第三，内容过滤与内网控制。对国内用户的调查显示，很多企业对于内网的P2P和IM软件的应用心存余悸，特别是在学校里尤其明显。因此以深信服和神州数码网络为代表的国产UTM厂商，都在自己的产品中加入了接入层多元素绑定技术，同时开发了针对QQ、BT、MSN、Skype的带宽限制、应用阻挡功能。此外针对邮件、Web的泄密问题，这些UTM还支持基于控件的内容审计、日志记录和邮件延迟审计功能，实现对所有内网监控、控制、审计、提供报表、流量管理，确实满足了国内用户特定的需求。

　　第四，VoIP冲突。随着VoIP的发展，在国外已经出现了由于大量VoIP小包对UTM造成的性能冲击问题。事实上，VoIP有其特点，比如它是UDP包，而不是TCP包。对此，叶建辉指出UTM可以进行专门优化。对于所有VoIP例行的UDP包，只进行简单扫描，可以放过。因为语音数据包里基本没有垃圾邮件和病毒，所以通过UTM引擎可以对VoIP进行优化。

　　而针对VoIP的两种主要协议：SIP和H.323都有自身的安全漏洞。对此，梁小东认为，通过UTM设备，可以在很大程度上给VoIP套上另一层保护。与国外的情况不同，很多国内用户习惯将VoIP通过IPSec VPN通道。对此，王景辉和王延华均表示，目前很多一线UTM厂商的产品都可以穿越隧道进行扫描，有些还可以在加解密之前进行病毒检测，因此安全上没有问题。

　　全网安全：捷径考量

　　由于UTM的性能下降问题，以及一些产品的单点故障问题，不免引出了一个疑问：大企业是否需要UTM？是否可以使用UTM？

　　像以Cisco的SDN和神州数码网络3DSMP为代表的全网安全方案，都在今年推出了方案的细化版本—以UTM作为网络出口与企业子网的边界，从而既弥补了UTM的性能下降问题，又保证了安全性。

　　“我相信如果在不同的网段打开必须的功能，在其他地方适当地减少，可以带来全网更高的性能。”王景辉表示，网络中病毒爆发与传播的速度越来越快，从发现漏洞到病毒爆发已经缩短到不到10天。短周期导致了传统上对病毒的防御遭到了挑战。从目前的应用来看，深度包检测技术是最有效的防御手段，其实时性的优势已经超过了防毒客户端，而且可以保证随时升级。因此，正是基于UTM的高实时性，可以满足大企业用户的安全需求。而UTM与3DSMP的配合，采用分布式部署的方式，可以很大程度上解决性能问题。不过兼顾到用户的投资，一般建议用户在重要的服务器群与子网的前面配置UTM。

　　这种方案的原理非常好理解，当边界的压力过大时，可以仅仅用启用网关防火墙来检查规则，而在子网中根据用户不同的需求水平，启用防病毒、入侵检测等功能。

　　不过对此方案，业内厂商的反应并不一致。蔡永生认为，全网安全方案与UTM的结合，是一个性能折衷的选择。不过在说服大企业用户使用上，确实具有优势。毕竟很多企业规模大，但是网络流量不大。企业业务数据多，但是上网的人少，用BT、QQ的人少，因此分布式的模式也许是适合的。

　　事实上，当前市面上的UTM产品支持万人规模的企业没有太大问题。梁小东表示说，方案的关键还是看用户的需求。有些时候，企业中串联的设备越多，对流量影响越大。但有些时候把UTM放在子网里面，可以减少一定边界的压力。

　　这种方案需要用户配置多台UTM设备，因此性价比不是很好。王延华认为，这种以全网安全配合UTM的方案有意义，可以达到满足大型企业应用的目的。但他也表示，这只是解决问题的一种方法。

　　不过在全网方案中部署UTM，仍然会存在单点故障问题。叶宜斌认为，很多电信、银行等客户对于UTM的感觉不好，如果有足够的预算，他们会去购买单独的设备。另外，全网安全方案虽然可以保证性能，但在一些重要子网上是否要考虑冗余，仍然值得商榷。

　　UTM是否需要反垃圾邮件功能？

　　反垃圾邮件是UTM中一个比较有争议的功能，事实上IDC在2003年也没有将其列入UTM的覆盖范围。一般来说，反垃圾邮件都是采用专用设备，因为它本身太消耗资源。

　　据蔡永生介绍，对一个企业来讲，特别是有些规模的企业，即使网络流量不大，但其业务的邮件量往往较大。像比较有代表性的中外运公司，都是上万个用户在频繁使用邮件，依靠UTM根本处理不了。

　　不过，反垃圾邮件并不是实时技术。用户不在乎邮件晚收到几分钟，其影响也微乎其微，相应的，邮件防病毒也是一样。梁小东表示，用UTM做防垃圾邮件会比专用设备差。但是垃圾邮件也有自身特点，有一个引擎的判断问题，所以对于UTM防垃圾邮件的做法，做到大部分就可以了。事实上，不少UTM厂商都提供可选的反垃圾邮件模块，主要目的还是为了满足邮件量不是很大的中小企业的需求。

　　另外，一些反垃圾邮件的模块并不是采用特征匹配的做法。像WatchGuard与Commtouch联合开发的引擎，主要是收集垃圾邮件特征信息，然后旁路到服务器，因此CPU不做匹配，对UTM的性能影响较小。