多核UTM 解决功能与性能的矛盾

　　从2008年开始，“多核”这个词汇广泛地出现在了信息安全领域，由此引发了信息安全领域最大的变革就是万兆UTM(统一威胁管理)的出现。多核以及多线程技术的出现，解决了UTM“产品功能多样性与性能不足的矛盾”问题。

　　问题的解决让众多UTM设备供应商欣喜不已——要知道上述矛盾可以说是UTM的先天不足，这一问题困扰UTM厂商多年。借着新技术的出现，一时间，高性能UTM产品纷纷面世。

　　IDC报告显示，由于UTM的产品设计顺应了安全需求趋势，满足了对威胁管理多样化的要求，2007年美国UTM的市场空间已经超越了防火墙，成为安全网关市场的主流; 同年，中国UTM市场全年同比增长87.6%，其中下半年同比增长105.4%。2009年中国UTM市场规模将超过10亿元，未来5年，年复合增长率超过50%。

　　没有需求是不可能让UTM市场如此快速增长的。多核多线程技术出现之前，很多企业已经关注到高校、大企业、电信运营商等行业，用户对UTM也非常感兴趣，从功能的专业性而言完全可以满足这些行业用户的需求，多核多线程技术出现后，满足上述用户需求成为众多安全设备提供商水到渠成的事情。

　　中小企业被多核技术抛弃?

　　采用多核多线程技术之后的UTM产品，无疑可以满足很多行业用户的需求。在很多人为此鼓掌相庆的同时，他们好像忘记了一件重要的事情——中小企业用户本应该是UTM的面世的最大受益者。而多核多线程技术的出现，中小企业用户好像并没有得到什么实惠——无论是从IT投资预算上还是实际带宽需求考虑，万兆安全网关与中小企业的关联性实在有限。

　　实际上，中小企业在安全网关上一直面临三大困境：UTM功能与性能的矛盾、安全缺乏专业化以及产品不易使用。

　　或许有网友对中小企业还要面对“功能与性能的矛盾”困境表示不解——多核及多线程技术的推出不是已经很好的解决了这一矛盾吗?的确，新技术的发展是在整个产品技术层面解决了这一问题，但这一解决只是宏观上的。从微观角度看，目前市场上的多核产品，往往和万兆，最低也是千兆安全网关相关;适用于中小企业使用的百兆UTM产品，绝大多数还是采用传统硬件架构，当杀毒、深度检测等功能开启时，其性能降低的程度甚至可以影响到企业的正常业务运转。

　　安全工程技术人员从整体上讲又较为匮乏，中小企业本来在IT投入上就有限，安全技术人员很难养得起、留得住。这直接导致中小信息安全技术水平缺乏专业性。而中小企业面临的信息安全问题是一个综合性问题，不是那么简单就可以解决的。安全缺乏专业化问题是中小企业亟待解决的问题。

　　从信息安全行业发展来看，起到重要促进作用的是企业，而中小企业所占比重达到了90%以上。出于安全防御需求、部署实施和成本预算的综合考虑，企业对于安全有着“简单化”的需求，包括选择部署简单化、策略实施简单化、安全防御简单化、管理维护简单化。目前很多UTM产品需要用户具有较强的专业性，否则很难制定出有针对性的安全防护策略。众所周知，安全策略制定不到位，安全设备如同摆设。

　　若说安全厂商在多核UTM上抛弃了中小企业也有些绝对——日前，H3C公司针对中小企业应用发展趋势，推出了基于多核、多线程安全平台的新一代UTM设备H3C SecPath UTM系列。

　　中小企业虽然IT运维水平受到资金、人才储备等诸多因素限制，但他们也同样面临如下安全问题：

　　电脑怕丢数据 单位有自己的办公局域网，工作时许多电脑接入网络，有些电脑里有重要数据，使用者害怕上网会感染病毒，造成电脑中的数据无法使用，这些电脑可能安装了杀毒软件，但个人时常忘记升级病毒库，对最新的病毒缺乏免疫力，这时一个具有病毒过滤功能的UTM部署在网关位置，可以在相当程度上避免电脑感染来自外部网络的病毒。

　　服务器怕数据被篡改 单位局域网中有对外提供服务的服务器，例如Web服务器、FTP服务器，网管人员害怕黑客入侵到服务器中，篡改其中的数据，造成破坏，这时一个具有入侵防御功能的UTM部署在网关位置，可以在相当程度上阻止黑客的入侵。

　　通信速度要保障，通信内容要控制 单位的网络，上班时间应该专门用于工作，有些人偷偷上网娱乐，影响工作效率，还会降低正常数据通信的速度;还有些人利用网络偷偷向外传递单位的机密资料;更有甚者发布危害社会的言论，破坏单位的对外形象。单位主管必然要求网管人员采取措施，这时一个具有网站过滤、流量管理、网络行为审计功能的UTM部署在网关位置，就可以帮助网管人员：屏蔽娱乐性网站，禁用娱乐类软件(如迅雷)，对敏感资料传递进行监督，对网络行为进行追溯，满足单位主管的要求，本质上是保障好通信速度，控制好通信内容。

　　保密通信有必要 有些单位是有分支结构的，相互之间传送业务数据需要加密，需要网关具有VPN功能，这时也可以使用UTM，因为UTM一般都有VPN功能。

　　上述网络安全问题，本质上是由数据的重要性和通信的重要性引起的。而UTM的价值在于它以低成本解决较多的网络安全问题，为中小企业在IT基础投资、安全风险、损失减免之间找到了一个很好的平衡点。

　　UTM与防火墙等专业安全设备的区别就好像“瑞士军刀”与专用刀具的区别。对一个小单位，例如一个技术型小企业或一所小学，因为工作或学习对网络应用依赖度高，所以各种网络安全问题都可能会遇到，都需要解决;但这些单位的网络用户数不多，租用的出口线路带宽小，出口实际流量峰值也不大，允许投入网络安全方面的经费也较少，这时候适合使用UTM，网管人员(往往就是一个员工或老师兼职的)可以利用UTM这把“瑞士军刀”自力更生，开动脑筋，把各项功能巧妙地用起来，把网络安全问题一个一个地解决。

　　这类用户若要采用防火墙等专用安全设备就不划算了，防火墙解决不了的问题，需要再买入侵防御设备，入侵防御设备解决不了的问题需要再买流量管理设备……那些专用设备适合于大型单位，流量大，网络安全要求高，经费多，可以一个接一个地部署设备，各司其职，每个设备专心解决好一个问题，但这种方式对小单位，考虑投入收益比，明显是不合适。

　　华三通信推出的H3C SecPath UTM采用高性能的多核、多线程安全平台，保障全部安全功能开启时不降低性能，产品具有极高的性价比。在提供传统防火墙、 VPN功能基础上，同时提供病毒防护、URL过滤、漏洞攻击防护、垃圾邮件防护、P2P/IM应用层流量控制和用户行为审计等安全功能。

　　H3C公司的SecPath U200产品不仅能够全面有效的保证用户网络的安全，还支持SNMP和TR-069网管方式，最大化减少设备运营成本和维护复杂性，产品具有八大功能：

　　* 完善的防火墙功能 提供安全区域划分、静态/动态黑名单功能、MAC和IP绑定、访问控制列表(ACL)和攻击防范等基本功能，还提供基于状态的检测过滤、虚拟防火墙、VLAN透传等功能。能够防御ARP欺骗、TCP报文标志位不合法、Large ICMP报文、CC、SYN flood、地址扫描和端口扫描等多种恶意攻击。

　　* 丰富的VPN特性 支持L2TP VPN、GRE VPN、IPSec VPN等远程安全接入方式，同时设备集成硬件加密引擎实现高性能的VPN处理。

　　* 实时的病毒防护 采用Kaspersky公司的流引擎查毒技术，从而迅速、准确查杀网络流量中的病毒等恶意代码。

　　* 实时的垃圾邮件防护 可以拦截垃圾邮件，净化邮件系统，解决垃圾邮件对正常工作的干扰问题。

　　* 先进的URL过滤 实现基于用户的URL访问控制，防止因浏览恶意或未授权的网站(如网络钓鱼攻击网站)而带来的安全威胁。

　　* 全面的流量管理 能精确检测BitTorrent、Thunder(迅雷)、QQ等P2P/IM应用，提供告警、限速、干扰或阻断等多种方式，保障网络核心业务正常应用。

　　* 细致的行为审计 可对各种P2P/IM、网络游戏、邮件和数据传输等行为提供细致的监控和记录，实现细粒度的网络行为审计管理。

　　* NAT应用 提供多对一、多对多、静态网段、双向转换 、Easy IP和DNS映射等NAT应用方式;支持多种应用协议正确穿越NAT，提供DNS、FTP、H.323、NBT等NAT ALG功能。

　　多核与多线程技术的出现解决了用户对UTM设备在“功能与性能”矛盾问题。可用性的提升，让中小企业在信息安全的总体拥有成本实现了降低。2008年初，华三公司硬件研发部门传来爆炸性的好消息，基于多核多线程芯片的专用硬件电路设计、测试成功，这种全新的硬件架构特别适合UTM这种多功能产品的开发，而且由于这种电路的成本得到了极大的控制，开发产品的成本明显下降，这使得UTM产品的开发真正成为了可能。

　　与此同期，华三公司将研发多年的iWare软件平台与全新的多核多线程硬件电路进行了整合，经过测试，推出了具有自主知识产权的第一款专门面对普教职教、中小企业等SMB用户的UTM产品：SecPath U200-CS。随后，又推出了SecPath U200-CM、SecPath U200-CA两款产品。

　　开发产品费用的降低，使得产品的制造等一系列随之降低，这从根本上保证了用户拥有成本的降低。

　　针对中小企业IT管理水平相对较低的特点，H3C SecPath U200产品采用了简单易用的Web UI管理方式，支持基于SNMP和TR-069协议的管理，用户可以通过H3C UTM管理软件实现统一管理也可以通过H3C SecCenter安全管理中心实现统一管理。设备运营管理的简单，无疑降低了信息管理的门槛，IT人员的管理成本随之降低。

　　H3C SecPath U200并没有因为产品是针对中小企业用户需求而推出的，就降低了产品品质;相反其产品品质具备电信级设备高可靠性。H3C SecPath UTM采用H3C公司拥有自主知识产权的软、硬件平台;软硬件平台应用从电信运营商到中小企业用户，经历了多年的市场考验;支持双机状态热备功能，支持Active/Active和Active/Passive两种工作模式，实现负载分担和业务备份;36年的平均无故障时间(MTBF)。低故障率保障了中小企业运营成本的降低。