如果你相信所看到的一切，那么企业统一威胁管理（UTM）产品和设备似乎就是信息安全的银弹。这些集所有功能于一身的设备号称能为任何企业的安全问题提供灵丹妙药，其功能包括网络边界防护，内容过滤，病毒防护等。但是，我从来没有遇到过会轻信资料的安全专家。实际上，UTM确实能为中小型公司提供不错的网络安全防护，但是这在大企业中是行不通的。

　　什么是统一威胁管理（UTM）？

　　UTM产品简单说来就是把几个安全产品整合在一个设备里。从性能的角度来看，这是完全合理的。我们都知道，许多专门的服务器，如那些用来运行安全软件的服务器，大部分时间都处于闲置状态。在一台服务器上运行多个服务可以有效利用，能充分利用性能。

　　UTM产品的基础就是网络防火墙。UTM的其它组件则视你所选择的厂商和型号而异。它们的共同点有：

• 垃圾邮件防护
• 内容过滤
• 防病毒/反间谍软件保护
• 入侵防御

　　UTM厂商非常喜欢用花哨的图表向你“证明”部署UTM产品取代单独的组件可以省下大量时间和资金。然而根据我的经验，除了省下网卡配置这类基本设置的一点时间，部署UTM产品并不会让你在配置和使用上少花多少精力。从另一方面来说，它确实节省了开销，因为从一个设备里获得了多种安全服务--只需要购买一次--这让你的钱花得更值。

　　部署UTM带来的风险

　　在我看来，部署UTM产品时主要有两种风险：容错性不够和供应商差异不大。容错是一个非常重要的问题，因为UTM设备的一个硬件或软件错误就能让所有安全服务同时宕掉。根据你的网络配置，这要么导致整个公司网络断线（等着凌晨3点被电话吵醒吧！）要么导致所有安全设施停机，这也不是什么好事。各个服务运行于独立的硬件平台，不用担心各种服务之间相互连累的这种畅快感是没法在使用UTM的过程中享受到的。

　　在我看来，供应商的夸大其辞，是UTM产品的最大消极因素。想想最先想到UTM的和最先生产它的厂商。这家公司该如何归类？如果你说：“防火墙厂商”，那么你将买到的就是该公司开发的防火墙，附带了厂商捆绑的其它安全一些功能，这样他们就可以把它冠上UTM的名号了。同样，内容过滤厂商提供的UTM产品能有出色的内容过滤功能，同时还很可能附上一个很一般的防火墙。这真的就是你想要的？

　　我喜欢用“最佳组合”的办法来组建安全基础设施：找最好的防火墙，最好的IPS ，最好的内容过滤器（等等……）再把它们和好的安全信息与事件管理（SIEM)产品组合起来。这是UTM所不可能实现的。
UTM所扮演的角色
说到这里，可能已经害得你想和你的UTM一起跳崖自尽了，先别急，让我们再看看它积极的一面。我能想到至少在两种情形下UTM产品能在网络安全中发挥重要作用。

　　首先，对中小型企业来说，UTM可能是正确选择。把所有这些功能集中到一块所带来的经济性和易用性有可能比各个部件都选用最好的更值得考虑。如果是这样的话，那就一定要选用UTM。

　　第二，如果由于预算或其他方面的限制导致无法购买单独的垃圾邮件防护、内容过滤、恶意软件防护或IPS，那么购买UTM就是一个非常好的方法，它可以让你只要较先前增加一点点预算就获得在其它情况下无法买到的诸多功能。这种情况下，要记住新增的这些功能只不过是“免费赠品”，不要在决定购买时太把它当一回事。首先找最好的防火墙，然后再看看其它的，比如看免费附赠的IPS功能是不是适合你的环境。

　　总的来说，统一威胁管理产品还是有点被炒作过度了。它确实能通过在一个硬件平台上提供多种安全服务达到充分利用硬件性能的目的，但是安全人员不太可能从中看到明显的时间节省，并且还会发现自己被束缚在了不理想的供应商上。也就是说，如果预算不允许采取其它的替代途径，UTM就很可能是出路所在。