作为多功能安全网关的代表——统一威胁管理（UTM）产品，只要用户将产品的全部功能开启之后，其结果往往是产品性能极大降低。曾有某位业内资深专家告诉笔者，有些UTM产品全功能开启后，其产品性的损失将达到50%，甚至是96%。这种性能表现与用户当初对这类产品期望相去甚远。

厂商给予厚望 发展却遇瓶颈

回想过去，以UTM为代表的具有多网络防御功能的安全网关，一经诞生，就受到了业界的追捧——

据IDC统计，2003年全球只有7个UTM类产品的厂商，而在2004年，这一数字扩大了2倍。2002年，UTM的整体销售额仅有4千万美元，而2003年超过了1亿美元，增长率超过了160%。经过几年发展，2006年3月，IDC在其年度报告中就预测当年UTM市场增长率为24.9%；2007年3月，IDC的年度报告中对UTM实际增长率的统计数据为84.3%，实际市场表现远远超过市场预期。

从数据中我们可以看出多功能安全网关受到欢迎，然而多功能安全网关在其发展过程中却遭遇瓶颈——

“在快速发展并被越来越多用户认可的同时，UTM也面临着三个重要挑战”，启明星辰产品管理中心安全网关产品部经理陈胜权的观点代表了安全业界很多人的观点。陈胜权所谓的三个重要挑战包括：提高应用层检测的精度、应对性能下降的挑战、满足易用性需求。

其中应对效能下降的挑战更为凸显。功能与效能的矛盾阻碍了安全网关向多功能发展的速度，同时也大大减缓了UTM等安全网关类产品的普及速度。也正是基于上述矛盾，给多功能安全网关的用户带来了困惑——

第一困惑就是多功能安全设备因为用于网关处，若部署不当会存在单点故障隐患；

第二个困惑是，企业用户在安全方面不断提出新的需求，尤其是对内容过滤以及内网控制等的需求日益强烈，然而要满足用户这类新的安全需求，则会进一步加剧网关的系统资源损耗，功能与效能矛盾更为突出；

最后一个困惑就是网络新应用对网关设备造成了新的通信压力。

就整体市场表现看，也体现出用户对此类产品的忧虑。IDC也曾指出，近年来在市场需求增长的影响下，UTM市场依然会呈现出增长趋势。然而有一点值得注意，即市场热度已经开始降温，市场增长力度也变缓的趋势。这种趋势不是说用户对多种功能安全网关的需求在降低，而是用户在等待更好的解决方案的出现。

安全防范新手段激化矛盾？

目前企业网络应用最热的关键词要属“统一通信”了。这一网络通信应用，早已不是过去那种电子邮件发送接收等简单的依托于存储转发应用，而是拓展实时协作网络通信工具上。如Web 2.0的应用、即时通讯（IM）、P2P(对等应用)、VoIP、流媒体和远程电话会议等，此类沟通方式无一不为用户网络提供了新的潜在威胁途径。

这些新应用的日益普及，迫使用户采用多种安全防范手段保护自身的网络不遭受攻击。正如SonicWALL北方区技术经理蔡永生所言：“面对愈加复杂的网络应用环境，以及由此产生的一系列恶意威胁攻击，网络安全防范手段越来越依赖于统一威胁管理和实时深度包检查的方法结合。”

众所周知，面对当今各种威胁，传统的单一解决方案不能针对当今复杂的威胁提供足够、及时和完全的保护措施。这些恶意攻击正是利用了日益复杂的、无约束的因特网访问、对等应用、即时通讯和多媒体应用在内的商业网络环境；同时这种复杂性也破坏了IT对网络的控制，经常导致带宽降低、生产力下降，企业的网络被许多不正当访问或非法的信息流量搞得不堪重负。“统一威胁管理（UTM）代表着传统防火墙进化趋势已经形成——传统的防火墙演化成不再仅是防止入侵的工具，而演化成能够执行内容过滤、数据泄露保护、入侵检测和反恶意软件的一种多功能系统。”蔡永生言道。

采用状态包检测技术的传统解决方案只检查约2%的防火墙流量，而使用深度包检测（DPI）技术的UTM解决方案被设计成能够检查100%的进出防火墙的流量。这势必对安全网关设备提出更高的性能要求。

这些新的安全防护手段岂不是让“功能与效能”的矛盾日益激化？

多核出现让UTM发展峰回路转

到此为止，你可以看出，UTM等多功能安全网关产品，其发展遇阻的主要因素完全聚焦在“功能与效能”的矛盾之上。而且安全防范新技术在某种程度上激化了这一矛盾。

然而有一点我们应该看到，IT技术的发展将很多以前人们认为是不可能的变成了可能。多核技术的出现同样如此，它的出现使“功能与效能”这一日益激化的矛盾迅速消融。

多内核是指在一枚处理器中集成两个或多个完整的计算引擎(内核)。多核技术的开发源于工程师们认识到，仅仅提高单核芯片的速度会产生过多热量且无法带来相应的性能改善，先前的处理器产品就是如此。他们认识到，在先前产品中以那种速率，处理器产生的热量很快会超过太阳表面。即便是没有热量问题，其性价比也令人难以接受，速度稍快的处理器价格要高很多。

英特尔工程师们开发了多核芯片，使之满足“横向扩展”（而非“纵向扩充”）方法，从而提高性能。该架构实现了“分治法”战略。通过划分任务，线程应用能够充分利用多个执行内核，并可在特定的时间内执行更多任务。

目前多核技术已经不仅仅应用于通用CPU产品之上，这项技术已经成功应用在网络设备芯片之上。

多核机构应用在多功能安全网关，使其发展前景峰回路转。

多核处理器可以让安全网关具有更多功能的同时，还保证其性能不降低。这源于多核架构的安全网关不仅低功耗，而且网络吞吐量还有显著提升。
 
据蔡永生介绍：“与通用处理器相比，应用于SonicWALL新一代安全产品的多核处理器为每一个核提供了额外的安全协处理器，可以使每个单独的核在芯片上具有额外的安全性硬件加速能力，可以明显降低安全协处理中的延迟问题；由于所有安全加速硬件都是片上（on-chip）的，SonicWALL多核架构不受总线频率的限制。而与ASIC解决方案不同，SonicWALL多核安全设备可以全面现场升级，能够与不断演变的安全威胁并驾齐驱，从而提供行业内广泛认可的新型网络安全技术和协议。”

多核安全产品日益增多

随着多核技术的出现，众多信息安全厂商均将产品研发放在了“多核架构”上。市场上采用多核技术的安全网关越来越多。

上周，SonicWALL宣布推出面向中小型企业及企业分支机构的网络安全设备NSA 2400。NSA 2400 为少于100名员工的企业提供新一代的统一威胁管理（UTM），帮助IT管理员在日益复杂的网络环境下，确保企业的网络安全，其核心是SonicWALL专利的免重组深度检测（RFDPI）8引擎，多核的设计可以检测进入和流出的网络流量，而不需牺牲产品性能。多层次统一威胁管理（UTM）和深度包检测技术结合在一起，使小型企业的IT管理员无需在网络安全和设备性能中做出选择，可以同时拥有两者。

正如SonicWALL中国区总经理谭敦敏所言：“无论企业大小，黑客、恶意软件、网络钓鱼和其他网络威胁对企业来说都是非常现实的问题。无论你管理着一个50人还是500人的企业，多层次的网络安全管理对于企业都是至关重要的。通过引入机架安装的NSA 2400，我们为中小型企业市场带来了功能全面、高性能的统一威胁管理（UTM）解决方案，而成本低于同类竞争产品。”

NSA 2400拥有NSA系列产品同样的多层次安全保护方法，包括防止入侵、文件和内容防病毒/反间谍软件监测来保护企业网络免于病毒、恶意软件、蠕虫、特洛伊木马和网络钓鱼等一系列的攻击。通过集成的应用防火墙，它还为管理员提供了更为强大的应用可视性和数据漏洞监测能力。这些功能设置提供了一系列可配置的工具来阻止数据漏洞，同时提供粒状应用控制，它们可以在每一个用户、每一个电子邮件账户、每一个日程表和每一个IP子网进行设置，从而为管理员创造出适应未来发展的企业安全解决方案。

如此同时，Hillstone（山石网科）新一代桌面级高性能智能安全网关—— Hillstone SA-2001。Hillstone SA-2001是专为中小型企业设计的高性能智能安全网关产品，在软件和硬件方面的稳定性和可靠性上都有了进一步提高，在低成本的基础上，为企业提供了灵活的部署方式，提供更安全、可靠的IT环境。

Hillstone SA-2001采用64位网络专用多核处理器，运算能力超过3.2Gbps，能够避免传统ASIC和NP安全系统会话创建能力和流量控制能力弱的弊病，为VPN和应用层内容安全功能提供强大的处理能力保障。依靠高性能的多核处理器，Hillstone SA－2001提供高性能防火墙/VPN和SSL VPN功能，可以实现精密的基于用户和应用的流量控制。在保障系统运行性能的情况下，可实现精密度为1kbps，多达300个用户的流量控制。能够提供包括TCP会话保持与报文重组、VPN、QoS流量管理等功能的芯片级硬件加速性能。

Hillstone SA-2001产品中采用了创新的网络安全架构，使得其在应用层安全处理的性能上有了质的飞跃，吞吐量达到150Mbps，最大并发连接数为20万，每秒4000的新建连接数，IP Sec VPN吞吐率为150Mbps，为企业应用安全提供专业的高性能硬件平台。

Hillstone SA－2001内嵌Hillstone自主开发的64位实时并行操作系统StoneOS，能够提供高性能的应用安全处理能力和更强的应用层抗攻击能力。同时，StoneOS支持各种应用协议的分析与控制，透过对HTTP协议的详尽分析，可阻断JavaApplet，Active-X及各种敏感文件的传输，保障用户终端的安全。StoneOS的定期发布可以及时解析各种最新的P2P协议及其变种，帮助用户阻断非法P2P及IM(即时通讯)中的文件传输，保护机文件不外泄。

Hillstone CEO 童建表示：“ Hillstone紧贴国内市场需求，通过多年的技术积累，致力于为国内用户IT环境，提供强有力的保障。Hillstone SA-2001集各种主要安全功能于一身，使中小型企业在可承受范围内，享受到高端安全网关的杰出性能，在最大程度上确保了企业关键业务的不间断运行。”