检测引擎(软件)是UTM高级安全功能(入侵防御、P2P流量管理等)的核心,它直接关系到检测的两个重要指标:漏报率和误报率,也直接关系到开启高级安全功能后UTM设备的两个重要性能指标:吞吐量和时延。
SecPath U200系列UTM产品采用了H3C公司自主知识产权的FIRST(Full Inspection with Rigorous State Test,基于精确状态的全面检测)引擎。
FIRST引擎的架构示意图
一方面,FIRST引擎创新性地将协议识别与特征匹配紧密地结合起来,利用特征匹配精确地识别出攻击特征码,利用协议识别分析出协议异常,将特征匹配与协议识别的结果结合起来,只有关联了特定应用层协议上下文的攻击特征码匹配了,才被判断为一次有效攻击,从而大大提高了检测精度,显著降低了误报率和漏报率。
另一方面,FIRST引擎独创了软、硬件灵活适配的设计机制,并采用了流水线与大规模并行处理机制,保证检测效率与检测特征数量无线性关系,可以对一个报文同时进行几千种攻击特征和几千种协议特征的并行匹配检测,从而将整体的处理性能提高到空前水平。
总之,无论是“多核处理器+硬件加速单元+专用交换芯片”的硬件架构,还是基于“FIRST引擎”的软件处理方式,都是H3C SecPath U200系列UTM产品的重要创新。两个方面创新加在一起,产生的效益就是使得U200系列产品在多功能开启时的数据处理稳定而高效,提高了设备整体的可用性。
经过推出一年多来的大量商用,SecPath U200系列产品在企业、学校、政府、公共事业、运营商等客户网络环境下经受住了考验,证明了其硬件架构和软件处理方式的先进性,H3C公司还在依据积累的经验不断改进,将使UTM产品的可用性得到不断的提升,为客户提供更加高效的IT安全管理解决方案。