性能篇
美國《網絡世界》和中國《網絡世界》分別在8月底和9月初進行了各自的UTM產品的測試與用戶調查，結果顯示，目前市場上的UTM產品，在全套安全功能都打開的情況下，遭遇到50%至96%的性能損失。
損失：從50%說起
UTM的性能損失問題在全世界都不是秘密，根據美國《網絡世界》的調查，幾乎100%的用戶都對UTM性能下降的問題表示關注，其中有近半數的用戶對于超過50%的性能下降表示吃驚。
回到國內，情況同樣不能樂觀，一些廠商的100M UTM產品，在單獨打開網關防毒功能后，性能下降到8M；如果單獨打開IPS功能，性能也接近8M；如果兩項功能全部打開，性能下降到6M。有些產品甚至可以到達96%的性能下降。
事實上，很多廠商都表示，類似的情況屬于正?，F象，區別僅僅是下降的幅度而已。深信服的產品經理葉宜斌表示說，由于UTM往往肩負防火墻、網關防病毒、入侵檢測、內容過濾等多種功能，因此受制于深度檢測與模式匹配的原理，網絡層上無法找到流量共性，所以目前市場上主流的UTM產品，大部分都采用X86架構，硬件平臺的結構決定了性能下降的必然性。
Crossbeam的CEO Peter G. George先生此前在接受記者采訪時曾表示，即便是采用FPGA+ASIC+NP架構的高端交換式架構UTM，一樣會出現性能下降的表現，只不過幅度較小而已。
Juniper的產品經理梁小東表示，目前影響UTM性能最為明顯的，就是網關防病毒和入侵檢測功能。因為這兩項功能必須涉及到對于第七層協議的分析，特別是要逐一對數據包進行檢測，因此面對一些基于HTTP的病毒，系統的開銷就會相當大。
另外，受到市場因素的驅使，很多安全廠家在自身的UTM產品中集成了一些內容過濾的功能。對此，Sonicwall的技術經理蔡永生表示，如果僅僅是對URL進行評估，包括從UTM后臺數據庫進行評級，看看是阻斷還是放行，這種情況不論是設備內置還是旁路到第三方，對CPU的壓力都很小。但如果是在UTM里面進行一系列的動態評估，包括對網頁、QQ、MSN的內容，那么肯定是相當消耗CPU資源的。
除此以外，受制于在每一臺UTM里面，主要的系統資源、CPU及存儲都是有限的，WatchGuard公司亞太區技術總監葉建輝認為，如果在一個繁忙的網絡里面，使用反垃圾郵件等功能較多的時候，再快的CPU也有極限，同樣將不可避免地拖慢UTM的整體性能。
總而言之，在UTM各個安全功能中，當需要進行大量特征匹配的工作時（包含內容過濾），對性能會有最大影響。
解決：軟硬同時開攻
為了追求UTM性能下降的幅度最小，各家廠商往往會在技術上進行一定程度的創新。在目前的技術條件下，想要往UTM的線速上靠攏，主要有兩種方案：第一，依靠軟件的優化；第二，依靠硬件平臺與體系結構的更新。
聯想網御的產品經理王延華表示，目前各家UTM廠商都在進行軟件上的優化與算法的更新，力求在做基于內容檢測的時候，可以獲得最優的效能。而神州數碼網絡的產品經理王景輝認為，單純依靠軟件的提升始終有限，更有效的做法是把UTM上所有的功能模塊進行深度整合。
其實，針對網關防病毒所造成的性能下降問題，是有一定的技術手段可以解決的。像神州數碼網絡和WatchGuard都采用了良好的UTM多引擎互嵌整合技術。因為傳統上如果簡單地把功能模塊堆疊在一起，讓數據包經過防火墻、VPN、病毒檢測、垃圾郵件處理，這樣一個串行過程會消耗很多資源。合理的方法是把這些功能模塊整合到一起，如果進行垃圾郵件過濾，又要進行郵件查毒，那么就先進行垃圾郵件過濾，然后再進行郵件防毒的工作，從而減少很多垃圾郵件中攜帶病毒對于UTM的性能開銷。另外，像VPN也是如此，先查病毒，后進行VPN隧道加解密。目前廠商已經把這種技術做成一種靈活的規則，以便減輕UTM的負擔。
葉建輝表示，通過ILS（智能分層安全）技術，確保UTM將所有功能整合到一個系統里面，可以實現安全應用的優化，從而更加快速地判斷哪些數據包需要詳細檢查，哪些可以簡單放過。
此外，為了進一步降低病毒對于UTM的檢測消耗，一種稱之為“流檢測”的新技術已經開始投入使用。王景輝介紹說，與傳統UTM采用代理技術（Proxy）接管整合連接的方式不同。流檢測技術專注在第七層。畢竟不管什么樣的病毒，只有當數據包完全接收下來以后才會形成病毒。因此當用戶使用HTTP下載或者收郵件的時候，UTM設備可以不采取行動，僅僅利用拷貝機制進行數據復制，同時正常轉發數據。一旦最終判斷出數據包是病毒，則把最后幾個發給用戶的包阻止即可。
有意思的是，在以太網世界大會上，記者曾親自在神州數碼網絡的展臺感受過該技術帶來的優勢：當記者另存為一個網頁時，傳統的UTM產品會先查毒，后下載，速度很慢；而支持流檢測的UTM設備允許用戶直接開始下載，只是到最后幾個包的時候，UTM開始查毒。
王景輝表示，利用此技術在UTM設備網關防毒功能開啟時，可以提升90%的性能。目前流檢測技術利用Segment和序列號來控制三層數據包，因此實現非常簡單。
除了軟件以外，不少廠商也開始在硬件上動腦子。像Juniper和深信服都采用了多總線、多核CPU的技術。葉宜斌表示，經過“網絡世界評測實驗室”的實地測試，雙核對于UTM的提升已經被證實，且著重體現在分析能力方向，包括提升一定的UTM處理能力。對于CPU去拆解協議和基于特征碼掃描的工作，有一定的促進，因為可以降低一部分的延時。
不過多核產品雖然已經推出，但在實際應用上還有提高的潛力。王延華認為，目前完全發揮出多核優勢的UTM產品還沒有出來，特別是現有UTM軟件對于多核的支持還比較普通，其高速并發處理的特性還有待于進一步挖掘。據悉，目前UTM廠商采用的Intel、AMD的多核芯片，僅僅用到了其80%的功能。
另一個技術上的新突破在于，對于下一代NP系統在安全產品中的開發與應用。據美國《網絡世界》披露，國際上的新片大廠已經開始推出新一代的NP芯片，或者稱之為CP（Content Processor）。該芯片屬于一個可編程的多內核處理器（6-8個），它可以把很多應用協議硬件化。要知道傳統的NP只能在網絡層工作編寫條件。但是新的NP可以把HTTP、FTP等應用條件都用硬件完成，包括大量常見協議的硬件化。因此即便保守估計，也可以帶來10倍以上的UTM性能提升。據悉，像Cisco、Juniper、聯想網御、Sonicwall、神州數碼網絡都在緊盯這塊產品，以求與自身的UTM進行整合。
聯合：大家幫助大家
區別于傳統IT競爭的一點，UTM領域出現了很多的聯合型為。事實上，在2003年UTM概念登場之初，IDC對其下的定義就是防火墻、網關防病毒和入侵檢測的結合體。不過這幾年來，內容過濾、反垃圾郵件、甚至內網控制都集成到UTM中來，因此一家廠商的力量往往難以做到盡善盡美。
對此，像Checkpoint、Commtouch、CefurTrust、Fprot、卡巴斯基、Symantec、Surf Control、Sophers、TrendMicro等安全公司，都已經為大量的UTM廠商提供相應的OEM安全模塊。
在相關的合作問題上，葉宜斌和梁小東兩人一致認為，由于各個廠商有自己的優勢，因此集成業界領先的技術會是一個比較好的趨勢。而葉建輝也認為，跟業內的領導者合作，性能及安全性當然會有保證。對于和OEM廠商的合作，王景輝認為只要能夠做到雙方系統級的開發，是可以獲得良好的性能保證的。不過由于受制于平臺與不同功能模塊的引擎問題，聯合也并非一蹴而就。對此王延華解釋說，同一個操作系統支撐5-6個模塊，能否整合好是一個大問題。像卡巴斯基防病毒引擎，在自己的平臺上性能比較高，和另外的平臺放在一起就不一定，經常表現出開銷比較大的問題。因此聯合的關鍵是，一定要對相關的產品模塊做優化。
另外，從實際的測試情況來看，與業內主要安全廠商聯合開發模塊，有可能保證UTM的性能，但也不一定。蔡永生認為，問題的關鍵是看UTM的硬件平臺怎么做。這將會涉及到一個產品完整的硬件、軟件架構設計，而且合作雙方還需要配合起來才可以。他表示Cisco的ASA系列就是一個不成功的例子，因為受制于插槽原因，TrendMicro提供的網關防病毒和入侵檢測模塊不可以同時使用。相反，如果廠商一直堅持自己的設計，也不一定就不好。