万兆UTM亦真亦假

　　据统计，全球发布基于多核UTM高端产品的厂商有9家，其中绝大多数实现了防火墙性能达到万兆。但这种“万兆”UTM并不能算是真正的万兆，IPS和防病毒等模块都达到万兆才算是真正的万兆。

通过检测技术的积累可提高应用层检测效率

应用层检测效率成为ＵＴＭ瓶颈

　　UTM（统一威胁管理）从2004年被IDC正名之后，因为其在IT架构的应用中性能衰减问题，并没有被高端用户所认可。那时候的UTM依然像防火墙在IT架构中的地位一样，就像三明治中的一片火腿肠，被夹在交换机和负载均衡中间。

　　ＵＴＭ的性能困境

　　截止到2008年5月，据不完全统计，全球发布基于多核高端产品的厂商有9家，其中绝大多数实现了防火墙性能达到万兆。业内分析人士认为，这种“万兆”UTM并不能算是真正的万兆，IPS和防病毒等模块都达到万兆才算是真正的万兆。

　　据悉，目前仅有Crossbeam这一家国外厂商真正完成了多核UTM产品的开发，达到商用的水平，研发历时两年半，目前已经应用在O2和捷克电信。这充分说明在多核处理器上实现全功能、高性能是一个世界级的难题。

　　启明星辰安全网关产品部经理陈胜权说：“由于UTM硬件架构的差异化和性能衰减与应用匹配问题已经成为用户关心的热点。虽然目前UTM在政府、中小企业已经成为主流，电信运营商、大型企业、高校用户也对UTM青睐有佳，但无奈UTM在上万用户规模的网络中应用，性能仍然是瓶颈，导致采购并不踊跃。”

　　就在今年年初，美国举办的一次UTM横向评测中，包括Fortinet、Cisco、Juniper、Checkpoint等13家厂商参加。在性能评测一项，最佳UTM性能表现为520Mbps，这与大流量网络中的实际流量相比，仍显不足。

　　在UTM的全部安全功能都打开的情况下，会遭遇到50%～96%的性能损失。其中一些厂商的百兆UTM产品，在单独打开网关防毒功能后，性能下降到8Mbps；如果单独打开IPS功能，性能也接近8Mbps；如果两项功能全部打开，性能下降到6Mbps，有些产品甚至可以到达96%的性能下降。

　　“毫不夸张地说，以前如果打开UTM的深度报文检测功能，防火墙的处理性能可能从1000Mbps迅速降低到100Mbps。多核多线程硬件架构更适合并行处理多业务，因此多核技术的出现会导致网关类产品的整合，在中端产品中，尤其是千兆产品中整合趋势更明显，而在5Gbps流量以上的应用中整合趋势并不明显。”陈胜权表示。

　　董锐认为，UTM虽然具有多功能性，但仅这种单一设备放置网关处，容易形成单点故障。多核万兆UTM目前已经诞生，在一定程度上缓解了UTM的性能困境。

　　芯片架构成ＵＴＭ绊脚石

　　作为发展方向，国外的Cisco、SonicWALL、CheckPoint等公司，国内的天融信、启明星辰等公司已经重点投入多核技术的产品研发，并形成了一定的研发成果，目前可以在多核平台上实现防火墙性能达到10Gbps的能力。这也为在多核技术平台上实现高性能的UTM作出了一定铺垫。

　　从万兆UTM目前的真正需求来说，它更适合高校用户，因为校园园区网之间往往是多个千兆甚至万兆的链路，实际带宽通常是几个Gbps，其中很大部分是P2P下载、病毒等流量，需要病毒、P2P控制等高级安全功能，但由于以前的设备不具备如此高的性能，用户只能放弃采用。

　　863计划中一项科研成果显示，安全功能中模式匹配环节对资源的占用达到50%，就是这个环节造成了UTM的性能下降，当存在多个模式匹配环节的时候性能下降尤为明显。因此在UTM上将多个高级安全功能的模式匹配环节进行归并处理，可以在很大程度上缓解UTM产品性能下降的幅度。

　　解决性能下降难题是UTM广泛应用的前提。陈胜权分析说，虽然性能下降的问题已经有些老生长谈，但在过去的几年中，多数厂商都在通过ASIC芯片级的解决方案进行解决，但效果普遍不好，要么性能上去了、功能没了，要么功能多了，但很多是由x86架构的CPU来做的，性能自然不佳。

　　在目前现存的NP、ASIC、Multi-Core等硬件架构平台中，NP架构性能适中，开发难度大，有些像鸡肋，ASIC架构难以实现应用层安全功能，而灵活性和性能兼备的多核成为最适合高端UTM产品的技术。同时经过对芯片厂商、技术路线、关键点等方面的分析，确认在多核上实现高性能UTM是完全可行的。

　　SonicWALL中国区技术经理蔡永生说，UTM上应用广泛的ASIC架构平台虽然具有高速转发包能力，但是它们在网络安全设备中存在固有的设计问题和局限性。一个尤为明显的问题——供应商在升级那些不断变化的处理安全问题时的ASIC微代码方面的能力有限。

　　在不明显降低网络吞吐量的前提下，基础架构的性能对完成实时深度包检测至关重要。由于日渐增长的检测要求，传统的单核处理器和ASIC解决方案不能及时处理来自网络内外的复杂攻击。

　　深层检测是优秀UTM的关键和基础。深层检测包括了全面和精确两个方面。深层检测在部分用户看来是网关防病毒的同义词，但实际上，深层检测的真正目的，不仅仅是对病毒的防御，还包括对溢出攻击、恶意脚本、SQL注入攻击、P2P应用、网络游戏等恶意攻击和网络滥用行为的检测及防御。

　　陈胜权认为，作为部署在网关位置的UTM产品，在进行深层检测时必须确保不出现误判。如果深层检测出现了误判，那么依据错误检测所做的防御措施会给用户的正常业务带来严重影响。

　　通过硬件架构的改良提升性能是一种思路，但由于UTM的功能实在是比较多，因此必须由具备较强运算能力的硬件平台承载。在中低端产品上，现有的工控平台是可以满足性能要求的；在高端UTM产品上，多核是一个很好的发展方向；同时多CPU并行计算也是非常好的方式，但技术难题过多，短暂的研发周期难以实现。

　　多核万兆的技术难题

　　据记者了解，在国外，2005年就有厂商在多核上开始研发高性能的UTM产品，但进展缓慢。这是因为多核技术本身比较复杂，全面驾驭多核存在很多难题。

　　首先，由于多核芯片内存在多个处理器，传统的操作系统根本无法运行，必须对操作系统进行重新构架和开发，其中包括内存管理、定时器管理和文件管理等诸多操作系统功能，这本身就是很大难题。

　　其次，在多核上实现UTM的业务调度是重大难题。业务处理一般有并行和串行两种模式：并行方式下，普通处理方式在多流多核分配时，无法保证唯一性，这需要实现智能业务并行化调度，在多核平台上保证唯一性，同时实现对多个内核资源的充分挖掘和利用；串行方式下，需要根据各个功能模块占用系统资源不同进行相应的分配，以保证没有性能瓶颈，这样当功能模块或平台发生变化时，牵一而动百。

　　软件业务流程需要做相应开发调整，调理不当，多核处理器内就会出现性能瓶颈。可以看出来，不管是采用并行处理方式还是串行处理方式，都会存在业务调度方面的难题。

　　再次，在采用并行化处理方式时，面临应用层检测效率难题。软件架构要求每个核均能实现所有的功能，包括防火墙、入侵防御、防病毒、内容过滤、P2P控制等，对应用层数据的分别检测非常耗费系统资源，这会导致单核产生性能瓶颈。为了避免单核瓶颈，需要尽量提高应用层检测效率。

　　陈胜权说，根据这些问题，启明星辰选定了Cavium的OCTEON作为多核技术的合作平台，在5月28日推出了万兆多核UTM平台——USG-10000。目前，该平台已经实现了防火墙和IPS功能，最高防火墙性能为25.45Gbps，最高IPS性能为11.74Gbps，均达到了万兆的水平。启明星辰是全球继Crossbeam之后，第二家达到此水平的厂商，产品预计将在2009年第二季度上市。