【IT168 UTM】Juniper和深信服:为了提升UTM的性能,好的方法是:要优化UTM的硬件结构,加入硬件加速。目前产品的X86架构主要是单总线架构,以后可以引入多总线的并行处理,加快处理能力。多总线还可以配合NP使用,包括多核平台的引入。软件方面也可以改进,但是硬件更有优势。对于这种硬件,UTM更新特别快,做成专用硬件是否升级有问题,还需要验证。特别是攻击在比较复杂的时候,是否合适还需要验证。
联想网御:目前解决UTM性能的问题,主要有两种:一是软件算法的更新,完全来做基于内容的检测。另一种是通过ASIC芯片或者FPGA芯片来做。后者通过硬件检测来做,内容处理和内容检测的速度会好。ASIC就是一个引擎,就是用来内容匹配。比如HTTP上的文字内容或者病毒样本,都可以转换成正则表达式去匹配,因此ASIC主要通过匹配来检测内容上是否有非法的东西,如攻击、病毒。目前下一代NP芯片还没有产品化,未来可能成为技术的方向,目前ASIC、FPGA都在比对工作。未来在低端上还是通过纯软件来处理。另一个方向是用多核的技术。目前多核平台是在开发初期,真正成熟的多核平台产品还没有出来。多核平台带来最大的变化是整体性能的提高,高速并发处理。目前UTM厂商使用的Intel、AMD提出的多核技术仅仅用到了80%的功能,大部分UTM的软件现在还不支持。
美国《Network World》:为了应对UTM的性能损失,厂家一般都在向内容处理器上靠拢,也成为CP或者下一代NP。它属于一个可编程的多内核处理器(6个,8个),有点类似NP。CP可以把很多应用协议硬件化,NP只能在网络层,任何条件可以自己编写。但是CP可以把HTTP、FTP等应用条件都用硬件做,包括常见的协议都用硬件做。属于更加高层次的NP,可以提升10倍以上的性能。明天第五代UTM产品。这个也是属于第三方芯片厂家来做的,安全厂商主要开发上层应用。明年会有很多厂商转到这上面来。
神州数码网络:网关防病毒,一定要采取一些技术来解决。可以采用多检测引擎互嵌技术;还有一个流检测技术。多检测引擎互嵌技术是说,如果简单把模块堆叠在一起的时候,会经过防火墙、VPN认证、检查病毒、垃圾邮件处理,一个串行处理过程。合理的方法是把模块整合到一起,如果进行垃圾邮件过滤,又要进行邮件查毒,那么就先进行垃圾邮件过滤,然后再进行邮件防毒的工作。VPN也是,先查病毒,在进行VPN加解密。可以把这种技术做成一种灵活的规则,减轻UTM负担。流检测是说,当用户使用HTTP下载或者收邮件的时候,不采用代理技术。传统代理技术要完全接管连接的整个过程,然后在发给客户端。而神州数码从开始的时候直接把包转发给客户端上,但所有的病毒都是在第七层的,只有完全收下来后才会是病毒。因此UTM只需要把最后几个包不转发给客户端就可以了。也就是说,客户端开始收到了一部分包,但是利用UTM的拷贝技术,UTM进行查毒,发现是病毒,则最后几个包拒绝推给用户。这个是神州数码独有的功能。因此在查病毒的时候速度优势非常明显。通过测试,采用流检测技术后,UTM性能下降仅仅有10几个百分点。最明显的,直接打开一个网页点击另存,别人的产品会先查毒,后下载,速度慢;而我们直接开始下载,只是到最后几个包的时候,UTM开始查毒,因此速度会快90%。基于对协议的了解,要求最后几个包的判断准确。所有数据包在三层传的时候,都要分包分段,神州数码网络利用数据包的Segment和序列号来控制,不发给用户。前面包收下来的时候UTM做拷贝,那个时候做检测没有意义,因为第七层检测的时候三层的包不会被认识。
WatchGuard:安全行业从前多是采用一种ASIC架构的UTM,主要是加快Firewall的功能、IDS的功能。但是普通的电脑功能,如anti-virus、anti-spamming等,不可以用ASIC来加快,对此,ASIC是没有用处的。WatchGuard设计UTM时,将成本更多投放到general-purpose CPU上,而不是放到ASIC上,这就是我们的general-purpose CPU的UTM架构方向。WatchGuard取General-purpose CPU作为发展UTM的架构,对UTM功能如Gateway Anti-virus, IDS, Anti-Spamming, Anti-Spyware及URL Filtering来说,用General Purpose CPU来架构会比以ASIC能提更有效与更灵活地达成。