1、网关防病毒和入侵检测功能，这两项功能必须涉及到对于第七层协议的分析，特别是要逐一对数据包进行检测。因此面对一些基于HTTP的病毒，对系统资源的消耗极大，因而对UTM性能的影响最为明显。

　　2、为了满足市场对内容过滤的功能的需求，很多安全厂家在自身的UTM产品中集成了一些内容过滤的功能。如果仅仅是对URL进行评估，包括从UTM后台数据库进行评级，看看是阻断还是放行，这种情况不论是设备内置还是旁路到第三方，对CPU的压力都很小。在UTM里面进行一系列的动态评估，包括对网页、QQ、MSN的内容进行审查，那么肯定是相当消耗CPU资源的。

　　3、在一个繁忙的网络里面，较多地使用反垃圾邮件等功能的时候，再快的CPU也有极限，同样将不可避免地拖慢UTM的整体性能。

　　总而言之，由于UTM往往肩负防火墙、网关防病毒、入侵检测、内容过滤等多种功能，因此受制于深度检测与模式匹配的原理，网络层上无法找到流量共性。在UTM各个安全功能中，当需要进行大量特征匹配的工作时（包含内容过滤），对性能会有较大影响。
　　多核等新技术出现带来新希望

　　如何最大程度地减少UTM性能下降的幅度呢？大致方法分为两种，一种是软件优化，另一种则是硬件更新。

　　依靠软件的优化与算法的更新，力求在做基于内容检测的时候，可以获得最优的效能。据某厂商介绍，对网关防病毒环节，UTM采用多检测引擎互嵌技术可提升性能。改变原有的简单地把功能模块堆叠在一起，让数据包经过防火墙、VPN、病毒检测、垃圾邮件处理，这样一个串行处理过程会消耗很多资源。合理的方法是把这些功能模块整合到一起，比如先进行垃圾邮件过滤，然后再进行邮件防毒的工作，从而减少很多垃圾邮件中携带病毒对于UTM的性能开销。先查病毒，后进行VPN隧道加解密。目前厂商已经把这种技术做成一种灵活的规则，以便减轻UTM的性能负担。

　　通过ILS（智能分层安全）技术，确保UTM将所有功能整合到一个系统里面，可以实现安全应用的优化，从而更加快速地判断哪些数据包需要详细检查，哪些可以简单放过。

　　为了进一步降低病毒检测对UTM资源的消耗，一种专注在第七层，称之为“流检测”的技术应运而生。毕竟不管什么样的病毒，都是在数据包完全接收下来以后会形成的。支持流检测的UTM设备允许用户直接开始下载，UTM设备可以不采取行动，仅仅利用拷贝机制进行数据复制，同时正常转发数据。只是到最后几个包的时候，UTM开始查毒，一旦最终判断出数据包是病毒，则把最后几个发给用户的包阻止即可。利用此技术在UTM设备网关防毒功能开启时，可以提升90%的性能。目前流检测技术利用Segment和序列号来控制三层数据包，因此实现非常简单。

　　硬件上采用了多总线、多核CPU的技术对于提升UTM分析能力、处理能力等性能有很大改善。经“网络世界评测实验室”的实地测试，多核对于CPU去拆解协议和基于特征码扫描的工作，可以降低一部分的延时（Juniper和深信服）虽然目前完全发挥出多核平台优势的UTM产品刚刚在市场上出现，特别是现有UTM软件对于多核平台的支持还比较普通，其高速并发处理的特性还有待于进一步挖掘。据悉目前UTM厂商采用的Intel、AMD多核芯片，仅仅用到了其80%的功能，在实际应用上还有提高的潜力。

　　此外，专业级安全多核新品开始被采用。目前像SonicWALL公司已经推出了相关产品。据该公司蔡永生介绍，“多核处理器的设计和实现也展示了其高效性。例如，在SonicWALL多核产品中，这些处理器集成了大量专用的硬件加速，允许在单个处理器上集成多达16个核，从而可提供最佳的性能。多核处理器技术让SonicWALL能够开发出高性能的网络安全设备，这种设备与使用通用处理器和安全协作处理器的解决方案相比可减少大约30%的功耗，而网速相差无几。SonicWALL多核处理器设备最多可采用16个内核（还为未来的重复利用设计了更多的内核空间），提供高性能并行数据包处理，集成了正常操作过程中具有较低功耗和低时频运行的安全协作处理器。多核技术无疑大大提升了产品的性能，使其产品应用范围相应扩大许多。”

　　启明星辰注意到，在高校、大企业、电信运营商等行业，用户对UTM也非常感兴趣，从功能的专业性而言完全可以满足这些行业用户的需求，但采购不踊跃，根本原因还是在于性能不足。如例如对于高校用户，校园园区网之间往往是多个千兆甚至10G的链路，实际带宽通常是几个G，很大部分是P2P下载、病毒等流量，需要病毒、P2P控制等高级安全功能，但由于以前的设备不具备如此高的性能，用户只能放弃采用。