【IT168专稿】当前市场上号称UTM的设备众多，一些不知名的小厂商也在过去几年间推出了自己的UTM产品。然而，那些产品更多地是在追逐“统一威胁管理（Unified Threat Management）”这个听上去很美的理念，实际应用的情况是：大部分产品只有防火墙功能可用，打开防病毒等高级应用功能就后，设备的数据吞吐延迟变得非常大，有些设备甚至直接宕机，造成网络中断，所以UTM的可用性成了人们诟病的话题。

    如何打消企业用户的顾虑呢？提升UTM高可用性是解决上述问题的唯一出路。经过实验室验证，H3C公司（华三通信）推出的H3C SecPath U200系列产品在多功能同时开启时，具有稳定的处理性能，在众多客户的实际运行环境中，也得到了充分的验证。

    除了极个别的行业，中小企业一般对互联网网络带宽不超过百兆。加之中小企业在IT投入上有限，因此在选购设备时，对价格因素非常注重。这也造成了很多中小企业在采购设备时不得不采用“够用就好”的策略，由于实际带宽需求不大，因此“百兆”安全网关已经采购主流配置。然而谁有不想获得高性价比的产品呢？

    H3C对中小企业用户需求了解十分清楚，因此在设计H3C SePath U200系列产品时，在功能全开的情况下其实际传输量超过百兆。H3C SePath U200系列在开启多种安全防护功能的时候，其性能依然满足中小企业网络带宽需求，这实现了UTM在实际应用中的高可用性。那么H3C公司又是如何做到的呢？

    笔者将从软（软件处理方式）、硬（硬件架构）两个方面，与你一起对H3C SePath U200进行剖析，从而了解其实现高可用性的奥秘。

    SecPath U200系列的产品设计思路是：在充分考虑应用环境极限流量情况下，多功能完全可用。

    因此SecPath U200在国内率先采用了“多核处理器＋硬件加速单元＋专用交换芯片”的硬件架构，这种硬件架构使它在可用性上取得了革命性的进步——保证了用户在使用SecPath U200防火墙功能基础上，打开防病毒、防垃圾邮件、网页过滤、入侵防御（IPS）等功能时，设备不会像传统UTM那样——处理能力急剧下降甚至是宕机，造成网络瘫痪。

    “多核处理器＋硬件加速单元”是SecPath U200各项安全算法实现的基础硬件架构，其结构示意图如下：

 “多核处理器＋硬件加速单元”架构示意图

    这一架构设计具备的优点在于：

    处理器集成了多个功能相同的高性能内核，每个内核具有多个硬件线程，每个线程具有独立的寄存器组，这些核可以并发的执行指令，保证了多个硬件线程的高速运行。不同的安全检测算法可以同时在不同的线程中得到运行，提高了效率。

    CPU之间以及CPU与集成到芯片上的其他部件间通过高速的内部互联技术进行通信，打破了以往多CPU系统中CPU之间以及CPU与系统其他部件间通信的性能瓶颈，使系统性能得到保证。

    每个CPU有自己独立的一级Cache（包括指令Cache和数据Cache），通常情况下所有的CPU共享二级Cache，所有CPU的一级Cache和二级Cache之间有自动同步机制，保证系统访问内存的效率。

    集成了内存控制器以及一些高速网络接口单元（GE，SPI4.2等），各个单元与CPU间通过高速通道连接，消除了通信瓶颈。

    集成了专用硬件加速单元，如流分类、攻击特征匹配引擎、压缩/解压缩引擎等，通过利用这些硬件加速单元对关键功能的处理流程进行优化，极大地提高了安全业务的处理性能，快速确定了网络流量中的攻击流量和干净流量。

    “多核处理器＋硬件加速单元”是用来实现各种算法的，而在数据包转发层面，H3C利用了多年开发全系列网络设备的经验，在U200的硬件中设计了拥有专利的“专用交换芯片”，可在多核处理器执行算法的基础上，实现“干净”数据包的快速转发。

    检测引擎（软件）是UTM高级安全功能（入侵防御、P2P流量管理等）的核心，它直接关系到检测的两个重要指标：漏报率和误报率，也直接关系到开启高级安全功能后UTM设备的两个重要性能指标：吞吐量和时延。

    SecPath U200系列UTM产品采用了H3C公司自主知识产权的FIRST（Full Inspection with Rigorous State Test，基于精确状态的全面检测）引擎。

FIRST引擎的架构示意图

    一方面，FIRST引擎创新性地将协议识别与特征匹配紧密地结合起来，利用特征匹配精确地识别出攻击特征码，利用协议识别分析出协议异常，将特征匹配与协议识别的结果结合起来，只有关联了特定应用层协议上下文的攻击特征码匹配了，才被判断为一次有效攻击，从而大大提高了检测精度，显著降低了误报率和漏报率。

    另一方面，FIRST引擎独创了软、硬件灵活适配的设计机制，并采用了流水线与大规模并行处理机制，保证检测效率与检测特征数量无线性关系，可以对一个报文同时进行几千种攻击特征和几千种协议特征的并行匹配检测，从而将整体的处理性能提高到空前水平。

    总之，无论是“多核处理器＋硬件加速单元＋专用交换芯片”的硬件架构，还是基于“FIRST引擎”的软件处理方式，都是H3C SecPath U200系列UTM产品的重要创新。两个方面创新加在一起，产生的效益就是使得U200系列产品在多功能开启时的数据处理稳定而高效，提高了设备整体的可用性。

    经过推出一年多来的大量商用，SecPath U200系列产品在企业、学校、政府、公共事业、运营商等客户网络环境下经受住了考验，证明了其硬件架构和软件处理方式的先进性，H3C公司还在依据积累的经验不断改进，将使UTM产品的可用性得到不断的提升，为客户提供更加高效的IT安全管理解决方案。