统一威胁管理UTM平台性能提升秘诀

申请免费试用、咨询电话：400-8352-114

在当今局域网和广域网标准不断升级的情况下，网络安全的性能需求也随之提升。当安全检测延伸到开放系统互连参考模型（OSI）应用层时，系统性能的提升成为瓶颈。在路由器、防火墙发展的过程中，ASI C技术证明了可以彻底改善执行并发任务的进程。统一威胁管理（UTM）系统安全平台在解决功能与性能矛盾时，同样依靠安全检测中的硬件加速。本文介绍了典型的高性能UTM系统，揭示通过采用ASIC芯片加速实现线速性能的秘诀。

1 UTM平台的体系结构

UTM有两种思路来建造平台：

第一种是由多个厂商共同搭建的平台，例如分别为防火墙厂商、入侵防御技术厂商。每当要扩充功能时，优化性能往往受到限制，难以实现硬件加速。例如虚拟专网（VPN）、反垃圾邮件和Web过滤，综合在一起时不可避免会出现多次的数据包分解和重组，导致性能上只是复合的累计。

第二种是单一厂商的封闭式体系结构，它由一个系统从底层往上自然地提供每一种安全功能。这种方法相对难度大，因为每一种功能必须满足单独的安全产品设置的标准，然而换来的好处也是明显的：第一，由于厂商拥有自主知识产权的源代码，所以在应付市场需求而增添新功能时，就取得了性能改善方面的主动权，预先额外的付出就能得以回报。第二，单一厂家便于集成，便于解决改善性能的问题。影响安全系统升级的症结在干性能提升，而性能取决于充分的优化，优化的方法是减少处理上的冗余，使之避免不必要的分解和重组。第三，用户希望管理界面是自然统一、便于操作的，而不是将多种软件的管理界面简单地罗列在一起。

2 创建高性能的UTM

本文介绍的安全平台由3个主要部分组成：专用硬件、专用软件和安全内容检测技术。通过智能集成，每个单元都要围绕安全的有效性和性能的可扩充性做出贡献。

2.1专用硬件

专用硬件包括内容处理器（CP）和网络处理器（NP）。这些处理器与通用处理器（GPU）一起执行任务。

2.1.1内容处理器（CP）

内容处理器是经过定制的处理器，可以实现将已有的攻击特征库与内存中的数据进行匹配。内存中目标可以是网络流量数据包，或者是压缩后文档中的文件。这些处理器对协议识别和解析是高度适配的，允许它们从数据中快速组合目标，并对可疑的内容进行检测。

为了提供千兆级实时的应用层安全服务（如防病毒和内容过滤）的平台，专门为网络骨干和边界上高性能内容处理设计的体系结构是必不可少的。从结构图可以看出，内容处理器并不是设置在流量中的，当通用处理器（GPU）下达指令时，内容处理器自动地执行相关功能。内容处理器还能包括加密引擎，在目标与“已知”的威胁比对时，能起到加速防病毒和IP技术。VPN的建立和关键性维持都是系统一个特别重的负担，需要大量计算，内容处理器则使GPU免除高密度计算。

有些人有误解，以为ASIC是“静态”安全检测，不能适应对新产生的威胁的检测。事实上，它只是固化扫描逻辑部分。ASIC芯片集成了硬件扫描引擎、硬件加密和实时内容分析处理能力，提供防火墙、加密/解密，特征匹配和启发式数据包扫描，以及流量整形的加速功能。对付新出现的威胁，只需要升级特征库文件，这就像软件解决方案一样简单。

2.1.2网络处理器（NP）

网络处理器是高速执行和处理网络流量的硬件设备。它典型地设置在数据通道上（见图1），自动地处理许多与基于数据包通信、一般TCP处理、加密/解密和网络地址翻译（NAT）有关的任务，以减轻其他系统单元的负荷。

新一代的网络处理器也能执行安全检测并予以处理。如有必要，还可用来调整数据流量。它可以迅速地重组数据包，而这个过程是入侵检测技术所必需的。某些网络处理器还可以编程，以加载当前的防火墙和IPS策略来对流量进行过滤，在接口级别上实现过滤异常流量和转发对延时敏感的数据包，却不需要通用处理器的参与。假如数据流直接旁路而没有经过其他模块的处理，则网络处理器需要和通用处理器交互会话表，以维护系统的信息完整。

由于仅是交互会话信息，而不是实际的数据包，这种处理方式能够有效地降低系统的负荷，减少数据拥塞，从而提高了设备的性能。网络处理器的目标是能线速地处理防火墙吞吐量，在使用任何大小的数据包时，使处理流量理想地达到GB速率，而且对IPSec VPN流量，也同样能达到这样的结果。

最近，在中档UTM设备中也使用上网络处理器，是一个引人瞩目的趋势，这体现了技术储备和实力，也是技术上的一个突破。例如，美国Fortinet公司的新产品FortiGate-310B，它的可贵之处在于中档产品达到高端性能，实现线速防火墙性能。FW/VPN的吞吐性能提高到千兆级水平。其优势还体现在高级别的端口密度，10个千兆以太端口，达到最低的每端口价格，陡然使性价比上了一大台阶。而此前，ASIC网络处理器仅用于高端产品线，即应用于大型企业的高端安全产品，现在却可以为IT、安全人员比较缺少的中小型企业拥有，提供整合的网络安全服务一从防火墙、VPN、防病毒直到IPS和安全网络分区。

2.2专用软件

为了组成一个完整精简的高性能防火墙和内容安全检测平台，集成功能离不开专用的强化安全的操作系统。基于内容处理模块的硬件加速，操作系统采用智能排队、信息采集共享和管道管理原则，使各种类型流量的处理时间达到最小，从而给用户带来实时性，有效地实现了防病毒、防火墙、VPN、反垃圾邮件、IPS等功能。

多重技术的组合意味着数据包或流量处理的冗余操作，所以有必要调整源代码。单一厂家的解决方案能够掌握对整个系统的执行过程，避免了大量重复性工作。比如，如果防火墙模块保持了状态监测的信息，那么在IPS模块里就没有必要再次重复类似的工作。另外，大量复杂的内容检测计算交给协处理器处理，通用处理器便可以处理更为有效率的工作，实现更多的安全功能。

2.3安全内容检测技术

贯穿于UTM整体的一条主线实际是高级检测技术。先进的完全性内容保护（Complete ContentProtection，简称CCP）采用了完全内容检测技术，即对0SI网络模型所有层次上的网络威胁的进行实时保护。与其他单纯检查包头或“深度包检测”的安全技术不同，它能够扫描和检测整个OSI堆栈模型中最新的安全威胁。这种方法比防火墙状态检测（检查数据包头）和深度包检测（在状态检测包过滤基础上提供额外检查）等技术先进。

CCP的要点是在千兆网络环境中，实时将网络层数据负载重组为应用层对象（如文件和文档），而且重组之后的应用层对象可以通过动态更新病毒和蠕虫特征来进行扫描和分析。采用技术重组文件和会话信息，需要提供强大的扫描和检测能力。但只有通过重组，一些最复杂的混合型威胁才能被发现。为了补偿先进检测技术带来的性能延迟，正是使用ASIC芯片，专门为特征扫描、加密/解密和SSL等功能提供硬件加速。C CP可检测各种威胁，包括不良Web内容、垃圾邮件、间谍软件和网络钓鱼欺骗等。

3 结束语

由于网络流量和带宽的增加，安全设备保持同步发展变得更为重要。统一威胁管理（UTM）系统安全平台固然不失为优秀的整体解决方案。而在具体实施办法中采用ASIC硬件加速，才真正克服了功能与性能的矛盾，为安全系统持续发展提供了根本的保障。（万方数据）