10．對(duì)于越來(lái)越熱的VoIP穿越UTM的問(wèn)題（大量的更加細(xì)小的數(shù)據(jù)包），是否會(huì)成為新的性能殺手？
深信服：國(guó)內(nèi)遇到類似問(wèn)題比較少。因?yàn)閲?guó)內(nèi)VoIP大部分用VPN來(lái)傳。國(guó)外的情況，VoIP部署的非常廣泛。國(guó)內(nèi)還沒(méi)有用起來(lái)。國(guó)內(nèi)主要的需求是用VPN來(lái)實(shí)現(xiàn)VoIP傳輸。其實(shí)在SSL VPN中傳VoIP都幾乎沒(méi)有，大部分還是在IPSec VPN中使用。國(guó)內(nèi)用戶目前還沒(méi)有用到這塊內(nèi)容。
Juniper：VoIP目前本身流量不是很大，每一個(gè)線路都是小包傳輸，對(duì)于UTM來(lái)說(shuō)，不論是H.323還是SIP，本身都有漏洞，都不是安全的。而UTM剛好可以給VoIP提供一層額外的安全保護(hù)，特別是UTM可以檢測(cè)出IPSec VPN隧道中的內(nèi)容，而不會(huì)造成性能的影響。如果用在內(nèi)網(wǎng)，比如在服務(wù)器前面，有時(shí)候需要考慮更高性能的產(chǎn)品。
聯(lián)想網(wǎng)御：不會(huì)影響。因?yàn)閂oIP的應(yīng)用已經(jīng)跑過(guò)了，測(cè)試看起來(lái)沒(méi)有問(wèn)題，包括SIP和H.323。上述協(xié)議本身的漏洞，UTM可以做一個(gè)彌補(bǔ)。有人開(kāi)發(fā)代碼攻擊，UTM可以檢測(cè)并阻斷。UTM可以掃描VPN隧道內(nèi)容。
神州數(shù)碼網(wǎng)絡(luò)：小包資源消耗問(wèn)題，非常小幾個(gè)字節(jié)，有可能會(huì)是一種性能殺手。要是在VPN里面，對(duì)于性能影響不大。神州數(shù)碼的UTM先查毒在進(jìn)VPN，可以保護(hù)VoIP的安全。不過(guò)從測(cè)試來(lái)看，還是有一定的性能影響。因?yàn)椴捎肵86平臺(tái)，小包的系統(tǒng)消耗是不可避免的。除非是判斷出VoIP后直接實(shí)施bypass放行策略，做成開(kāi)關(guān)，具體讓用戶選擇。就是遇到性能瓶頸的時(shí)候，通過(guò)bypass讓網(wǎng)絡(luò)還可以用。而通過(guò)對(duì)系統(tǒng)參數(shù)的監(jiān)控，cpu、內(nèi)存，快到了臨界點(diǎn)的時(shí)候，關(guān)閉一些消耗較大的功能，可以避免單點(diǎn)故障的問(wèn)題。神州數(shù)碼自己開(kāi)發(fā)的技術(shù)。
Sonicwall：VoIP的穿越問(wèn)題，基本防火墻都支持H.323和SIP。如果大家都基于標(biāo)準(zhǔn)的，肯定不錯(cuò)。但是現(xiàn)在有很多第三方，做的不是標(biāo)準(zhǔn)的，困難。任何數(shù)據(jù)過(guò)VPN都不會(huì)有任何影響，就相當(dāng)于一個(gè)路由。VoIP經(jīng)過(guò)UTM、防火墻的時(shí)候，不管H.323還是SIP，需要做全狀態(tài)轉(zhuǎn)換，主要是對(duì)信令協(xié)議本身內(nèi)部的東西做翻譯，不是NAT翻譯包頭的問(wèn)題，因此要求你的UTM需要認(rèn)識(shí)這些H.323或者SIP協(xié)議。轉(zhuǎn)換消耗的資源不大，因?yàn)楹艚芯褪菐讉€(gè)信令，完了開(kāi)放端口語(yǔ)音、視頻正常傳輸就可以了。呼叫建立的過(guò)程消耗一定資源，建立傳輸以后會(huì)有大量小包，語(yǔ)音包很小，對(duì)防火墻性能有影響。但是一個(gè)VoIP能有多少個(gè)終端經(jīng)過(guò)火墻往外走？一般視頻會(huì)議一個(gè)點(diǎn)也就有一個(gè)終端，不會(huì)影響太大。
WatchGuard：WatchGuard有著ILS（intelligent layered security）架構(gòu)的設(shè)備，可以對(duì)進(jìn)入網(wǎng)絡(luò)的package進(jìn)行分類，判斷需要通過(guò)哪類安全檢查。WatchGuard 的ILS在packet進(jìn)來(lái)的時(shí)候，會(huì)做一個(gè)分類。VoIP有其特色，比如它是UDP packet（封包），而不是TCP packet。對(duì)此，我們可以進(jìn)行優(yōu)化。對(duì)于所有VoIP例行的UDP packet，我們只進(jìn)行簡(jiǎn)單掃描，可以放過(guò)。例如，anti-spamming、anti-virus等，因?yàn)関oice數(shù)據(jù)包里基本沒(méi)有spam跟virus，所以通過(guò)ILS，可以對(duì)VoIP和UDP進(jìn)行和優(yōu)化，可以只做簡(jiǎn)單的檢查。