【IT168 专稿】UTM安全网关兴起已有3年之久，但是，启用多种安全功能后，导致性能下降的问题一直未能得到有效解决，这成为UTM安全网关得到普及应用的主要障碍之一。为了加快UTM安全网关的发展和普及，致力于UTM安全网关的厂商，不断加快研发的速度，应用各种技术来解决UTM安全网关性能下降的问题。

    目前，UTM安全网关的厂商主要通过硬件和软件两种方法，来解决性能问题。通过专用FPGA或ASIC芯片，对防病毒、内容过滤、入侵防御等功能进行加速是国内外厂商普遍尝试的办法。虽然硬件加速的方式确实使UTM的性能得到了大幅度提升，但是，FPGA和ASIC芯片缓慢的更新周期、成品设备无法硬件升级的瓶颈凸显出来，致使设备长期使用时的安全性不升反降，“性能与功能”的平衡天平明显的偏向了性能一方。硬件加速的方式解决得了“一时”，解决不了“一世”。从根本上讲，要解决的是性能和功能的平衡问题，而不是孤立的性能问题。

    作为国内领先的信息安全厂商，启明星辰认为UTM安全网关性能与功能的平衡问题根本解决之道还需从软件入手，做到与硬件平台关联性小，在同一硬件平台上启用一种安全能力和启用多种安全能力性能差距不大。比如，天清汉马USG一体化安全网关从软件着手，通过拆分、合并、优化三步曲，解决了性能下降的难题。从软件方面解决UTM安全网关性能问题，需要经过三个阶段。

    拆分多种安全功能

    早在国家“十五”计划期间的一个“863计划”攻关项目中，中科院计算所和国防大学就研究了高级安全功能对系统资源的占用情况。研究结果显示，在报文预处理、应用协议重组、模式匹配、结果重组、报文还原等多个步骤中，模式匹配所占用的系统资源达50%。对于防病毒、入侵防御、内容过滤、垃圾邮件过滤等高级安全功能而言，每种功能都要经过多个报文处理步骤，其中存在多个重复的模式匹配过程，系统资源被重复占用，导致系统资源利用率下降，系统效率下降。为了解决这个问题，达到系统资源复用的目的，需要把每种高级安全功能的步骤进行拆分，形成新的软件体系架构。天清汉马USG一体化安全网关将主要的协议重组、模式匹配、结果重组等关键步骤拆分出来，为后面的横向合并奠定了坚实的基础。