方案建议：分段保护每一个部门网络

　　这个方案主要依赖一个交换网络架构。这些通常包括核心交换机和接入交换机。虚拟局域网（ VLAN）将被用于在需要时提供设备级精细度。交换机基于第2层和第3层执行策略。正常的数据流可以通过增加IPS功能进行过滤。理想的IPS过滤可以直接在交换机内进行。与互联网和第三方的连接也可以通过嵌入在交换机中的防火墙功能来实现。下一代UTM安全设备还将提供更多的网络分段，比如针对交易区和某些部门进行隔离。

　　这些超级-UTM设备将会呈现出三种主要形态。运营商和服务提供商将试图通过这样的部署从它们的骨干网中过滤出恶意流量。然后就能够为其客户提供“清洁的管道”。这些年来这种构想一直存在，其中运营商应该试图尽可能清除他们网络上的病毒、木马、蠕虫和恶意软件。但是，到目前为止，由于很多原因仍未实现，比如成本、技术和在某些情况下的政治意愿方面的原因。

　　第二种形态存在于企业核心网，这些先进的UTM设备将被用来分段和保护每一个部门甚至每一台设备。这是第一次真正的内部网络强化。

　　在小型办公室或者远程办公室，将会实现最大效益。一台单独的设备不但将取代众多用于执行过滤和保护的安全设备，还将取代路由器和交换机。

　　这一概念使UTM远远超出其诞生之初作为一个简单安全平台的想法。业界将会看到一些重要的错位现象，这是由安全设备开始容纳很多的网络功能所带来。传统的路由器和交换机厂商会发现他们以速度和简单性见长的产品无法适应深层包检测和精细防御的需求。专注于防火墙或IPS的安全厂商将会发现，它们正被结合了安全与网络的更加灵活的产品所取代。