UTM安全网关兴起已有3年之久,但是,启用多种安全功能后,导致性能下降的问题一直未能得到有效解决,这成为UTM安全网关得到普及应用的主要障碍之一。为了加快UTM安全网关的发展和普及,致力于UTM安全网关的厂商,不断加快研发的速度,应用各种技术来解决UTM安全网关性能下降的问题。
目前,UTM安全网关的厂商主要通过硬件和软件两种方法,来解决性能问题。通过专用FPGA或ASIC芯片,对防病毒、内容过滤、入侵防御等功能进行加速是国内外厂商普遍尝试的办法。虽然硬件加速的方式确实使UTM的性能得到了大幅度提升,但是,FPGA和ASIC芯片缓慢的更新周期、成品设备无法硬件升级的瓶颈凸显出来,致使设备长期使用时的安全性不升反降,“性能与功能”的平衡天平明显的偏向了性能一方。硬件加速的方式解决得了“一时”,解决不了“一世”。从根本上讲,要解决的是性能和功能的平衡问题,而不是孤立的性能问题。
作为国内领先的信息安全厂商,启明星辰认为UTM安全网关性能与功能的平衡问题根本解决之道还需从软件入手,做到与硬件平台关联性小,在同一硬件平台上启用一种安全能力和启用多种安全能力性能差距不大。比如,天清汉马USG一体化安全网关从软件着手,通过拆分、合并、优化三步曲,解决了性能下降的难题。从软件方面解决UTM安全网关性能问题,需要经过三个阶段。
拆分多种安全功能
早在国家“十五”计划期间的一个“863计划”攻关项目中,中科院计算所和国防大学就研究了高级安全功能对系统资源的占用情况。研究结果显示,在报文预处理、应用协议重组、模式匹配、结果重组、报文还原等多个步骤中,模式匹配所占用的系统资源达50%。对于防病毒、入侵防御、内容过滤、垃圾邮件过滤等高级安全功能而言,每种功能都要经过多个报文处理步骤,其中存在多个重复的模式匹配过程,系统资源被重复占用,导致系统资源利用率下降,系统效率下降。为了解决这个问题,达到系统资源复用的目的,需要把每种高级安全功能的步骤进行拆分,形成新的软件体系架构。天清汉马USG一体化安全网关将主要的协议重组、模式匹配、结果重组等关键步骤拆分出来,为后面的横向合并奠定了坚实的基础。
合并横向多种功能
有了纵向的拆分作为基础,接下来就要进行横向合并了,天清汉马USG的横向合并包括模式匹配引擎的合并和特征库的合并。
前文提到,模式匹配环节占整体系统资源的50%,比例最高,多个模式匹配环节的存在大大的降低了系统效率。比如,天清汉马USG采用了创新的“综合分析引擎”技术,将模式匹配进行归一化处理;在接收到数据报文后,通过一个综合分析引擎就可以实现对防病毒、入侵防御、内容过滤、反垃圾邮件等高级安全功能的分析和匹配。这个匹配是需要有一体化的特征库作为支撑的。
一体化的特征库是将病毒特征库、入侵事件库、内容过滤特征库、垃圾邮件特征库等合并形成的。一体化特征库采用统一的格式,单一特征库的特征在入库前需要分配得到唯一的标记,在进行匹配后根据标记可以准确判断该特征所属类型,针对数据流送相应的处理模块进行控制。一体化特征库极大的提高了多种安全功能协同运作的效率,相比分散的特征库,可以使整体性能提升达40%以上。
优化算法
对于特征库的匹配,通常存在AC和BM两种算法,AC算法是最著名的模式匹配算法之一,基于一种精巧的模式树性质的一棵树;BM算法的时间复杂度低于线性,是现在用的比较多的一种方法。启明星辰公司对于两种算法进行了深入的研究和优化,通过BM算法提高步长,通过AC算法提高比对效率,并融入了很多的创新技术,形成了目前应用在天清汉马USG产品中的专利算法(专利号:200610089420.7);此专利算法与特征库的大小无关、与文本大小无关,可以确保大容量特征库情况下的检测效率。
通过拆分、合并、优化三步曲,可以使UTM安全网关的整体性能达到非常好的效果,启用全部安全能力后,仅比启用单独防火墙功能时性能下降30%左右。而在同样的硬件平台上,叠加式UTM安全网关会下降70%以上。因此,从UTM安全网关的技术现状和结构来看,硬件和软件优化是解决性能下降的两个方面。但是,从目前的实际现状来看,从硬件方面进行优化的环境还不成熟。从软件部分开始,则是比较实际可行的方法。利用软件的优化的三步曲,不仅可以大大提高UTM安全网关的性能,而且更有效地解决了多功能组合后性能下降的问题。