UTM的平衡曲线——浅析统一威胁管理设备性能与功能的匹配问题

　　美国《网络世界》和中国《网络世界》分别在8月底和9月初进行了各自的UTM产品的测试与用户调查，结果显示，目前市场上的UTM产品，在全套安全功能都打开的情况下，遭遇到50%至96%的性能损失。

　　损失：从50%说起

　　UTM的性能损失问题在全世界都不是秘密，根据美国《网络世界》的调查，几乎100%的用户都对UTM性能下降的问题表示关注，其中有近半数的用户对于超过50%的性能下降表示吃惊。

　　回到国内，情况同样不能乐观，一些厂商的100M UTM产品，在单独打开网关防毒功能后，性能下降到8M；如果单独打开IPS功能，性能也接近8M；如果两项功能全部打开，性能下降到6M。有些产品甚至可以到达96%的性能下降。

　　事实上，很多厂商都表示，类似的情况属于正常现象，区别仅仅是下降的幅度而已。深信服的产品经理叶宜斌表示说，由于UTM往往肩负防火墙、网关防病毒、入侵检测、内容过滤等多种功能，因此受制于深度检测与模式匹配的原理，网络层上无法找到流量共性，所以目前市场上主流的UTM产品，大部分都采用X86架构，硬件平台的结构决定了性能下降的必然性。

　　Crossbeam的CEO Peter G. George先生此前在接受记者采访时曾表示，即便是采用FPGA+ASIC+NP架构的高端交换式架构UTM，一样会出现性能下降的表现，只不过幅度较小而已。

　　Juniper的产品经理梁小东表示，目前影响UTM性能最为明显的，就是网关防病毒和入侵检测功能。因为这两项功能必须涉及到对于第七层协议的分析，特别是要逐一对数据包进行检测，因此面对一些基于HTTP的病毒，系统的开销就会相当大。

　　另外，受到市场因素的驱使，很多安全厂家在自身的UTM产品中集成了一些内容过滤的功能。对此，Sonicwall的技术经理蔡永生表示，如果仅仅是对URL进行评估，包括从UTM后台数据库进行评级，看看是阻断还是放行，这种情况不论是设备内置还是旁路到第三方，对CPU的压力都很小。但如果是在UTM里面进行一系列的动态评估，包括对网页、QQ、MSN的内容，那么肯定是相当消耗CPU资源的。

　　除此以外，受制于在每一台UTM里面，主要的系统资源、CPU及存储都是有限的，WatchGuard公司亚太区技术总监叶建辉认为，如果在一个繁忙的网络里面，使用反垃圾邮件等功能较多的时候，再快的CPU也有极限，同样将不可避免地拖慢UTM的整体性能。

　　总而言之，在UTM各个安全功能中，当需要进行大量特征匹配的工作时（包含内容过滤），对性能会有最大影响。

　　解决：软硬同时开攻

　　为了追求UTM性能下降的幅度最小，各家厂商往往会在技术上进行一定程度的创新。在目前的技术条件下，想要往UTM的线速上靠拢，主要有两种方案：第一，依靠软件的优化；第二，依靠硬件平台与体系结构的更新。

　　联想网御的产品经理王延华表示，目前各家UTM厂商都在进行软件上的优化与算法的更新，力求在做基于内容检测的时候，可以获得最优的效能。而神州数码网络的产品经理王景辉认为，单纯依靠软件的提升始终有限，更有效的做法是把UTM上所有的功能模块进行深度整合。

　　其实，针对网关防病毒所造成的性能下降问题，是有一定的技术手段可以解决的。像神州数码网络和WatchGuard都采用了良好的UTM多引擎互嵌整合技术。因为传统上如果简单地把功能模块堆叠在一起，让数据包经过防火墙、VPN、病毒检测、垃圾邮件处理，这样一个串行过程会消耗很多资源。合理的方法是把这些功能模块整合到一起，如果进行垃圾邮件过滤，又要进行邮件查毒，那么就先进行垃圾邮件过滤，然后再进行邮件防毒的工作，从而减少很多垃圾邮件中携带病毒对于UTM的性能开销。另外，像VPN也是如此，先查病毒，后进行VPN隧道加解密。目前厂商已经把这种技术做成一种灵活的规则，以便减轻UTM的负担。

　　叶建辉表示，通过ILS（智能分层安全）技术，确保UTM将所有功能整合到一个系统里面，可以实现安全应用的优化，从而更加快速地判断哪些数据包需要详细检查，哪些可以简单放过。

　　此外，为了进一步降低病毒对于UTM的检测消耗，一种称之为“流检测”的新技术已经开始投入使用。王景辉介绍说，与传统UTM采用代理技术（Proxy）接管整合连接的方式不同。流检测技术专注在第七层。毕竟不管什么样的病毒，只有当数据包完全接收下来以后才会形成病毒。因此当用户使用HTTP下载或者收邮件的时候，UTM设备可以不采取行动，仅仅利用拷贝机制进行数据复制，同时正常转发数据。一旦最终判断出数据包是病毒，则把最后几个发给用户的包阻止即可。

　　有意思的是，在以太网世界大会上，记者曾亲自在神州数码网络的展台感受过该技术带来的优势：当记者另存为一个网页时，传统的UTM产品会先查毒，后下载，速度很慢；而支持流检测的UTM设备允许用户直接开始下载，只是到最后几个包的时候，UTM开始查毒。

　　王景辉表示，利用此技术在UTM设备网关防毒功能开启时，可以提升90%的性能。目前流检测技术利用Segment和序列号来控制三层数据包，因此实现非常简单。

　　除了软件以外，不少厂商也开始在硬件上动脑子。像Juniper和深信服都采用了多总线、多核CPU的技术。叶宜斌表示，经过“网络世界评测实验室”的实地测试，双核对于UTM的提升已经被证实，且着重体现在分析能力方向，包括提升一定的UTM处理能力。对于CPU去拆解协议和基于特征码扫描的工作，有一定的促进，因为可以降低一部分的延时。

　　不过多核产品虽然已经推出，但在实际应用上还有提高的潜力。王延华认为，目前完全发挥出多核优势的UTM产品还没有出来，特别是现有UTM软件对于多核的支持还比较普通，其高速并发处理的特性还有待于进一步挖掘。据悉，目前UTM厂商采用的Intel、AMD的多核芯片，仅仅用到了其80%的功能。

　　另一个技术上的新突破在于，对于下一代NP系统在安全产品中的开发与应用。据美国《网络世界》披露，国际上的新片大厂已经开始推出新一代的NP芯片，或者称之为CP（Content Processor）。该芯片属于一个可编程的多内核处理器（6-8个），它可以把很多应用协议硬件化。要知道传统的NP只能在网络层工作编写条件。但是新的NP可以把HTTP、FTP等应用条件都用硬件完成，包括大量常见协议的硬件化。因此即便保守估计，也可以带来10倍以上的UTM性能提升。据悉，像Cisco、Juniper、联想网御、Sonicwall、神州数码网络都在紧盯这块产品，以求与自身的UTM进行整合。

　　联合：大家帮助大家

　　区别于传统IT竞争的一点，UTM领域出现了很多的联合型为。事实上，在2003年UTM概念登场之初，IDC对其下的定义就是防火墙、网关防病毒和入侵检测的结合体。不过这几年来，内容过滤、反垃圾邮件、甚至内网控制都集成到UTM中来，因此一家厂商的力量往往难以做到尽善尽美。

　　对此，像Checkpoint、Commtouch、CefurTrust、Fprot、卡巴斯基、Symantec、Surf Control、Sophers、TrendMicro等安全公司，都已经为大量的UTM厂商提供相应的OEM安全模块。

　　在相关的合作问题上，叶宜斌和梁小东两人一致认为，由于各个厂商有自己的优势，因此集成业界领先的技术会是一个比较好的趋势。而叶建辉也认为，跟业内的领导者合作，性能及安全性当然会有保证。对于和OEM厂商的合作，王景辉认为只要能够做到双方系统级的开发，是可以获得良好的性能保证的。不过由于受制于平台与不同功能模块的引擎问题，联合也并非一蹴而就。对此王延华解释说，同一个操作系统支撑5-6个模块，能否整合好是一个大问题。像卡巴斯基防病毒引擎，在自己的平台上性能比较高，和另外的平台放在一起就不一定，经常表现出开销比较大的问题。因此联合的关键是，一定要对相关的产品模块做优化。

　　另外，从实际的测试情况来看，与业内主要安全厂商联合开发模块，有可能保证UTM的性能，但也不一定。蔡永生认为，问题的关键是看UTM的硬件平台怎么做。这将会涉及到一个产品完整的硬件、软件架构设计，而且合作双方还需要配合起来才可以。他表示Cisco的ASA系列就是一个不成功的例子，因为受制于插槽原因，TrendMicro提供的网关防病毒和入侵检测模块不可以同时使用。相反，如果厂商一直坚持自己的设计，也不一定就不好。

　　面对UTM设备不可避免的性能损失，以及不同规模、不同需求的用户，哪些UTM才是适合的？哪些方案才是可行的？对此，有必要从国内的实际情况进行评估与比较，以便找到适合自身特点的安全产品。

　　面对损失：从需求出发

　　前面说过，UTM的性能损失不可避免，而且往往还相当巨大，那么在还没有全线速产品出来的时候，UTM还能不能用？怎么用？这是需要用户仔细研究的。

　　对用户来说，首先要理解一点，大部分UTM都是面对中小企业市场的。因此如果一家企业只有不到50名的员工，那么往往这类用户的出口带宽都是2M的企业ADSL。事实上，对于这类的小型办公环境，一款100M以下的UTM完全可以胜任。因为即便在开启网关防病毒和入侵检测的情况下，8M的有效吞吐量仍然可以满足要求。对于规模在50人以上，500人以下的企业用户，他们很多会申请专线，不过带宽一般不超过10M。此时，一台200M的UTM也是绰绰有余的。因为即便是功能全开后的性能下降，有效吞吐率也能维持在40M左右。

　　从实际情况看，即便是规模更大的企业，其出口带宽一般也不超过10M，甚至很多企业内网流量也仅在100M左右。对此，蔡永生表示说，企业的应用有别于大学，其流量本身并不复杂。而相对于电信和金融用户的高速度、高独立、高冗余特点，普通的企业用户并非一味求快，而是更加关注应用层安全，而这恰好符合UTM的设计理念。

　　用户需要明确一点：UTM的设计思路始终是把安全放在第一位，只有在安全特性之上，才能谈性能。而梁小东也建议企业用户在选购的时候，可以根据厂商提供的参照表进行选择。

　　事实上，和其他的企业级IT产品一样，UTM的技术寿命一般就是三年，因此用户在使用过程中只要保证三年内的应用满足就可以了。另外，叶宜斌也提醒说，如果用户比较关注网关防病毒和入侵检测，那么必须考虑在用户满容量的情况下，根据厂商的推荐配置，需要性能的相应提高。

　　因为最终的需求取决于用户本身。王景辉解释说，用户如果要保证高速度，同时也要非常高的安全性，那么在选择UTM的时候，需求是需要放大的。但是用户如果对于安全的要求高于对速度的要求，则可以选择性能普通的UTM产品。

　　此外，不少UTM厂商会建议用户在UTM性能达到饱和的时候把产品升级。叶建辉认为，即便是用尽所有UTM安全功能的用户，亦需要按UTM的性能饱和度，适时地把产品升级。

　　四点特殊：用户关注

　　由于UTM的独特功能组和，因此造就了其特殊应用的一面。对此，企业用户必须有一个全面的判断。

　　第一，对于传统上描述的根据“并发用户连接数”来判断UTM的性能并不科学。对此，王景辉解释到，市场中一些不规范的小厂商经常用该数值误导用户。事实上，UTM不同于防火墙，后者建立Session后就不再干预了，可是UTM还要进行深度包检测。因此从目前网络趋势看，特别是P2P应用泛滥的情况下，很可能一个QQ或者Skype用户就可以产生几百个甚至一千个连接，因此仅仅标称支持多少并发用户对于UTM是没有保证的。

　　要评审一款UTM的性能，叶建辉觉得比较科学的方法是以一般用户对不同应用的比例来仿真加压测试（stress test），如按比例加大Email、HTTP、FTP的流量。但每个用户的应用比例都不一样，所以这种测试的结果也不代表对所有用户有用。

　　第二，UTM的单点故障问题。用户需要注意，UTM部署在网关的时候，在一定成度上是存在单点故障隐患的。毕竟大量的功能模块集中在一台设备里，一旦出现问题，网络很可能瘫痪。目前像神州数码网络和WatchGuard都采用了遇到性能瓶颈时的bypass策略。通过对UTM系统参数的监控，一旦发现CPU、内存快到临界点的时候，马上关闭一些消耗较大的功能，可以在一定程度上避免单点故障的问题。

　　第三，内容过滤与内网控制。按理说IDC的定义中并为将其列入UTM的支持范围，不过这两部分在国内用户中的需求非常高，甚至在一定程度上推动了国产UTM厂商与国外厂商竞争的优势。

　　对国内用户的调查显示，很多企业对于内网的P2P和IM软件的应用心存余悸，特别是在学校里尤其明显。因此以深信服和神州数码网络为代表的国产UTM厂商，都在自己的产品中加入了接入层多元素绑定技术，同时开发了针对QQ、BT、MSN、Skype的带宽限制、应用阻挡功能。此外针对邮件、Web的泄密问题，这些UTM还支持基于控件的内容审计、日志记录和邮件延迟审计功能，实现对所有内网监控、控制、审计、提供报表、流量管理，确实满足了国内用户特定的需求。

　　第四，VoIP冲突。随着VoIP的发展，在国外已经出现了由于大量VoIP小包对UTM造成的性能冲击问题。事实上，VoIP有其特点，比如它是UDP包，而不是TCP包。对此，叶建辉指出UTM可以进行专门优化。对于所有VoIP例行的UDP包，只进行简单扫描，可以放过。因为语音数据包里基本没有垃圾邮件和病毒，所以通过UTM引擎可以对VoIP和UDP进行和优化。

　　而针对VoIP的两种主要协议：SIP和H.323，都有自身的安全漏洞。对此梁小东认为，通过UTM设备，可以在很大程度上给VoIP套上另一层保护。与国外的情况不同，很多国内用户习惯将VoIP通过IPSec VPN通道。对此，王景辉和王延华均表示，目前很多一线UTM厂商的产品都可以穿越隧道进行扫描，有些还可以在加解密之前进行病毒检测，因此安全上没有问题。

　　而说到小包对于UTM防火墙的打击，蔡永生表示，由于目前国内应用较少，所以感觉不明显，目前即便是视频会议，大多也是一个分支机构一个设备而已。不过还是要提醒有此打算的用户，如果VoIP确实应用非常多，可以先进行测试后，在选择相关的UTM产品。

　　全网安全：捷径考量

　　由于UTM的性能下降问题，以及一些产品的单点故障问题，不免引出了一个疑问：大企业是否需要UTM？是否可以使用UTM？

　　事实上，这个话题在国外争论的更加激烈，一些大企业的IT经理对此抱有疑虑。回到国内，这样的讨论一样存在。不过对于安全厂商来说，一些特殊的解决方案确实在一定程度上给出了答案。

　　像以Cisco的SND和神州数码网络3D-SMP为代表的全网安全方案，都在今年推出了方案的细化版本----以UTM作为网络出口与企业子网的边界，从而既弥补了UTM的性能下降问题，又保证了安全性。

　　“我相信如果在不同的网段打开必须的功能，在其它地方适当地减少，可以带来全网更高的性能。”王景辉表示，网络中病毒爆发与传播的速度越来越快，从发现漏洞到病毒爆发已经缩短到不到10天。短周期导致了传统上对病毒的防御遭到了挑战。从目前的应用来看，深度包检测技术是最有效的防御手段，其实时性的优势已经超过了防毒客户端，而且可以保证随时升级。因此，正是基于UTM的高实时性，可以满足大企业用户的安全需求。要知道，目前大型企业内网复杂，而且大多控制水平一般。而UTM与3DSMP的配合，采用分布式部署的方式，可以很大程度上解决性能问题。不过兼顾到用户的投资，一般建议用户在重要的服务器群与子网的前面配置UTM。

　　这种方案的原理非常好理解，当边界的压力过大时，可以仅仅用启用网关防火墙来检查规则，而在子网中根据用户不同的需求水平，启用防病毒、入侵检测等功能。

　　不过对此方案，业内厂商的反映并不一致。蔡永生认为，全网安全方案与UTM的结合，是一个性能折衷的选择。不过在说服大企业用户使用上，确实具有优势。毕竟很多企业规模大，但是网络流量不大。企业业务数据多，但是上网的人少，用BT、QQ的人少，因此分布式的模式也许是适合的。

　　事实上，当前市面上的UTM产品支持万人规模的企业没有太大问题。梁小东表示说，方案的关键还是看用户的需求。有些时候，企业中串联的设备越多，对流量影响越大。但有些时候把UTM放在子网里面，确实可以减少一定边界的压力。具体还需要根据客户需求来讨论方案。

　　不过显而易见的是，这种方案需要用户配置多台UTM设备，因此性价比不是很好。王延华的看法是，这种以全网安全配合UTM的方案很有意义，也可以达到满足大型企业应用的目的，但他同时表示，这仅仅是解决问题的一种方法而已。

　　不过在全网方案中部署UTM，仍然会存在单点故障问题。叶宜斌认为，很多电信、银行等客户对于UTM的感觉不好，如果有足够的预算，他们会去购买单独的设备。另外，全网安全方案虽然可以保证性能，但在一些重要子网上是否要考虑冗余，仍然值得商榷。