統(tǒng)一威脅管理UTM平臺性能提升秘訣

申請免費試用、咨詢電話：400-8352-114

在當今局域網(wǎng)和廣域網(wǎng)標準不斷升級的情況下，網(wǎng)絡安全的性能需求也隨之提升。當安全檢測延伸到開放系統(tǒng)互連參考模型（OSI）應用層時，系統(tǒng)性能的提升成為瓶頸。在路由器、防火墻發(fā)展的過程中，ASI C技術(shù)證明了可以徹底改善執(zhí)行并發(fā)任務的進程。統(tǒng)一威脅管理（UTM）系統(tǒng)安全平臺在解決功能與性能矛盾時，同樣依靠安全檢測中的硬件加速。本文介紹了典型的高性能UTM系統(tǒng)，揭示通過采用ASIC芯片加速實現(xiàn)線速性能的秘訣。

1 UTM平臺的體系結(jié)構(gòu)

UTM有兩種思路來建造平臺：

第一種是由多個廠商共同搭建的平臺，例如分別為防火墻廠商、入侵防御技術(shù)廠商。每當要擴充功能時，優(yōu)化性能往往受到限制，難以實現(xiàn)硬件加速。例如虛擬專網(wǎng)（VPN）、反垃圾郵件和Web過濾，綜合在一起時不可避免會出現(xiàn)多次的數(shù)據(jù)包分解和重組，導致性能上只是復合的累計。

第二種是單一廠商的封閉式體系結(jié)構(gòu)，它由一個系統(tǒng)從底層往上自然地提供每一種安全功能。這種方法相對難度大，因為每一種功能必須滿足單獨的安全產(chǎn)品設置的標準，然而換來的好處也是明顯的：第一，由于廠商擁有自主知識產(chǎn)權(quán)的源代碼，所以在應付市場需求而增添新功能時，就取得了性能改善方面的主動權(quán)，預先額外的付出就能得以回報。第二，單一廠家便于集成，便于解決改善性能的問題。影響安全系統(tǒng)升級的癥結(jié)在干性能提升，而性能取決于充分的優(yōu)化，優(yōu)化的方法是減少處理上的冗余，使之避免不必要的分解和重組。第三，用戶希望管理界面是自然統(tǒng)一、便于操作的，而不是將多種軟件的管理界面簡單地羅列在一起。

2 創(chuàng)建高性能的UTM

本文介紹的安全平臺由3個主要部分組成：專用硬件、專用軟件和安全內(nèi)容檢測技術(shù)。通過智能集成，每個單元都要圍繞安全的有效性和性能的可擴充性做出貢獻。

2.1專用硬件

專用硬件包括內(nèi)容處理器（CP）和網(wǎng)絡處理器（NP）。這些處理器與通用處理器（GPU）一起執(zhí)行任務。

2.1.1內(nèi)容處理器（CP）

內(nèi)容處理器是經(jīng)過定制的處理器，可以實現(xiàn)將已有的攻擊特征庫與內(nèi)存中的數(shù)據(jù)進行匹配。內(nèi)存中目標可以是網(wǎng)絡流量數(shù)據(jù)包，或者是壓縮后文檔中的文件。這些處理器對協(xié)議識別和解析是高度適配的，允許它們從數(shù)據(jù)中快速組合目標，并對可疑的內(nèi)容進行檢測。

為了提供千兆級實時的應用層安全服務（如防病毒和內(nèi)容過濾）的平臺，專門為網(wǎng)絡骨干和邊界上高性能內(nèi)容處理設計的體系結(jié)構(gòu)是必不可少的。從結(jié)構(gòu)圖可以看出，內(nèi)容處理器并不是設置在流量中的，當通用處理器（GPU）下達指令時，內(nèi)容處理器自動地執(zhí)行相關(guān)功能。內(nèi)容處理器還能包括加密引擎，在目標與“已知”的威脅比對時，能起到加速防病毒和IP技術(shù)。VPN的建立和關(guān)鍵性維持都是系統(tǒng)一個特別重的負擔，需要大量計算，內(nèi)容處理器則使GPU免除高密度計算。

有些人有誤解，以為ASIC是“靜態(tài)”安全檢測，不能適應對新產(chǎn)生的威脅的檢測。事實上，它只是固化掃描邏輯部分。ASIC芯片集成了硬件掃描引擎、硬件加密和實時內(nèi)容分析處理能力，提供防火墻、加密/解密，特征匹配和啟發(fā)式數(shù)據(jù)包掃描，以及流量整形的加速功能。對付新出現(xiàn)的威脅，只需要升級特征庫文件，這就像軟件解決方案一樣簡單。

2.1.2網(wǎng)絡處理器（NP）

網(wǎng)絡處理器是高速執(zhí)行和處理網(wǎng)絡流量的硬件設備。它典型地設置在數(shù)據(jù)通道上（見圖1），自動地處理許多與基于數(shù)據(jù)包通信、一般TCP處理、加密/解密和網(wǎng)絡地址翻譯（NAT）有關(guān)的任務，以減輕其他系統(tǒng)單元的負荷。

新一代的網(wǎng)絡處理器也能執(zhí)行安全檢測并予以處理。如有必要，還可用來調(diào)整數(shù)據(jù)流量。它可以迅速地重組數(shù)據(jù)包，而這個過程是入侵檢測技術(shù)所必需的。某些網(wǎng)絡處理器還可以編程，以加載當前的防火墻和IPS策略來對流量進行過濾，在接口級別上實現(xiàn)過濾異常流量和轉(zhuǎn)發(fā)對延時敏感的數(shù)據(jù)包，卻不需要通用處理器的參與。假如數(shù)據(jù)流直接旁路而沒有經(jīng)過其他模塊的處理，則網(wǎng)絡處理器需要和通用處理器交互會話表，以維護系統(tǒng)的信息完整。

由于僅是交互會話信息，而不是實際的數(shù)據(jù)包，這種處理方式能夠有效地降低系統(tǒng)的負荷，減少數(shù)據(jù)擁塞，從而提高了設備的性能。網(wǎng)絡處理器的目標是能線速地處理防火墻吞吐量，在使用任何大小的數(shù)據(jù)包時，使處理流量理想地達到GB速率，而且對IPSec VPN流量，也同樣能達到這樣的結(jié)果。

最近，在中檔UTM設備中也使用上網(wǎng)絡處理器，是一個引人矚目的趨勢，這體現(xiàn)了技術(shù)儲備和實力，也是技術(shù)上的一個突破。例如，美國Fortinet公司的新產(chǎn)品FortiGate-310B，它的可貴之處在于中檔產(chǎn)品達到高端性能，實現(xiàn)線速防火墻性能。FW/VPN的吞吐性能提高到千兆級水平。其優(yōu)勢還體現(xiàn)在高級別的端口密度，10個千兆以太端口，達到最低的每端口價格，陡然使性價比上了一大臺階。而此前，ASIC網(wǎng)絡處理器僅用于高端產(chǎn)品線，即應用于大型企業(yè)的高端安全產(chǎn)品，現(xiàn)在卻可以為IT、安全人員比較缺少的中小型企業(yè)擁有，提供整合的網(wǎng)絡安全服務一從防火墻、VPN、防病毒直到IPS和安全網(wǎng)絡分區(qū)。

2.2專用軟件

為了組成一個完整精簡的高性能防火墻和內(nèi)容安全檢測平臺，集成功能離不開專用的強化安全的操作系統(tǒng)?；趦?nèi)容處理模塊的硬件加速，操作系統(tǒng)采用智能排隊、信息采集共享和管道管理原則，使各種類型流量的處理時間達到最小，從而給用戶帶來實時性，有效地實現(xiàn)了防病毒、防火墻、VPN、反垃圾郵件、IPS等功能。

多重技術(shù)的組合意味著數(shù)據(jù)包或流量處理的冗余操作，所以有必要調(diào)整源代碼。單一廠家的解決方案能夠掌握對整個系統(tǒng)的執(zhí)行過程，避免了大量重復性工作。比如，如果防火墻模塊保持了狀態(tài)監(jiān)測的信息，那么在IPS模塊里就沒有必要再次重復類似的工作。另外，大量復雜的內(nèi)容檢測計算交給協(xié)處理器處理，通用處理器便可以處理更為有效率的工作，實現(xiàn)更多的安全功能。

2.3安全內(nèi)容檢測技術(shù)

貫穿于UTM整體的一條主線實際是高級檢測技術(shù)。先進的完全性內(nèi)容保護（Complete ContentProtection，簡稱CCP）采用了完全內(nèi)容檢測技術(shù)，即對0SI網(wǎng)絡模型所有層次上的網(wǎng)絡威脅的進行實時保護。與其他單純檢查包頭或“深度包檢測”的安全技術(shù)不同，它能夠掃描和檢測整個OSI堆棧模型中最新的安全威脅。這種方法比防火墻狀態(tài)檢測（檢查數(shù)據(jù)包頭）和深度包檢測（在狀態(tài)檢測包過濾基礎上提供額外檢查）等技術(shù)先進。

CCP的要點是在千兆網(wǎng)絡環(huán)境中，實時將網(wǎng)絡層數(shù)據(jù)負載重組為應用層對象（如文件和文檔），而且重組之后的應用層對象可以通過動態(tài)更新病毒和蠕蟲特征來進行掃描和分析。采用技術(shù)重組文件和會話信息，需要提供強大的掃描和檢測能力。但只有通過重組，一些最復雜的混合型威脅才能被發(fā)現(xiàn)。為了補償先進檢測技術(shù)帶來的性能延遲，正是使用ASIC芯片，專門為特征掃描、加密/解密和SSL等功能提供硬件加速。C CP可檢測各種威脅，包括不良Web內(nèi)容、垃圾郵件、間諜軟件和網(wǎng)絡釣魚欺騙等。

3 結(jié)束語

由于網(wǎng)絡流量和帶寬的增加，安全設備保持同步發(fā)展變得更為重要。統(tǒng)一威脅管理（UTM）系統(tǒng)安全平臺固然不失為優(yōu)秀的整體解決方案。而在具體實施辦法中采用ASIC硬件加速，才真正克服了功能與性能的矛盾，為安全系統(tǒng)持續(xù)發(fā)展提供了根本的保障。（萬方數(shù)據(jù)）