集中式威脅管理(UTM)產品測試總評

在這次的測試中，我們以安裝與建置、規則設定、操作介面、記錄與報表、升級與更新及效能等6大方面評比送測的集中式威脅管理（UTM）產品，並需具備防火牆、VPN、IPS、防毒、垃圾郵件過濾與內容過濾等功能。

兼具路由與透通模式可降低建置難度
此次送測的產品，大多都同時兼具路由與透通兩種傳輸模式，路由模式可以讓後端網路得到比較好的安全保護效果，但是設定較為複雜，甚至要重新設定。用透通模式安裝設備則較為方便，不過就無法藉由防火牆阻擋未提供的服務埠，容易造成安全防護的問題。

產品的初始設定大多都有安裝精靈可以協助建置，但是僅是協助設定WAN端與LAN端IP位址、DHCP伺服器以及虛擬伺服器而已，其他的NAT或路由設定，都必須另行搭配設定，操作上較為不便。不過，設備都有提供設定檔匯出功能，只要第一次設定完成，之後就只需要回復設定即可。

防火牆設定是所有安全規範的基礎
這次送測產品都是以防火牆為基礎，先以防火牆阻擋不必要的協定，才進而過濾防火牆允許進入的封包，因此防火牆效能的好壞就相當於這臺設備的成敗。而設定防火牆規則的難易程度，也就決定管理者可以設計多精細的過濾規則。

由於防火牆具備方向性，要是設定錯誤很有可能阻擋了內部對外的流量，甚至誤將外部危險流量導至內部重要的伺服器上，因此設定上不得不慎。雖然有些設備並沒有防火牆規則精靈，但是在設定畫面上，我們依然能夠以清單及點選方式輕鬆地設定防火牆，有些設備還會在新建立或修改規則時，彈跳出警示訊息，通知管理者要注意其他環節以避免設定出錯。

另外，IPS、防毒與垃圾郵件過濾等功能，則大多依附著防火牆規則中執行，近似防火牆規則中的一個附屬選項，點選之後就能得到相關的保護。不過，這次送測的設備硬體架構差異頗大，部分設備採用ASIC防火牆的設計架構，有一部份設備則是由x86處理器執行防火牆規則，這時候處理器的差異就相當明顯了。一般來說，使用ASIC晶片的防火牆處理效能會較x86處理器來的快。

另外單就x86架構來說，還可分為內嵌於OS核心或純應用程式方式兩種。其中內嵌在OS核心的方式可直接存取處理器資源，所耗用的資源較少，而以應用程式方式執行的功能，則需要OS作為存取資源的媒介，因此系統資源耗損較高。

而VPN加密通道則是其中最消耗資源的服務，在測試過程中，不少設備在未開啟VPN之前，效能表現都有一定水準，但是在開啟VPN通道之後，效能就大幅下滑，嚴重影響傳輸品質。如果企業需要VPN加密通道以便遠端員工存取資源，建議另行採購VPN硬體，以避免效能下降的困擾。

網頁防毒也逐漸成為重要的項目，除了過濾間諜軟體或是不當scripts之外，也開始延伸至網頁郵件與經過SSL加密的網頁上，其中HTTPS部分的防毒也開始成為重要的課題，此次測試中，L7 IB-100就能夠過濾透過HTTPS傳遞的病毒，防制惡意軟體藉由安全通道進入內部網路。

大多使用英文介面及說明文件，需要教育訓練協助
這次送測的設備幾乎都只有英文管理介面，對於較常見的設定與功能來說，語言並不是太大的問題，但是由於UTM設備需要統整式的政策與規則，採用英文介面往往會降低使用上的親和力，同時也會增加設定錯誤的機率，加上相關的說明文件又多是以英文編寫，如果廠商所提供的教育訓練不夠完整，或是新增功能部分並沒有提供詳細的操作說明，也會讓管理者耗費許多時間在研究如何管理與變更設定上，反而得不到原先預期的功效。

設定精靈則是送測設備中普遍缺乏的功能，在路由模式中，有許多提供外部員工連線的伺服器都會移往內部，在這部分如果沒有設定精靈提供協助，就有可能設定錯誤。我們最常遇到的就是如何讓被動式的FTP用戶端通過防火牆，並連線到伺服器，如果有設計良好的設定精靈，就可以降低這部分的設定難度，減少管理上的時間損耗。

自動更新特徵與病毒碼，隨時保持在最佳狀態
此次送測的設備都支援線上更新特徵及病毒碼的功能，不需要管理者手動下載並上傳至設備上更新，最少都能夠每小時檢查一次，可有效避免零時差攻擊（Zero-day Attack）。

然而不管設備的更新週期多短，關鍵還是在於IPS或防毒引擎的廠商是否能夠快速並及時釋出更新版本的病毒碼，如果未及時釋出，就算設備每10分鐘更新一次也是枉然。

相較於特徵與病毒碼的線上即時更新，大多數設備對於更新韌體的態度就保留許多。因為韌體直接影響到設備功能的健全性，大多數設備的更新方式還是由管理者先行下載，並在管理介面上傳至設備後更新，這也是為了避免斷線或斷電等突發狀況發生，造成設備的損毀。

效能波動大，取決於開啟功能的多寡
在這次產品評比中，我們可以很明顯地看出，VPN功能的啟動與否是影響傳輸效能的最大關鍵。在沒有VPN加解密晶片的狀況下，開啟VPN功能很容易就讓處理器負載率高於50%，並且影響其他功能的運作。

設備所開啟的過濾功能越多，也會影響到效能呈現。一個只啟動防火牆功能的設備，就像火車站的驗票員，只要車票是這班列車的乘客就可以上車。開啟防毒功能之後，乘客就需要多經過一道金屬探測門，雖然步驟簡單，但已經拖慢了一點速度。倘若在加上IPS功能，等於是還要經過X光機檢查，確認沒有問題才放行。如此層層關卡之下，只要處理效能不夠好，就像是1個警衛必須查驗數百個乘客，傳輸效能自然降低。

在經過我們評估與測試之後，雖然Symantec Gateway Security 5640未提供Client VPN軟體，但是因為其硬體架構及其他測試項目的優異表現，我們認為他是這次評比中效能最佳的設備。

另外就整體表現與價格比這一項來看，Zyxel ZyWALL 70 UTM的建議售價為95000元，整體評價總分為7.45，每萬元的價格效能比為0.784，是這次UTM產品評比中最值得採購的產品。文⊙羅健豪

<<我們如何測試UTM>>
在本次採購特輯中，我們設計了一個測試環境，用以驗證設備的功能，並測試其傳輸效能，藉此評比提供讀者最適當的選擇。

>>測試環境
我們將受測設備與監控臺放置於192.168.123.x的網段中，以100 BASE-T連接，並配發固定IP位址。受測設備的LAN端建置HTTP、SMTP、POP3與FTP等主要網路服務伺服器，並透過防火牆與NAT發布至外部網路上，讓外部使用者得以正常使用相關服務；LAN端另放置3臺用戶端電腦，藉以驗證政策管理的功效。

>>測試方式
我們以FTP方式測試設備的傳輸效能，在FTP伺服器上建立一個資料夾，其中包含各種類型且大小不一的檔案，合計906MB，由外部的用戶端在100Mbps環境中下載，測試在各種不同條件下的傳輸速率。我們一共設定了7種條件：

1. 防火牆+NAT
2. 防火牆+NAT+IPS
3. 防火牆+NAT+Antivirus
4. 防火牆+NAT+IPS+Antivirus
5. 防火牆+NAT+VPN
6. 防火牆+NAT+VPN+IPS
7. 防火牆+NAT+VPN+IPS+ Antivirus
另外我們也以EICAR的病毒測試樣本測試網頁及郵防毒功能。

>>計分方式
我們在6大方向中設定了多項指標，並以這些指標作為計分的基礎。

1.安裝與建置：安裝精靈、網頁介面、面板控制、連線模式及高可用性等。
2.規則設定：防火牆與NAT設定精靈、VPN設定精靈、VPN連線方式、可否自訂IPS規則、內容過濾項目與應用協定等。
3.操作介面：是否提供自有管理系統、支援語系、線上說明與設定範例等。
4.記錄與報表：記錄容量、分類方式、記錄備分與發送方式、報表與統計圖表及警示分析等。
5.升級與更新：韌體是否可更新、授權更新方式、特徵碼更新方式、定期更新時間與狀態告知等。
效能：以傳輸速率為評分標準。

UTM產品測試報告
最佳效能：Symantec Gateway Security 5640
Nusoft MS2000
L7 IB-100
Fortinet FortiGate 100A
Astaro Security Gateway 220 V6