對于越來越熱的VoIP穿越UTM的問題（大量的更加細(xì)小的數(shù)據(jù)包），是否會成為新的性能殺手？
深信服：國內(nèi)遇到類似問題比較少。因?yàn)閲鴥?nèi)VoIP大部分用VPN來傳。國外的情況，VoIP部署的非常廣泛。國內(nèi)還沒有用起來。國內(nèi)主要的需求是用VPN來實(shí)現(xiàn)VoIP傳輸。其實(shí)在SSL VPN中傳VoIP都幾乎沒有，大部分還是在IPSec VPN中使用。國內(nèi)用戶目前還沒有用到這塊內(nèi)容。
Juniper：VoIP目前本身流量不是很大，每一個線路都是小包傳輸，對于UTM來說，不論是H.323還是SIP，本身都有漏洞，都不是安全的。而UTM剛好可以給VoIP提供一層額外的安全保護(hù)，特別是UTM可以檢測出IPSec VPN隧道中的內(nèi)容，而不會造成性能的影響。如果用在內(nèi)網(wǎng)，比如在服務(wù)器前面，有時候需要考慮更高性能的產(chǎn)品。
聯(lián)想網(wǎng)御：不會影響。因?yàn)閂oIP的應(yīng)用已經(jīng)跑過了，測試看起來沒有問題，包括SIP和H.323。上述協(xié)議本身的漏洞，UTM可以做一個彌補(bǔ)。有人開發(fā)代碼攻擊，UTM可以檢測并阻斷。UTM可以掃描VPN隧道內(nèi)容。
神州數(shù)碼網(wǎng)絡(luò)：小包資源消耗問題，非常小幾個字節(jié)，有可能會是一種性能殺手。要是在VPN里面，對于性能影響不大。神州數(shù)碼的UTM先查毒在進(jìn)VPN，可以保護(hù)VoIP的安全。不過從測試來看，還是有一定的性能影響。因?yàn)椴捎肵86平臺，小包的系統(tǒng)消耗是不可避免的。除非是判斷出VoIP后直接實(shí)施bypass放行策略，做成開關(guān)，具體讓用戶選擇。就是遇到性能瓶頸的時候，通過bypass讓網(wǎng)絡(luò)還可以用。而通過對系統(tǒng)參數(shù)的監(jiān)控，cpu、內(nèi)存，快到了臨界點(diǎn)的時候，關(guān)閉一些消耗較大的功能，可以避免單點(diǎn)故障的問題。神州數(shù)碼自己開發(fā)的技術(shù)。
Sonicwall：VoIP的穿越問題，基本防火墻都支持H.323和SIP。如果大家都基于標(biāo)準(zhǔn)的，肯定不錯。但是現(xiàn)在有很多第三方，做的不是標(biāo)準(zhǔn)的，困難。任何數(shù)據(jù)過VPN都不會有任何影響，就相當(dāng)于一個路由。VoIP經(jīng)過UTM、防火墻的時候，不管H.323還是SIP，需要做全狀態(tài)轉(zhuǎn)換，主要是對信令協(xié)議本身內(nèi)部的東西做翻譯，不是NAT翻譯包頭的問題，因此要求你的UTM需要認(rèn)識這些H.323或者SIP協(xié)議。轉(zhuǎn)換消耗的資源不大，因?yàn)楹艚芯褪菐讉€信令，完了開放端口語音、視頻正常傳輸就可以了。呼叫建立的過程消耗一定資源，建立傳輸以后會有大量小包，語音包很小，對防火墻性能有影響。但是一個VoIP能有多少個終端經(jīng)過火墻往外走？一般視頻會議一個點(diǎn)也就有一個終端，不會影響太大。
WatchGuard：WatchGuard有著ILS（intelligent layered security）架構(gòu)的設(shè)備，可以對進(jìn)入網(wǎng)絡(luò)的package進(jìn)行分類，判斷需要通過哪類安全檢查。WatchGuard 的ILS在packet進(jìn)來的時候，會做一個分類。VoIP有其特色，比如它是UDP packet（封包），而不是TCP packet。對此，我們可以進(jìn)行優(yōu)化。對于所有VoIP例行的UDP packet，我們只進(jìn)行簡單掃描，可以放過。例如，anti-spamming、anti-virus等，因?yàn)関oice數(shù)據(jù)包里基本沒有spam跟virus，所以通過ILS，可以對VoIP和UDP進(jìn)行和優(yōu)化，可以只做簡單的檢查。