UTM設備測試總評

這次我們一共測試了3臺中階等級的UTM設備，功能方面，皆具備防火牆、閘道防毒、IPS、VPN、內容過濾，及垃圾郵件過濾等UTM定義中的項目。除了操作各款設備的主要功能之外，也經由FTP傳檔的方式，來測試各款設備的處理效能起伏情況。

除了集中式報表，遠端管理能力也是評估要項

此次測試的設備，硬體上皆提供了多組的網路埠，並且能夠視需求而彈性變更角色，提供多WAN線路備援，或者是多個DMZ，以便區隔多種不同性質的伺服器。除此之外，除了一般常見的NAT模式，許多設備也具備透通模式的部署能力，以便於上線初期的測試，或者是利用內建多重過濾引擎的特色，提供安全檢測的服務。

廠商一般都會提供管理軟體，以便收集、分析設備的事件記錄，有些產品還直接將這項功能內建於設備，就像我們這次所測試的Check Point UTM-1 270，協助企業分析設備收集所得的事件記錄，同時長期保存，做為日後備查之用。

對於需要在網路環境中部署多臺UTM的企業來說，集中式的報表功能只是基本需求之一，能否提供遠端設定的能力也很重要。

以我們這次接觸的廠商來說，像是合勤的Vantage CNM、SonicWALL的GMS就有提供遠端管理的能力，可由遠端操作UTM的各項設定，甚至更新韌體。

當設備發生故障，需要處理時，遠端管理的功能更能顯現出好處，因為IT人員不需千里迢迢地到現場處理，僅需寄送一臺已經做好網路基本設定的設備，由分公司人員自行替換，之後就能從遠端進行設定。

SSL VPN已逐漸成為UTM基本功能之一

這次我們測試的設備皆提供了SSL VPN的連線功能，雖然這不是UTM定義中的功能項目，但隨著企業需求的增加，因此後來許多設備也加入了這項功能。和單一功能的SSL VPN相比，多數UTM所提供的存取功能只是前者的一部份而已，最常見的使用方式是透過連接器建立VPN通道。

要注意的是，SSL VPN是一項相當耗用系統資源的服務，大多數的UTM設備在硬體上並不具備專用的VPN加密晶片，有些型號較舊的設備是透過韌體更新的方式才具備這項能力，性能上因此不適合用來提供大量人數的SSL VPN存取。

搭配專用ASIC晶片仍有必要性

隨著硬體架構的演進，無論是一般的x86泛用型，或者採用網路處理器（Network Processor）的專用平臺，在處理封包的能力上，皆比上一代產品要有所提升。不過從我們實測所得的數據來看，這3臺設備開啟多項功能之後，仍舊會出現很明顯的效能波動，尤其閘道防毒這類需要解析封包內容的服務更是如此。

【相關報導請參考「UTM設備採購大特輯」】