科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道追求UTM性能下降的幅度最小

追求UTM性能下降的幅度最小

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

为了追求UTM性能下降的幅度最小,各厂商往往会在技术上进行一定程度的创新。在目前的技术条件下,想要往UTM的线速上靠拢,主要有两种方案:第一,依靠软件的优化;第二,依靠硬件平台与体系结构的更新。

作者:CCW  来源:CCW  2008年6月11日

关键字: UTM 统一威胁管理

  • 评论
  • 分享微博
  • 分享邮件

  联想网御的产品经理王延华表示,目前各家UTM厂商都在进行软件上的优化与算法的更新,力求在做基于内容检测的时候,可以获得最优的效能。而神州数码网络的产品经理王景辉认为,单纯依靠软件的提升始终有限,更有效的做法是把UTM上所有的功能模块进行深度整合。

  其实,针对网关防病毒所造成的性能下降问题,是有一些技术手段可以解决的。像神州数码网络和WatchGuard都采用了UTM多检测引擎互嵌技术。因为传统上如果简单地把功能模块堆叠在一起,让数据包经过防火墙、VPN、病毒检测、垃圾邮件处理,这样一个串行处理过程会消耗很多资源。合理的方法是把这些功能模块整合到一起,如果进行垃圾邮件过滤,又要进行邮件查毒,那么就先进行垃圾邮件过滤,然后再进行邮件防毒的工作,从而减少很多垃圾邮件中携带病毒对于UTM的性能开销。另外,像VPN也是如此,先查病毒,后进行VPN隧道加解密。目前厂商已经把这种技术做成一种灵活的规则,以便减轻UTM的性能负担。

  叶建辉表示,通过ILS(智能分层安全)技术,确保UTM将所有功能整合到一个系统里面,可以实现安全应用的优化,从而更加快速地判断哪些数据包需要详细检查,哪些可以简单放过。

  此外,为了进一步降低病毒对于UTM的检测消耗,一种称之为“流检测”的新技术也开始投入使用。王景辉介绍说,与传统UTM采用代理技术(Proxy)接管整个连接的方式不同。流检测技术专注在第七层。毕竟不管什么样的病毒,只有当数据包完全接收下来以后才会形成病毒。因此当用户使用HTTP下载或者收邮件的时候,UTM设备可以不采取行动,仅仅利用拷贝机制进行数据复制,同时正常转发数据。一旦最终判断出数据包是病毒,则把最后几个发给用户的包阻止即可。

  有意思的是,在以太网世界大会上,记者曾亲自在神州数码网络的展台感受过该技术带来的优势:当记者另存为一个网页时,传统的UTM产品会先查毒,后下载,速度很慢;而支持流检测的UTM设备允许用户直接开始下载,只是到最后几个包的时候,UTM开始查毒。

  王景辉表示,利用此技术在UTM设备网关防毒功能开启时,可以提升90%的性能。目前流检测技术利用Segment和序列号来控制三层数据包,因此实现非常简单。

  除了软件以外,不少厂商也开始在硬件上动脑子。像Juniper和深信服都采用了多总线、多核CPU的技术。叶宜斌表示,经过“网络世界评测实验室”的实地测试,双核对于UTM的提升已经被证实,且着重体现在分析能力方向,包括提升一定的UTM处理能力。对于CPU去拆解协议和基于特征码扫描的工作,有一定的促进,因为可以降低一部分的延时。

  不过多核产品虽然已经推出,但在实际应用上还有提高的潜力。王延华认为,目前完全发挥出多核平台优势的UTM产品还没有出来,特别是现有UTM软件对于多核平台的支持还比较普通,其高速并发处理的特性还有待于进一步挖掘。据悉,目前UTM厂商采用的Intel、AMD多核芯片,仅仅用到了其80%的功能。

  另一个技术上的新突破在于,对于下一代NP系统在安全产品中的开发与应用。据美国《Network World》披露,国际上的芯片大厂已经开始推出新一代的NP芯片,或者称之为CP(Content Processor)。该芯片属于一个可编程的多内核处理器(6-8个),它可以把很多应用协议硬件化。要知道,传统的NP只能在网络层编写规则。但是新的NP可以把HTTP、FTP等应用条件都用硬件完成,包括大量常见协议的硬件化。因此即便保守估计,也可以带来10倍以上的UTM性能提升。据悉,像Cisco、Juniper、联想网御、Sonicwall、神州数码网络都在紧盯这块产品,以求与自身的UTM进行整合。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章