IPSec VPN对连。

　　在隧道建立后，我们要求UTM开启防病毒和入侵检测，对其内部传输的数据进行分析，测试过程与应用吞吐量类似，性能测试结果见表2。