让UTM 发挥无敌铁金刚的实力

　　既然许多UTM 装置号称五合一甚至是更多功能整合在一起的安全防护设备，如何让它有效发挥其强大的功能？如何改善其不足的地方？如何有效而正确地部署UTM ? 已成为企业解决安全问题中极为关键的一环。

　　使用UTM 最大的用意是在减轻信息工作的负担，让企业在 IT 资源运用最佳化的情况下，在简化管理、节省成本的前提下完成企业的工作任务与需求。许多企业用户曾经反映，同时开启 UTM 的各项功能，似乎会增加设备工作量、减慢运作速度，这也常成为网络传输中的瓶颈。所以在部署 UTM 系统之前，了解网络平时以及在高负荷情况时的运作速度，才能避免超载而导致的网络堵塞。

　　企业使用者也可将网络分割成不同区域，再把不需要的功能关掉。如果公司营运只需要使用网页服务器与电子邮件， 便可以设定 Policy 来阻挡其它协议的接入，只检查网页或电子邮件的部份，如此便可减轻设备的负荷。

给UTM 一个适当的位置

　　UTM 基本上是比较适合在企业的分支机构部署的，像保险公司、银行等具有很多业务的单位，就很适合部署 UTM 来协助企业满足简化管理的需求。保险业或证券业等营业模式，都具有营运单位经常搬迁移动，又常需要设置开放的网络环境来让客户使用的特色。利用 UTM 装置可部署不同的网络安全区域，并制定不同的Policy来区分各区域的安全等级。例如行政人员区可以允许其接入进入企业内部网络，而保护区便只能让其连出因特网。许多类似汽车产业经营模式的企业，大量的业务员带着与他们四处奔走的笔记本电脑回到公司内部，为了避免中毒与遭受入侵的可能性，传统都是通过IP- Sec加密以保护分支据点与分支据点间或与总公司之间通过因特网或是 VPN 传输数据时的安全性(见下图)。现在有了 UTM 装置，可以将其置于分公司与总公司之间，除了具有加密的效果，还具有防病毒、内容过滤等功能，让信息安全更有保障。

　　如果不是分支机构，单一据点的公司或企业是否适合使用 UTM 呢？关键点在于公司的信息环境与目标。如果老板很清楚自己公司与信息相关的业务需求仅限于上网找数据以及利用电子邮件与客户往来，此时使用UTM 就很合适，可以完全解决基本的信息需求，也不会让网络性能影响到公司的营运；不过若是像网吧或网络拍卖这类型的公司，营运行为深受网络带宽与性能影响，又得特别防范黑客入侵系统，一个可弹性定义 Policy、又具有备援性功能的防火墙，甚至是 IPS ，就是企业需要考虑的了。

　　其实，UTM 解决方案应该是整体安全策略的一部分，而不是唯一的安全措施。网络接入控制、身份识别控制和资源控制都应在适当的时间与地点同步实施。

金刚不坏还是破铜烂铁

　　尽管所有的 UTM 供应商都宣称其 UTM 解决方案确实有效，但是能否及时有效地更新防护码， 应该是UTM能否成为安全金刚，拥有不坏之身的关键。自行开发防病毒、防垃圾邮件和防网络钓鱼的系统，然后放到既有的防火墙产品上，其产品成熟度与稳定性是另外一个需要考虑的重要因素。许多未经证明的产品可能会造成潜在的安全风险，因为这些产品给使用者带来虚假的安全感，实际上却不能防御真实的攻击。

　　不想让你的 UTM 成为破铜烂铁，就要慎重选择可弹性制订 Policy 的产品，因为对企业而言，并非一定得在同一时间开启UTM 所有的功能。可根据不同的时间需求弹性制订UTM 的功能需求，如此才不会影响到企业网络流量，也可以有效率地运用企业网络资源。

　　UTM 装置可说是 IT 安全解决方案最重要的突破之一。此类装置的确提供显著的优点，但是使用者必须谨防供应商提供不符合现实环境需求的装置。若使用优质的 UTM 平台来保护企业，资本与营运支出都能大幅度降低，安全的有效性也能同时提高。UTM 的另一个优势是可让用户实施分层管理（Layer security）的网络安全防护方案。例如在计算机上安装防病毒软件、在防火墙上加入额外的病毒保护，如此等于是设计了重重的防护关卡；若有黑客发动攻击，UTM 还可发挥阻挡和监察的功能，延迟或停止攻击入侵。现在已经有厂商开始将 VoIP、路由器等功能整合进 UTM装置之中。未来，UTM 产品还会融入更多的安全防护功能，也可以支持各种不同的操作系统。UTM 的未来值得期待，只看使用者如何妥善运用。