性能篇

    美国《网络世界》和中国《网络世界》分别在8月底和9月初进行了各自的UTM产品的测试与用户调查，结果显示，目前市场上的UTM产品，在全套安全功能都打开的情况下，遭遇到50%至96%的性能损失。

    损失：从50%说起

    UTM的性能损失问题在全世界都不是秘密，根据美国《网络世界》的调查，几乎100%的用户都对UTM性能下降的问题表示关注，其中有近半数的用户对于超过50%的性能下降表示吃惊。

    回到国内，情况同样不能乐观，一些厂商的100M UTM产品，在单独打开网关防毒功能后，性能下降到8M；如果单独打开IPS功能，性能也接近8M；如果两项功能全部打开，性能下降到6M。有些产品甚至可以到达96%的性能下降。

    事实上，很多厂商都表示，类似的情况属于正常现象，区别仅仅是下降的幅度而已。深信服的产品经理叶宜斌表示说，由于UTM往往肩负防火墙、网关防病毒、入侵检测、内容过滤等多种功能，因此受制于深度检测与模式匹配的原理，网络层上无法找到流量共性，所以目前市场上主流的UTM产品，大部分都采用X86架构，硬件平台的结构决定了性能下降的必然性。

    Crossbeam的CEO Peter G. George先生此前在接受记者采访时曾表示，即便是采用FPGA+ASIC+NP架构的高端交换式架构UTM，一样会出现性能下降的表现，只不过幅度较小而已。

    Juniper的产品经理梁小东表示，目前影响UTM性能最为明显的，就是网关防病毒和入侵检测功能。因为这两项功能必须涉及到对于第七层协议的分析，特别是要逐一对数据包进行检测，因此面对一些基于HTTP的病毒，系统的开销就会相当大。

    另外，受到市场因素的驱使，很多安全厂家在自身的UTM产品中集成了一些内容过滤的功能。对此，Sonicwall的技术经理蔡永生表示，如果仅仅是对URL进行评估，包括从UTM后台数据库进行评级，看看是阻断还是放行，这种情况不论是设备内置还是旁路到第三方，对CPU的压力都很小。但如果是在UTM里面进行一系列的动态评估，包括对网页、QQ、MSN的内容，那么肯定是相当消耗CPU资源的。

    除此以外，受制于在每一台UTM里面，主要的系统资源、CPU及存储都是有限的，WatchGuard公司亚太区技术总监叶建辉认为，如果在一个繁忙的网络里面，使用反垃圾邮件等功能较多的时候，再快的CPU也有极限，同样将不可避免地拖慢UTM的整体性能。

    总而言之，在UTM各个安全功能中，当需要进行大量特征匹配的工作时（包含内容过滤），对性能会有最大影响。

    解决：软硬同时开攻

    为了追求UTM性能下降的幅度最小，各家厂商往往会在技术上进行一定程度的创新。在目前的技术条件下，想要往UTM的线速上靠拢，主要有两种方案：第一，依靠软件的优化；第二，依靠硬件平台与体系结构的更新。

    联想网御的产品经理王延华表示，目前各家UTM厂商都在进行软件上的优化与算法的更新，力求在做基于内容检测的时候，可以获得最优的效能。而神州数码网络的产品经理王景辉认为，单纯依靠软件的提升始终有限，更有效的做法是把UTM上所有的功能模块进行深度整合。

    其实，针对网关防病毒所造成的性能下降问题，是有一定的技术手段可以解决的。像神州数码网络和WatchGuard都采用了良好的UTM多引擎互嵌整合技术。因为传统上如果简单地把功能模块堆叠在一起，让数据包经过防火墙、VPN、病毒检测、垃圾邮件处理，这样一个串行过程会消耗很多资源。合理的方法是把这些功能模块整合到一起，如果进行垃圾邮件过滤，又要进行邮件查毒，那么就先进行垃圾邮件过滤，然后再进行邮件防毒的工作，从而减少很多垃圾邮件中携带病毒对于UTM的性能开销。另外，像VPN也是如此，先查病毒，后进行VPN隧道加解密。目前厂商已经把这种技术做成一种灵活的规则，以便减轻UTM的负担。

    叶建辉表示，通过ILS（智能分层安全）技术，确保UTM将所有功能整合到一个系统里面，可以实现安全应用的优化，从而更加快速地判断哪些数据包需要详细检查，哪些可以简单放过。

    此外，为了进一步降低病毒对于UTM的检测消耗，一种称之为“流检测”的新技术已经开始投入使用。王景辉介绍说，与传统UTM采用代理技术（Proxy）接管整合连接的方式不同。流检测技术专注在第七层。毕竟不管什么样的病毒，只有当数据包完全接收下来以后才会形成病毒。因此当用户使用HTTP下载或者收邮件的时候，UTM设备可以不采取行动，仅仅利用拷贝机制进行数据复制，同时正常转发数据。一旦最终判断出数据包是病毒，则把最后几个发给用户的包阻止即可。