【IT168 专稿】为了对付混合威胁,满足中小企业对防火墙、IDS、VPN、反病毒等集中管理的需求,一些厂商将这些技术整合进一个盒子里,设计出高性能的统一威胁管理的设备。这样的设备一般安装在网络边界,也就是位于局域网(LAN)和广域网(WAN)之间,子网与子网交界处, 或专用网与公有网交界处,同时也可被设置于企业内网和服务供应商网络之间。它的优势在于将企业防火墙、入侵检测和防御以及防病毒结合于一体,VPN通常也集成在内。这种盒子就是UTM的雏形。
解剖UTM
UTM需要在不影响网络性能情况下检测有害的病毒、蠕虫及其它基于内容的安全威胁的产品,有的系统不仅集成了防火墙、VPN、入侵检测功能,还融入内容过滤和流量控制功能,提供了高性价比和强有力的解决方案。由于UTM系统需要强劲的处理能力和更大容量的内存来支持,消耗的资源必然是很大的,仅利用通用服务器和网络系统,要实现应用层处理,往往在性能上达不到要求。只有解决功能与性能的矛盾,UTM才能既实现常规的网络级安全(例如防火墙功能),又能在网络界面高速地处理应用级安全功能(例如病毒与蠕虫扫描)。虽然UTM实现的技术途径可以有多种,采用ASIC解决功能与性能矛盾,仍是公认的最有效主要方法。能够支撑一个优秀的UTM设备,最主要有三种优秀技术实现途径来保障。
图一
其一、ASIC加速技术。在设计UTM系统的总体方案中,有着两类不同加速用途的ASIC,也就是说,它们朝着两个方向发展:一是应用层扫描加速,另一是防火墙线速包处理加速。
其二、定制的操作系统(OS)。实时性是UTM系统的精髓。多功能集成的安全平台需要一套专用的强化安全的定制操作系统。这一OS提供精简的、高性能防火墙和内容安全检测平台。 通过基于内容处理的硬件加速,加上智能排队和管道管理,OS使各种类型流量的处理时间达到最小,从而给用户带来最好的实时性,有效地实现防病毒、防火墙、VPN和IPS等功能。
其三、高级检测技术。贯穿于UTM整体的一条主线实际是高级检测技术。先进的完全内容检测技术(CCI)能够扫描和检测整个OSI堆栈模型中最新的安全威胁,与其它单纯检查包头或“深度包检测”的安全技术不同,CCI技术重组文件和会话信息,可以提供强大的扫描和检测能力。只有通过重组,一些最复杂的混合型威胁才能被发现。为了补偿先进检测技术带来的性能延迟,UTM使用ASIC芯片来为特征扫描、加密/解密和SSL等功能提供硬件加速。