UTM设备提供综合的功能和安全的性能,降低了复杂度,也降低了成本,适合企业、服务提供商和中小办公用户的网络 环境。UTM设备能为用户定制安全策略,提供灵活性。用户既可以使用UTM 的全部功能,也可酌情使用最需要的某一特定功能。UTM设备能提供全面的管理、报告和日志平台,用户可以统一地管理全部安全特性,包括特征库更新和日志报 告等。随着性能的提高,大型企业和服务提供商也可以使用UTM作为优化的整体解决方案的一部分。
Juniper和深信服谈提升UTM性能
Juniper和深信服:为了提升UTM的性能,好的方法是:要优化UTM的硬件结构,加入硬件加速。目前产品的 X86架构主要是单总线架构,以后可以引入多总线的并行处理,加快处理能力。多总线还可以配合NP使用,包括多核平台的引入。软件方面也可以改进,但是硬 件更有优势。对于这种硬件,UTM更新特别快,做成专用硬件是否升级有问题,还需要验证。特别是攻击在比较复杂的时候,是否合适还需要验证。
联想网御谈提升UTM性能
联想网御:目前解决UTM性能的问题,主要有两种:一是软件算法的更新,完全来做基于内容的检测。另一种是通过 ASIC芯片或者FPGA芯片来做。后者通过硬件检测来做,内容处理和内容检测的速度会好。ASIC就是一个引擎,就是用来内容匹配。比如HTTP上的文 字内容或者病毒样本,都可以转换成正则表达式去匹配,因此ASIC主要通过匹配来检测内容上是否有非法的东西,如攻击、病毒。目前下一代NP芯片还没有产 品化,未来可能成为技术的方向,目前ASIC、FPGA都在比对工作。未来在低端上还是通过纯软件来处理。另一个方向是用多核的技术。目前多核平台是在开 发初期,真正成熟的多核平台产品还没有出来。多核平台带来最大的变化是整体性能的提高,高速并发处理。目前UTM厂商使用的Intel、AMD提出的多核 技术仅仅用到了80%的功能,大部分UTM的软件现在还不支持。
Network World谈提升UTM性能
美国《Network World》:为了应对UTM的性能损失,厂家一般都在向内容处理器上靠拢,也成为CP或者下一代NP。它属于一个可编程的多内核处理器(6个,8个), 有点类似NP。CP可以把很多应用协议硬件化,NP只能在网络层,任何条件可以自己编写。但是CP可以把HTTP、FTP等应用条件都用硬件做,包括常见 的协议都用硬件做。属于更加高层次的NP,可以提升10倍以上的性能。明天第五代UTM产品。这个也是属于第三方芯片厂家来做的,安全厂商主要开发上层应 用。明年会有很多厂商转到这上面来。
神州数码网络谈提升UTM性能
神州数码网络:网关防病毒,一定要采取一些技术来解决。可以采用多检测引擎互嵌技术;还有一个流检测技术。多检测 引擎互嵌技术是说,如果简单把模块堆叠在一起的时候,会经过防火墙、VPN认证、检查病毒、垃圾邮件处理,一个串行处理过程。合理的方法是把模块整合到一 起,如果进行垃圾邮件过滤,又要进行邮件查毒,那么就先进行垃圾邮件过滤,然后再进行邮件防毒的工作。VPN也是,先查病毒,在进行VPN加解密。可以把 这种技术做成一种灵活的规则,减轻UTM负担。流检测是说,当用户使用HTTP下载或者收邮件的时候,不采用代理技术。
传统代理技术要完全接管连接的整个过程,然后在发给客户端。而神州数码从开始的时候直接把包转发给客户端上,但所 有的病毒都是在第七层的,只有完全收下来后才会是病毒。因此UTM只需要把最后几个包不转发给客户端就可以了。也就是说,客户端开始收到了一部分包,但是 利用UTM的拷贝技术,UTM进行查毒,发现是病毒,则最后几个包拒绝推给用户。这个是神州数码独有的功能。因此在查病毒的时候速度优势非常明显。通过测 试,采用流检测技术后,UTM性能下降仅仅有10几个百分点。最明显的,直接打开一个网页点击另存,别人的产品会先查毒,后下载,速度慢;而我们直接开始 下载,只是到最后几个包的时候,UTM开始查毒,因此速度会快90%。基于对协议的了解,要求最后几个包的判断准确。所有数据包在三层传的时候,都要分包 分段,神州数码网络利用数据包的Segment和序列号来控制,不发给用户。前面包收下来的时候UTM做拷贝,那个时候做检测没有意义,因为第七层检测的 时候三层的包不会被认识。
WatchGuard谈提升UTM性能
WatchGuard:安全行业从前多是采用一种ASIC架构的UTM,主要是加快Firewall的功能、 IDS的功能。但是普通的电脑功能,如anti-virus、anti-spamming等,不可以用ASIC来加快,对此,ASIC是没有用处的。 WatchGuard设计UTM时,将成本更多投放到general-purpose CPU上,而不是放到ASIC上,这就是我们的general-purpose CPU的UTM架构方向。WatchGuard取General-purpose CPU作为发展UTM的架构,对UTM功能如Gateway Anti-virus, IDS, Anti-Spamming, Anti-Spyware及URL Filtering来说,用General Purpose CPU来架构会比以ASIC能提更有效与更灵活地达成。
后记
UTM是对传统防护手段的整合和升华,是建立在原有安全网关设备基础之上的,拥有防火墙、入侵防御(IPS)、防 病毒(AV)、VPN、内容过滤、反垃圾邮件等多种功能,这些技术处理方式仍然是UTM的基础,但这些处理方式不再各自为战,需要在统一的安全策略下相互 配合,协同工作。
当然,对于众多的功能,有必备功能和增值功能之分。一般而言,防火墙、VPN、入侵防御、防病毒是必备的功能模块,缺少任何一个不能称之为UTM。其余是增值功能,用户可以根据自身需求进行选择。
站在用户角度,面对的是整个网络、所有业务的安全,整体的安全策略实施是非常重要的。统一的策略实施是使多种安全功能形成合力的关键,各自为战是不能实现整体安全策略的。因此在UTM处理方式中,需要特别考虑策略的协调性、一致性。
