UTM与传统网关的关系

从UTM出现以来，许多用户认为只要有了UTM，就没有必要再购买其他单一网关产品，只要在网络边界部署UTM，所有的安全问题都会迎刃而解。

实际不然，在网络边界的位置，UTM是最合适不过的;但在网络内部，还存在各种级别的安全域;在各个行业内部，也存在着很多特殊的网络。

出于多方面的考虑，也许这些位置部署的不一定是UTM类设备。我们来看一下UTM与各种传统网关的关系。
UTM与防火墙的关系

由于历史最久、应用最广，防火墙在安全网关设备中的位置非常重要，防火墙主要工作在OSI参考模型的网络层和传输层，能够实现丰富的控制功能。UTM最为重要的功能之一就是防火墙，UTM的防火墙功能是完整的，完全覆盖了独立防火墙的功能，从产品功能角度看UTM是完全能取代防火墙的。但在实际网络应用中，有些内部网络与其他网络是完全物理隔离的，同时各个安全域之间仅需要访问控制，不需要应用层的安全防护。而在不考虑成本投入的情况下，这部分网络的安全防护也可以由UTM的防火墙功能来完成。所以从长远来看，UTM是能取代防火墙的。

UTM与入侵防御网关(IPS)的关系

入侵防御设备通常部署在两个位置：Web服务器前或网络出口，因此也就有了NIPS和WIPS两种IPS.NIPS部署在网络出口位置，保护目标是网络，但网络是主机、服务器、网络设备的动态集合，这个保护目标并不明确;NIPS一般实现入侵防御功能、部分防火墙功能、内容过滤功能等，看上去更像UTM功能的子集，所以UTM是涵盖了NIPS设备的。而WIPS部署在服务器前，主要是保护Web业务，保护对象非常明确，要求也非常高，“精确阻断”是对WIPS的要求，重点是针对SQL注入、跨站脚本攻击、应用层DDoS攻击等威胁进行防御。从部署位置和功能重点上可以看出，UTM与WIPS是相互补充的。

UTM与网闸的关系

网闸是用于物理隔离的两个网络之间的网关，同一时间只与一个网络进行逻辑连接，并且主要应用于同一单位的两个安全级别相差较大的网络之间;而UTM用于逻辑隔离的网络之间，同一时间可以与两个网络进行逻辑连接。因此UTM与网闸部署位置、工作模式、解决问题都是不同的，两者之间是相互补充、共同存在的关系。

UTM与反垃圾邮件网关的关系

邮件系统一般部署在企业安全网关的DMZ区，而反垃圾邮件网关部署在邮件系统的前面，与安全网关串联。从功能上看，UTM完全实现了反垃圾邮件功能;从位置上看，两者为串联关系，完全可以合并在一起，因此，UTM可覆盖和取代反垃圾邮件网关。

UTM与防病毒网关(AV)的关系

防病毒功能是UTM最重要的功能之一，为必备功能;从查毒和杀毒能力上看，采用与独立防病毒网关类似的技术，达到相同的效果。防病毒对性能的影响比较大，通过软件的优化和专用硬件平台的选择，UTM的防毒性能与独立防病毒网关的性能相差不大。因此，UTM可覆盖和取代防病毒网关。

总体上，UTM取代了防火墙、NIPS、防病毒网关、反垃圾邮件网关等大多数传统安全网关，而与WIPS、网闸形成了互补关系。UTM的出现将使得串联网关式的多种产品得到有效的整合，在网络边界树起了强大的立体防线，用户不需要在网络边际上部署一连串的安全设备，在管理和成本上都将为用户带来极大的效益。

对于非网关类安全产品而言，UTM与它们更多的是互补关系，都是整体安全解决方案的一部分。例如与入侵检测类产品的关系，UTM是串联网关式的防御阻断类产品，入侵检测是旁路监听式检测类产品;两者的部署方式和所起作用是不同的，尤其是网关产品要解决可靠性稳定性和防止误报的问题，检测产品要解决敏感性完整性和防止漏报的问题。因此，两者不能互相取代，各自都能发挥独特的重要作用，使得网络安全保障形成一个有效体系。

【编辑推荐】