10问：VoIP穿越UTM是否会成为新的性能杀手

10．对于越来越热的VoIP穿越UTM的问题（大量的更加细小的数据包），是否会成为新的性能杀手？
深信服：国内遇到类似问题比较少。因为国内VoIP大部分用VPN来传。国外的情况，VoIP部署的非常广泛。国内还没有用起来。国内主要的需求是用VPN来实现VoIP传输。其实在SSL VPN中传VoIP都几乎没有，大部分还是在IPSec VPN中使用。国内用户目前还没有用到这块内容。
Juniper：VoIP目前本身流量不是很大，每一个线路都是小包传输，对于UTM来说，不论是H.323还是SIP，本身都有漏洞，都不是安全的。而UTM刚好可以给VoIP提供一层额外的安全保护，特别是UTM可以检测出IPSec VPN隧道中的内容，而不会造成性能的影响。如果用在内网，比如在服务器前面，有时候需要考虑更高性能的产品。
联想网御：不会影响。因为VoIP的应用已经跑过了，测试看起来没有问题，包括SIP和H.323。上述协议本身的漏洞，UTM可以做一个弥补。有人开发代码攻击，UTM可以检测并阻断。UTM可以扫描VPN隧道内容。
神州数码网络：小包资源消耗问题，非常小几个字节，有可能会是一种性能杀手。要是在VPN里面，对于性能影响不大。神州数码的UTM先查毒在进VPN，可以保护VoIP的安全。不过从测试来看，还是有一定的性能影响。因为采用X86平台，小包的系统消耗是不可避免的。除非是判断出VoIP后直接实施bypass放行策略，做成开关，具体让用户选择。就是遇到性能瓶颈的时候，通过bypass让网络还可以用。而通过对系统参数的监控，cpu、内存，快到了临界点的时候，关闭一些消耗较大的功能，可以避免单点故障的问题。神州数码自己开发的技术。
Sonicwall：VoIP的穿越问题，基本防火墙都支持H.323和SIP。如果大家都基于标准的，肯定不错。但是现在有很多第三方，做的不是标准的，困难。任何数据过VPN都不会有任何影响，就相当于一个路由。VoIP经过UTM、防火墙的时候，不管H.323还是SIP，需要做全状态转换，主要是对信令协议本身内部的东西做翻译，不是NAT翻译包头的问题，因此要求你的UTM需要认识这些H.323或者SIP协议。转换消耗的资源不大，因为呼叫就是几个信令，完了开放端口语音、视频正常传输就可以了。呼叫建立的过程消耗一定资源，建立传输以后会有大量小包，语音包很小，对防火墙性能有影响。但是一个VoIP能有多少个终端经过火墙往外走？一般视频会议一个点也就有一个终端，不会影响太大。
WatchGuard：WatchGuard有着ILS（intelligent layered security）架构的设备，可以对进入网络的package进行分类，判断需要通过哪类安全检查。WatchGuard 的ILS在packet进来的时候，会做一个分类。VoIP有其特色，比如它是UDP packet（封包），而不是TCP packet。对此，我们可以进行优化。对于所有VoIP例行的UDP packet，我们只进行简单扫描，可以放过。例如，anti-spamming、anti-virus等，因为voice数据包里基本没有spam跟virus，所以通过ILS，可以对VoIP和UDP进行和优化，可以只做简单的检查。

【相关文章】

• 5问：您觉得如何评价一款UTM的性能

• 9问：UTM设备是否需要性能的主打方向

• 7问：内网中部署多台UTM是否可以弥补性能下降带来的损失?