第一,对于传统上描述的根据“并发用户连接数”来判断UTM的性能并不科学。对此,王景辉解释道,市场中一些不规范的小厂商经常用该数值误导用户。事实上,UTM不同于防火墙,后者建立Session后就不再干预了,可是UTM还要进行深度包检测。因此从目前网络趋势看,特别是P2P应用泛滥的情况下,很可能一个QQ直播或者Skype用户就可以产生几百个甚至一千个连接,因此仅靠标称支持多少并发用户对于UTM是没有保证的。
要评审一款UTM的性能,叶建辉觉得比较科学的方法是以一般用户对不同应用的比例来仿真加压测试(stress test)。如按比例加大Email、HTTP、FTP的流量。但每个用户的应用比例都不一样,所以这种测试的结果也不代表对所有用户有用。
第二,UTM的单点故障问题。UTM部署在网关的时候,在一定程度上是存在单点故障隐患的。毕竟大量的功能模块集中在一台设备里,一旦出现问题,网络很可能瘫痪。目前像神州数码网络和WatchGuard都采用了遇到性能瓶颈时的bypass策略。通过对UTM系统参数的监控,一旦发现CPU、内存快到临界点的时候,马上关闭一些消耗较大的功能,可以在一定程度上避免单点故障的问题。
第三,内容过滤与内网控制。对国内用户的调查显示,很多企业对于内网的P2P和IM软件的应用心存余悸,特别是在学校里尤其明显。因此以深信服和神州数码网络为代表的国产UTM厂商,都在自己的产品中加入了接入层多元素绑定技术,同时开发了针对QQ、BT、MSN、Skype的带宽限制、应用阻挡功能。此外针对邮件、Web的泄密问题,这些UTM还支持基于控件的内容审计、日志记录和邮件延迟审计功能,实现对所有内网监控、控制、审计、提供报表、流量管理,确实满足了国内用户特定的需求。
第四,VoIP冲突。随着VoIP的发展,在国外已经出现了由于大量VoIP小包对UTM造成的性能冲击问题。事实上,VoIP有其特点,比如它是UDP包,而不是TCP包。对此,叶建辉指出UTM可以进行专门优化。对于所有VoIP例行的UDP包,只进行简单扫描,可以放过。因为语音数据包里基本没有垃圾邮件和病毒,所以通过UTM引擎可以对VoIP进行优化。
而针对VoIP的两种主要协议:SIP和H.323都有自身的安全漏洞。对此,梁小东认为,通过UTM设备,可以在很大程度上给VoIP套上另一层保护。与国外的情况不同,很多国内用户习惯将VoIP通过IPSec VPN通道。对此,王景辉和王延华均表示,目前很多一线UTM厂商的产品都可以穿越隧道进行扫描,有些还可以在加解密之前进行病毒检测,因此安全上没有问题。
