UTM設備提供綜合的功能和安全的性能，降低了復雜度，也降低了成本，適合企業、服務提供商和中小辦公用戶的網絡 環境。UTM設備能為用戶定制安全策略，提供靈活性。用戶既可以使用UTM 的全部功能，也可酌情使用最需要的某一特定功能。UTM設備能提供全面的管理、報告和日志平臺，用戶可以統一地管理全部安全特性，包括特征庫更新和日志報 告等。隨著性能的提高，大型企業和服務提供商也可以使用UTM作為優化的整體解決方案的一部分。    

Juniper和深信服談提升UTM性能

Juniper和深信服：為了提升UTM的性能，好的方法是：要優化UTM的硬件結構，加入硬件加速。目前產品的 X86架構主要是單總線架構，以后可以引入多總線的并行處理，加快處理能力。多總線還可以配合NP使用，包括多核平臺的引入。軟件方面也可以改進，但是硬 件更有優勢。對于這種硬件，UTM更新特別快，做成專用硬件是否升級有問題，還需要驗證。特別是攻擊在比較復雜的時候，是否合適還需要驗證。

聯想網御談提升UTM性能

聯想網御：目前解決UTM性能的問題，主要有兩種：一是軟件算法的更新，完全來做基于內容的檢測。另一種是通過 ASIC芯片或者FPGA芯片來做。后者通過硬件檢測來做，內容處理和內容檢測的速度會好。ASIC就是一個引擎，就是用來內容匹配。比如HTTP上的文 字內容或者病毒樣本，都可以轉換成正則表達式去匹配，因此ASIC主要通過匹配來檢測內容上是否有非法的東西，如攻擊、病毒。目前下一代NP芯片還沒有產 品化，未來可能成為技術的方向，目前ASIC、FPGA都在比對工作。未來在低端上還是通過純軟件來處理。另一個方向是用多核的技術。目前多核平臺是在開 發初期，真正成熟的多核平臺產品還沒有出來。多核平臺帶來最大的變化是整體性能的提高，高速并發處理。目前UTM廠商使用的Intel、AMD提出的多核 技術僅僅用到了80%的功能，大部分UTM的軟件現在還不支持。

Network World談提升UTM性能

美國《Network World》：為了應對UTM的性能損失，廠家一般都在向內容處理器上靠攏，也成為CP或者下一代NP。它屬于一個可編程的多內核處理器（6個，8個）， 有點類似NP。CP可以把很多應用協議硬件化，NP只能在網絡層，任何條件可以自己編寫。但是CP可以把HTTP、FTP等應用條件都用硬件做，包括常見 的協議都用硬件做。屬于更加高層次的NP，可以提升10倍以上的性能。明天第五代UTM產品。這個也是屬于第三方芯片廠家來做的，安全廠商主要開發上層應 用。明年會有很多廠商轉到這上面來。

神州數碼網絡談提升UTM性能

神州數碼網絡：網關防病毒，一定要采取一些技術來解決。可以采用多檢測引擎互嵌技術；還有一個流檢測技術。多檢測 引擎互嵌技術是說，如果簡單把模塊堆疊在一起的時候，會經過防火墻、VPN認證、檢查病毒、垃圾郵件處理，一個串行處理過程。合理的方法是把模塊整合到一 起，如果進行垃圾郵件過濾，又要進行郵件查毒，那么就先進行垃圾郵件過濾，然后再進行郵件防毒的工作。VPN也是，先查病毒，在進行VPN加解密。可以把 這種技術做成一種靈活的規則，減輕UTM負擔。流檢測是說，當用戶使用HTTP下載或者收郵件的時候，不采用代理技術。

傳統代理技術要完全接管連接的整個過程，然后在發給客戶端。而神州數碼從開始的時候直接把包轉發給客戶端上，但所 有的病毒都是在第七層的，只有完全收下來后才會是病毒。因此UTM只需要把最后幾個包不轉發給客戶端就可以了。也就是說，客戶端開始收到了一部分包，但是 利用UTM的拷貝技術，UTM進行查毒，發現是病毒，則最后幾個包拒絕推給用戶。這個是神州數碼獨有的功能。因此在查病毒的時候速度優勢非常明顯。通過測 試，采用流檢測技術后，UTM性能下降僅僅有10幾個百分點。最明顯的，直接打開一個網頁點擊另存，別人的產品會先查毒，后下載，速度慢；而我們直接開始 下載，只是到最后幾個包的時候，UTM開始查毒，因此速度會快90%。基于對協議的了解，要求最后幾個包的判斷準確。所有數據包在三層傳的時候，都要分包 分段，神州數碼網絡利用數據包的Segment和序列號來控制，不發給用戶。前面包收下來的時候UTM做拷貝，那個時候做檢測沒有意義，因為第七層檢測的 時候三層的包不會被認識。

WatchGuard談提升UTM性能

WatchGuard：安全行業從前多是采用一種ASIC架構的UTM，主要是加快Firewall的功能、 IDS的功能。但是普通的電腦功能，如anti-virus、anti-spamming等，不可以用ASIC來加快，對此，ASIC是沒有用處的。 WatchGuard設計UTM時，將成本更多投放到general-purpose CPU上，而不是放到ASIC上，這就是我們的general-purpose CPU的UTM架構方向。WatchGuard取General-purpose CPU作為發展UTM的架構，對UTM功能如Gateway Anti-virus, IDS, Anti-Spamming, Anti-Spyware及URL Filtering來說，用General Purpose CPU來架構會比以ASIC能提更有效與更靈活地達成。

后記

UTM是對傳統防護手段的整合和升華，是建立在原有安全網關設備基礎之上的，擁有防火墻、入侵防御（IPS）、防 病毒（AV）、VPN、內容過濾、反垃圾郵件等多種功能，這些技術處理方式仍然是UTM的基礎，但這些處理方式不再各自為戰，需要在統一的安全策略下相互 配合，協同工作。

當然，對于眾多的功能，有必備功能和增值功能之分。一般而言，防火墻、VPN、入侵防御、防病毒是必備的功能模塊，缺少任何一個不能稱之為UTM。其余是增值功能，用戶可以根據自身需求進行選擇。

站在用戶角度，面對的是整個網絡、所有業務的安全，整體的安全策略實施是非常重要的。統一的策略實施是使多種安全功能形成合力的關鍵，各自為戰是不能實現整體安全策略的。因此在UTM處理方式中，需要特別考慮策略的協調性、一致性。