由於UTM的獨特功能組合,因此造就了其特殊應用的一面。對此,企業用戶必須有一個全面的判斷。
第 一,對於傳統上描述的根據「併發用戶連接數」來判斷UTM的性能並不科學。市場中一些不規範的小廠商經常用該數值誤導用戶。事實上,UTM不同於防火牆, 後者建立Session後就不再幹預了,可是UTM還要進行深度包檢測。因此從目前網絡趨勢看,特別是P2P應用氾濫的情況下,很可能一個QQ直播或者 Skype用戶就可以產生幾百個甚至一千個連接,因此僅靠標稱支持多少併發用戶對於UTM是沒有保證的。
要評審一款UTM的性能,比較科學的方法是以一般用戶對不同應用的比例來仿真加壓測試(stress test)。如按比例加大Email、HTTP、FTP的流量。但每個用戶的應用比例都不一樣,所以這種測試的結果也不代表對所有用戶有用。
第 二,UTM的單點故障問題。UTM部署在網關的時候,在一定程度上是存在單點故障隱患的。畢竟大量的功能模塊集中在一台設備裡,一旦出現問題,網絡很可能 癱瘓。通過對UTM系統參數的監控,一旦發現CPU、內存快到臨界點的時候,馬上關閉一些消耗較大的功能,可以在一定程度上避免單點故障的問題。
第 三,內容過濾與內網控制。對國內用戶的調查顯示,很多企業對於內網的P2P和IM軟件的應用心存餘悸,特別是在學校裡尤其明顯。因此國產UTM廠商,都在 自己的產品中加入了接入層多元素綁定技術,同時開發了針對QQ、BT、MSN、Skype的帶寬限制、應用阻擋功能。此外針對郵件、Web的洩密問題,這 些UTM還支持基於控件的內容審計、日誌記錄和郵件延遲審計功能,實現對所有內網監控、控制、審計、提供報表、流量管理,確實滿足了國內用戶特定的需求。
第 四,VoIP衝突。隨著VoIP的發展,在國外已經出現了由於大量VoIP小包對UTM造成的性能衝擊問題。事實上,VoIP有其特點,比如它是UDP 包,而不是TCP包。對此UTM可以進行專門優化。對於所有VoIP例行的UDP包,只進行簡單掃瞄,可以放過。因為語音數據包裡基本沒有垃圾郵件和病 毒,所以通過UTM引擎可以對VoIP進行優化。
而針對VoIP的兩種主要協議:SIP和H.323都有自身的安全漏洞。通過UTM設 備,可以在很大程度上給VoIP套上另一層保護。與國外的情況不同,很多國內用戶習慣將VoIP通過IPSec VPN通道。目前很多一線UTM廠商的產品都可以穿越隧道進行掃瞄,有些還可以在加解密之前進行病毒檢測,因此安全上沒有問題。
原文出處
第 一,對於傳統上描述的根據「併發用戶連接數」來判斷UTM的性能並不科學。市場中一些不規範的小廠商經常用該數值誤導用戶。事實上,UTM不同於防火牆, 後者建立Session後就不再幹預了,可是UTM還要進行深度包檢測。因此從目前網絡趨勢看,特別是P2P應用氾濫的情況下,很可能一個QQ直播或者 Skype用戶就可以產生幾百個甚至一千個連接,因此僅靠標稱支持多少併發用戶對於UTM是沒有保證的。
要評審一款UTM的性能,比較科學的方法是以一般用戶對不同應用的比例來仿真加壓測試(stress test)。如按比例加大Email、HTTP、FTP的流量。但每個用戶的應用比例都不一樣,所以這種測試的結果也不代表對所有用戶有用。
第 二,UTM的單點故障問題。UTM部署在網關的時候,在一定程度上是存在單點故障隱患的。畢竟大量的功能模塊集中在一台設備裡,一旦出現問題,網絡很可能 癱瘓。通過對UTM系統參數的監控,一旦發現CPU、內存快到臨界點的時候,馬上關閉一些消耗較大的功能,可以在一定程度上避免單點故障的問題。
第 三,內容過濾與內網控制。對國內用戶的調查顯示,很多企業對於內網的P2P和IM軟件的應用心存餘悸,特別是在學校裡尤其明顯。因此國產UTM廠商,都在 自己的產品中加入了接入層多元素綁定技術,同時開發了針對QQ、BT、MSN、Skype的帶寬限制、應用阻擋功能。此外針對郵件、Web的洩密問題,這 些UTM還支持基於控件的內容審計、日誌記錄和郵件延遲審計功能,實現對所有內網監控、控制、審計、提供報表、流量管理,確實滿足了國內用戶特定的需求。
第 四,VoIP衝突。隨著VoIP的發展,在國外已經出現了由於大量VoIP小包對UTM造成的性能衝擊問題。事實上,VoIP有其特點,比如它是UDP 包,而不是TCP包。對此UTM可以進行專門優化。對於所有VoIP例行的UDP包,只進行簡單掃瞄,可以放過。因為語音數據包裡基本沒有垃圾郵件和病 毒,所以通過UTM引擎可以對VoIP進行優化。
而針對VoIP的兩種主要協議:SIP和H.323都有自身的安全漏洞。通過UTM設 備,可以在很大程度上給VoIP套上另一層保護。與國外的情況不同,很多國內用戶習慣將VoIP通過IPSec VPN通道。目前很多一線UTM廠商的產品都可以穿越隧道進行掃瞄,有些還可以在加解密之前進行病毒檢測,因此安全上沒有問題。
原文出處
全站熱搜
留言列表
