根据IDC的定义,UTM(统一威胁管理,Unified Threat Management)产品至少要包括防火墙、IPS、防病毒以及VPN四项功能。然UTM多种安全技术的集成带来了无可回避的性能瓶颈,如何解决技术融合与保证性能,客服UTM性能瓶颈,成为决定UTM发展的命脉。
IDC高级分析师董瑞表示,“自UTM面世以来,UTM就不得不解决性能瓶颈,早期UTM(叠加式UTM)着重解决性能及核心功能模块的研发,随着技术的成熟,今天的UTM产品不得不面对如何提升技术融合,同时用户对性能也提出的更高的要求。”
不可否认,如今的网络环境正在变得更加复杂,传统防火墙已经很难满足企业应用的安全需求,企业在选择种类繁多的安全产品时,迫切需求一套高性能的安全产品来解决日益猖獗的病毒木马,以及各种各样的网络攻击行为。UTM此时成为企业的首选。
同时,传统的UTM产品由于性能上的差异只能解决中小企业的安全需求,对一些院校及大型企业的一体化安全需求却差强人意。解决技术融合、提升UTM性能成为安全厂商必须面对的难题。
IDC预测,在未来2-3年,统一威胁管理硬件(UTM)市场和入侵防御硬件(IPS)市场将称为越来越多主流厂商的新战场。
多核助力 性能挑战
然而,如今的企业也不再盲目的跟风,企业在选购安全产品时通常会考虑企业的实际需求,以及选购的安全产品的可管理性和可拓展性。UTM产品是否可以满足企业的安全需求呢?
启明星辰安全网关部经理陈胜权表示,“如今UTM产品主要面临三大困境,功能专业化、产品的易用性以及如何解决UTM的性能瓶颈。”随着技术的进步,UTM厂商认识到多核是UTM突破性能瓶颈的最佳平台。
企业对UTM的担忧主要体现在,如何解决单点故障、引擎单体性能以管理性和扩展性。专家表示,随着越来越多的安全厂商成功解决了万兆级的防火墙瓶颈,无疑对UTM厂商是一种信号。在对如今常见CPU、NP、ASIC、以及多核平台的测试过程中,厂商发现通过多核可以很好的解决UTM产品所面临的困境。但多核平台可以高效的解决UTM困境的同时,厂商不得不面对多核带来的技术挑战。
首先,由于多核本身的特性,传统的操作系统在其平台上无法满足需求,这就必须对操作系统进行重新架构和开发。
其次,多核上实现UTM的业务调度也是巨大的挑战。业务处理一般有并行和串行两种模式:并行方式下,普通处理方式在多流多核分配时,无法保证唯一性,这需要实现智能业务并行化调度,在多核平台上保证唯一性,同时实现对多个内核资源的充分挖掘和利用;串行方式下,需要根据各个功能模块占用系统资源不同进行相应的分配,以保证没有性能瓶颈,调理不当,就会出现性能多核处理器内的性能瓶颈。
再次,在采用并行化处理方式时,面临应用层检测效率难题。软件架构要求每个核均能实现所有的功能,包括防火墙、入侵防御、防病毒、内容过滤、P2P控制等,对应用层数据的分别检测非常耗费系统资源,这会导致单核产生性能瓶颈产生;为了避免单核瓶颈,需要尽量提高应用层检测效率。
最后,驾驭了多核之后,通过软件设计和实现,充分挖掘多核的性能面临巨大挑战。宏观讲,全球范围内,2005年就有部分安全厂商投入研发基于多核平台的UTM产品;截止到2008年5月,据不完全统计,全球发布基于多核高端产品的厂商9家;其中绝大多数实现了防火墙性能达到万兆;但仅有SonicWALL历时2年半才真正完成了多核UTM产品的开发,达到商用的水平。
只有充分考虑以上几点因素,UTM产品才会有质的提升。
我国的UTM发展状况
在国外2005年开始,2005年就有厂商在多核上开始研发高性能的UTM产品,但进展缓慢。这是因为多核技术本身比较复杂,全面的驾驭多核存在很多难题。国内,启明星辰、联想网御、天融信等信息安全厂商正在积极行动,已经或正在解决万兆级的UTM产品的开发及应用。近日,启明星辰正式发布万兆多核UTM平台,在基于并行的16核Cavium多核平台下,已经实现了防火墙(25.45Gbps)和IPS(11.74Gbps)性能的万兆级水平,这标志着我国的多核UTM产品已经达到世界领先水平。但这并不是完全意义上的UTM产品,随着各种功能及应用的增加,如何保证性能再次成为摆在中国企业的难题。同时不论在一些串行实现中,如何保证单点故障恢复,同样需要UTM厂商思考。
性能是摆在UTM厂商面前的最大挑战,随着UTM产品的不断突破,相信一体化的安全网关产品在未来的企业应用中,会起到越来越重要的作用。一场新的UTM高端性能风暴即将来临,我们拭目以待。