2 创建高性能的UTM

　　本文介绍的安全平台由3个主要部分组成：专用硬件、专用软件和安全内容检测技术。通过智能集成，每个单元都要围绕安全的有效性和性能的可扩充性做出贡献。

　　2.1专用硬件

　　专用硬件包括内容处理器（CP）和网络处理器（NP）。这些处理器与通用处理器（GPU）一起执行任务。

　　图1网络处理器型UTM系统体系结构

　　2.1.1内容处理器（CP）

　　内容处理器是经过定制的处理器，可以实现将已有的攻击特征库与内存中的数据进行匹配。内存中目标可以是网络流量数据包，或者是压缩后文档中的文件。这些处理器对协议识别和解析是高度适配的，允许它们从数据中快速组合目标，并对可疑的内容进行检测。

　　为了提供千兆级实时的应用层安全服务（如防病毒和内容过滤）的平台，专门为网络骨干和边界上高性能内容处理设计的体系结构是必不可少的。从结构图可以看出，内容处理器并不是设置在流量中的，当通用处理器（GPU）下达指令时，内容处理器自动地执行相关功能。内容处理器还能包括加密引擎，在目标与“已知”的威胁比对时，能起到加速防病毒和IP技术。VPN的建立和关键性维持都是系统一个特别重的负担，需要大量计算，内容处理器则使GPU免除高密度计算。

　　有些人有误解，以为ASIC是“静态”安全检测，不能适应对新产生的威胁的检测。事实上，它只是固化扫描逻辑部分。ASIC芯片集成了硬件扫描引擎、硬件加密和实时内容分析处理能力，提供防火墙、加密/解密，特征匹配和启发式数据包扫描，以及流量整形的加速功能。对付新出现的威胁，只需要升级特征库文件，这就像软件解决方案一样简单。

　　2.1.2网络处理器（NP）

　　网络处理器是高速执行和处理网络流量的硬件设备。它典型地设置在数据通道上（见图1），自动地处理许多与基于数据包通信、一般TCP处理、加密/解密和网络地址翻译（NAT）有关的任务，以减轻其他系统单元的负荷。

　　新一代的网络处理器也能执行安全检测并予以处理。如有必要，还可用来调整数据流量。它可以迅速地重组数据包，而这个过程是入侵检测技术所必需的。某些网络处理器还可以编程，以加载当前的防火墙和IPS策略来对流量进行过滤，在接口级别上实现过滤异常流量和转发对延时敏感的数据包，却不需要通用处理器的参与。假如数据流直接旁路而没有经过其他模块的处理，则网络处理器需要和通用处理器交互会话表，以维护系统的信息完整。

　　由于仅是交互会话信息，而不是实际的数据包，这种处理方式能够有效地降低系统的负荷，减少数据拥塞，从而提高了设备的性能。网络处理器的目标是能线速地处理防火墙吞吐量，在使用任何大小的数据包时，使处理流量理想地达到GB速率，而且对IPSec VPN流量，也同样能达到这样的结果。

　　最近，在中档UTM设备中也使用上网络处理器，是一个引人瞩目的趋势，这体现了技术储备和实力，也是技术上的一个突破。例如，美国Fortinet公司的新产品FortiGate-310B，它的可贵之处在于中档产品达到高端性能，实现线速防火墙性能。FW/VPN的吞吐性能提高到千兆级水平。其优势还体现在高级别的端口密度，10个千兆以太端口，达到最低的每端口价格，陡然使性价比上了一大台阶。而此前，ASIC网络处理器仅用于高端产品线，即应用于大型企业的高端安全产品，现在却可以为IT、安全人员比较缺少的中小型企业拥有，提供整合的网络安全服务一从防火墙、VPN、防病毒直到IPS和安全网络分区。

　　2.2专用软件

　　为了组成一个完整精简的高性能防火墙和内容安全检测平台，集成功能离不开专用的强化安全的操作系统。基于内容处理模块的硬件加速，操作系统采用智能排队、信息采集共享和管道管理原则，使各种类型流量的处理时间达到最小，从而给用户带来实时性，有效地实现了防病毒、防火墙、VPN、反垃圾邮件、IPS等功能。

　　多重技术的组合意味着数据包或流量处理的冗余操作，所以有必要调整源代码。单一厂家的解决方案能够掌握对整个系统的执行过程，避免了大量重复性工作。比如，如果防火墙模块保持了状态监测的信息，那么在IPS模块里就没有必要再次重复类似的工作。另外，大量复杂的内容检测计算交给协处理器处理，通用处理器便可以处理更为有效率的工作，实现更多的安全功能。

　　2.3安全内容检测技术

　　贯穿于UTM整体的一条主线实际是高级检测技术。先进的完全性内容保护（Complete ContentProtection，简称CCP）采用了完全内容检测技术，即对0SI网络模型所有层次上的网络威胁的进行实时保护。与其他单纯检查包头或“深度包检测”的安全技术不同，它能够扫描和检测整个OSI堆栈模型中最新的安全威胁。这种方法比防火墙状态检测（检查数据包头）和深度包检测（在状态检测包过滤基础上提供额外检查）等技术先进。

　　CCP的要点是在千兆网络环境中，实时将网络层数据负载重组为应用层对象（如文件和文档），而且重组之后的应用层对象可以通过动态更新病毒和蠕虫特征来进行扫描和分析。采用技术重组文件和会话信息，需要提供强大的扫描和检测能力。但只有通过重组，一些最复杂的混合型威胁才能被发现。为了补偿先进检测技术带来的性能延迟，正是使用ASIC芯片，专门为特征扫描、加密/解密和SSL等功能提供硬件加速。C CP可检测各种威胁，包括不良Web内容、垃圾邮件、间谍软件和网络钓鱼欺骗等。