UTM 裝置的所有功能不見得都是高品質。廠商可能只是把不同來源及協力供應商的各種防毒、防火牆與Web 過濾功能拼裝在一起而已。此類產品往往很便宜，但可能搭載了製作粗糙的技術，而導致最終產品品質忽高忽低且效能不穩定。

因為UTM 裝置在保護企業中扮演著重要的角色，所以IT 主管可以先在市場上挑選同類中最佳的 UTM 產品，且其提供的功能是源自市場領導者，如此一來，至少已先過濾掉各式五花八門的產品，這樣也較能有效地防禦安全漏洞。

要享有全面性的UTM，在功能上必需要包括反應性機制搭配主動性機制，以及網路層機制搭配網路層能見度與控制措施。而且一套真正的 UTM 裝置還需具備下列各項特殊功能：VPN、多層次防火牆、功能完備的入侵防禦與偵測方法、符合各種協定的防毒、防間諜軟體、防網路釣魚及Web 過濾。這種全面性的反應機制，使得網路安全真的出現問題時，企業 IT 部門可縮短時間修復。

虛擬技術對一個完備的UTM裝置來說，是一項非常重要的功能。UTM 裝置加入虛擬技術後，可讓管理員指派不同的「虛擬」UTM 裝置給不同的網路區段或使用者群組。於是整個系統就能透過單一介面進行管理。此項功能讓管理員應付各種類型的存取需求，很容易劃分使用者群組與流量類型，各自擁有專屬的安全政策。虛擬技術實質上會模擬多個網路裝置，卻沒有實際安裝的經常性支出與複雜性。

主要虛擬技術如下：

— 安全區域：安全區域是指網路的邏輯區段，並被分割成邏輯區域。使用者可將多個安全區域指派給某個實體介面，或將整個裝置指派給某個虛擬系統。以後者的配置而言，多個安全區域將共用單一的實體介面，藉由有效提高介面密度 (interface density) 來降低成本。

— 虛擬系統：這是更進一層的劃分，會產生多個獨立的虛擬環境。各個虛擬環境會各自擁有一組使用者、防火牆、VPN、安全政策及管理介面。管理員可藉由虛擬系統將網路快速分割為多個安全環境，並透過單一裝置進行管理。此一作法讓網路管理人員以更少的實體防火牆及更低的管理工作量，來滿足多重客戶需求的解決方案，同時降低資本支出與營運費用。

— 虛擬路由器：管理員可透過這個功能來劃分單一裝置，而發揮如同多個實體路由器的效用。各個虛擬路由器可各自支援不同網域，確保不會與其他虛擬路由器制定的網域交換路由資訊而造成資訊流量混淆。

目前市面上多數的 UTM 裝置皆具備Web 過濾的功能。但 IT 主管必須確認哪一種 Web 過濾的方法最適合自己的需求。

部分 UTM 工具搭配了外掛的 Web 過濾功能，將裝置的網路流量轉到專屬 Web 過濾伺服器來執行政策。其他種類的 UTM 裝置則具備整合式 Web 過濾功能，讓企業可透過選擇來封鎖網站 (列於不斷更新的資料庫中)，建立自身的網頁存取政策，以防範員工登入不明網頁，造成安全疑慮。

不論您偏好何種過濾方式，UTM 裝置都必須讓組織能迅速地佈署。而IT 主管還可以透過黑名單、白名單及一些事先定義或使用者定義的類別來自由訂定 Web 過濾的設定值，降低網路安全威脅。

其他

許多大型企業或擁有龐大資料中心的公司需要部署額外的威脅管理工具 (例如防火牆、防毒閘道器及入侵防禦系統) 以滿足其高容量與高效能的需求。

某些企業可能還需要應用程式或系統專用的威脅管理產品，以處理關鍵應用程式專用的安全功能包括電子郵件安全閘道器、Web 應用安全閘道器及遠端存取安全閘道器，或者劃分大型組織中的所有權及責任歸屬。

作者為Juniper Networks 先進技術資深經理。