UTM設備採購建議：注意效能與連線數

一般來說，網路設備至少需要具備防火牆、IPS及閘道防毒三項功能，才能稱做UTM（Unified Threat Management，統一威脅管理），而透過這類設備的統一管理，能夠降低建置成本與管理負擔，這是企業願意捨棄單一功能設備，轉而採購UTM的兩項主要原因。

單一功能的設備固然可以提供較佳的功能與效能，但另一方面，整體的建置費用（多臺單一功能的設備）也會相對高出不少，此外，由於不同功能的設備，管理人員需要個別操作，因此在維護上也會來得複雜許多，這種情況對於採用不同廠牌設備的企業來說，更是如此。如果企業對於個別功能的使用需求不高，那麼部署多合一的UTM會是比較理想的選擇。

需透過上線方式，實地驗證設備效能

講到UTM，很多人直覺聯想到的是效能似乎不太理想，雖然廠商針對早期使用者的疑慮，陸續推出效能更好的新一代設備，試圖解決設備開啟特定功能時（如IPS、閘道防毒、VPN），所出現的效能瓶頸，不過從我們這次測試所得的數據來看，還是可以看到一定程度的效能波動。

廠商提供的效能數據，多半是在實驗室環境下，透過SmartBit之類的測試設備，傳送特殊封包所得的結果，由於實驗室的封閉測試是讓設備能夠跑出最高數據為主要目的，不能代表實際上線的情況也是如此，因此向廠商借用設備實測，確認效能是否符合需求就有其必要性。

不單只有設備傳輸流量的效能，另外一項值得留意的數據是連線數。如果我們以100人做為中型企業的規模門檻，以此次所借測的3款中階等級UTM（Check Point UTM-1 270、SonicWALL NSA 2400、合勤ZyWALL USG 1000）為例，在正常狀態下，理應可以滿足企業的使用需求，但是在一些特別的狀況下，例如電腦中毒，同時透過網路亂傳封包，或者員工在內部網路使用P2P軟體傳檔，連線數爆增的情況下，便有可能造成設備的記憶體容量耗盡，無法新增更多的連線，而使得網路存取發生異常。

對於P2P的管理，最簡單有效的方式就是透過設備禁止使用，但網路病毒的控制就沒有前者來得容易，因此採購設備時，就有必要針對這點加以留意，先行預留設備的處理容量。

要注意的是，UTM的連線數在不同狀況下是有差異的，和設備的流量效能一樣，當開啟愈多項功能之後，能夠負載的連線數也會隨之遞減，這部份的驗證上，除了實際上線測試之外，我們也曾經聽過某銀行是採用工具測試，以便在短時間了解設備的負載能力。

採購時需考慮未來擴充性

隨著目前企業申裝的線路頻寬愈來愈大，同時透過多條線路連外的企業也很常見，因此採購設備時也必須考量到日後的擴充性，以免發生採購未久的設備因此出現不敷使用，造成必須重新採購的浪費發生。

經銷多種UTM設備的Server Bank業務經理張展源表示，一般企業採購UTM設備的時候，多半會考慮比現有需求再高出一到兩階的產品，原因就是著眼於日後的擴充性，使得設備能夠因應操作環境的變化，而持續提供服務。

了解廠商的技術能力，進一步評估產品的防護效果

企業之所以會購買UTM，除了連接網路提供連線及路由服務之外，另外一個目的就是做資安防護，針對這點，企業評估UTM產品時，了解廠商的背景及技術能力很重要，因為出了重大資安狀況時，他們必須有辦法協助企業處理。

以IPS為例，很多UTM的這項功能都是從Snort這套開放源始碼的套件修改而來，整合的過程中，往往只是拿掉沒有使用到的部份，最後加上圖形化的設定介面而己。由於這套軟體是完全免費的，除了廠商之外，駭客也能下載取得，尋找可能突破的漏洞，只要他們有所發現，並且開發出攻擊模式，不少市售產品就幾無招架之力。

廠商當然不會把這些實話告知用戶，這部分必須得靠企業自行去判斷、了解，才能買到可以有效提供防護功能的UTM設備。

閘道防毒的效能仍有改善空間

UTM的閘道防毒是企業經常用到的一項功能，在許多人的印象中，UTM的角色就等於同防毒牆，但實際上，和趨勢、McAfee等廠商所推出的單一功能的防毒牆設備相比，兩者在流量封包的處理上還是有相當差距，為了維持效能，UTM搭載的防毒模組主要是用來偵測常見的病毒，對於未知型態的病毒，或是經過多次編譯，也就是所謂加殼的程式，就無法有效處理。如果企業特別重視閘道防毒的效果，我們會建議還是購買專用的防毒牆為佳。

閘道防毒是影響UTM效能最為明顯的一項功能，由於封包經過設備的時候，掃毒引擎需要拆解、重組封包內容，才能判斷是否帶有惡意程式，設備執行掃描工作時，必須得消耗大量處理器資源，因而影響到設備轉送流量封包的能力，導致效能的下滑，不過某些廠商在設計產品時，已考慮到這一點，可減少因設備開啟這類深層檢查服務時，所造成的效能波動。

像我們這次測試的合勤ZyWALL USG 1000，硬體方面就有提供專用的SecuASIC晶片處理防毒及IPS的運算工作，盡量把處理器效能保留給路由運算及封包轉送的第3層工作。

值得注意的是，ASIC並非在所有情況下都能完整發揮其效果，舉例來說，當處理器滿載的情況下，就無法即時處理ASIC運算完畢所回傳的資料。此外，ASIC設計的良窳也直接反映在設備的效能數據上，並不是只要有ASIC，就一定能解決設備處理特定工作時所造成的效能瓶頸。

SSL VPN逐漸成為必備功能

愈來愈多的UTM在功能上加入了SSL VPN的存取能力，過去曾經有不止一位使用者對我們表示，這項功能對於他們來說就相當必須，像是某些特殊的網路架構下，既有的PPTP及IPsec VPN可能會產生連線異常的問題，此時就需要借助具備良好穿透力的SSL通道來傳送資料。

不過大多數的UTM設備在硬體方面並未提供專用的加、解密晶片，僅適合用來提供少量的SSL VPN存取，在連線數較多的情況下，我們會建議企業另外額買專用設備，以免影響效能。

SSL VPN已逐漸成為必備功能，提供企業更具彈性的遠端存取功能。

藉由設定精靈的輔助，可大幅降低功能設定上的難度。

除了掃毒引擎之外，某些UTM設備還有專用的反間諜程式引擎，可減少惡意程式入侵系統的機率。

【相關報導請參考「UTM設備採購大特輯」】