科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道网络安全UTM之鱼与熊掌可以兼得

UTM之鱼与熊掌可以兼得

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

随着市场和技术的发展,很多用户发现自己采购的UTM产品仅限于单功能使用时才好用。如果把所有功能模块全部启用,UTM设备的性能将大大下降,可用性较差。

来源:网界网 2009年12月2日

关键字: UTM 防火墙

  • 评论
  • 分享微博
  • 分享邮件

  随着市场和技术的发展,很多用户发现自己采购的UTM产品仅限于单功能使用时才好用。如果把所有功能模块全部启用,UTM设备的性能将大大下降,可用性较差。

  UTM之困

  某些品牌的UTM产品的标称性能只是单项功能打开时的测试数据,一旦功能全部打开,性能可能会下降一半以上。因此,“厂商工程师在实施时往往建议用户先只开某个功能,以后再逐步打开其他功能”的场景屡见不鲜。同时,用户担心性能不够也不敢把全部功能打开使用,最终导致UTM只是名义上作为多功能安全产品购买,实际上只作为单一功能产品使用。

  这种情况出现的原因在于,对于第一代出现在市场上的UTM产品而言,集成的防火墙、VPN、防病毒、入侵防护、甚至终端防护等功能实际上只是在设备中做了简单的叠加,一旦开启多功能时,各种功能模块对计算资源的抢夺直接导致了整体性能的急剧下降。尽管很多厂商也采取了诸如提高硬件配置,甚至采用ASIC硬件加速某些功能的手段,但收效并不显著。

  UTM的用户经过多年的市场洗礼,对于UTM的要求已经日趋理性。目前很多的成熟用户,已经不再全盘接受厂商提供的各项性能参数。而是根据自己的网络需求,搭建测试环境,然后使用标准测试仪对各家的产品进行衡量。最常见的一种情况就是,无视厂商产品标称的连接数、吞吐量等数据,而是在环境中测试产品至少将防火墙、入侵检测、防病毒功能同时打开时的HTTP页面吞吐、FTP吞吐等数据,并以此作为选型依据。这样的测试,更符合用户的实际使用情况,再加上采用Avalanche、IXIA等标准测试设备带来的相对公平,其结果更值得信赖。

  融合引擎减少性能浪费

  面对着新的市场环境,有厂商推出采用了融合引擎+PSE预检技术+优化匹配技术的新一代UTM,很好地解决了综合性能问题。

  融合引擎就是:在UTM产品内部,不再存在独立的防火墙、入侵防护、防病毒等检测引擎,而是被一个完整的UTM综合检测引擎所取代。事实上,现在防火墙、入侵防护、病毒防护等主要网关防护技术是有很大重叠的。采用融合引擎而不是多引擎独立甚至串联工作,可以有效地减少重复检测带来的性能浪费。引擎的融合也必然带来特征库的融合,由此带来的性能提升实际上也相当可观。当然,厂商能够采用融合引擎的前提条件是,厂商对于防火墙、入侵防护、防病毒、VPN以及其他附加功能都有足够的技术投入和积累,特征库可以外购,但是引擎必须自主研发,或者有源码级的合作伙伴。只有在此基础上,才可能实现完成融合引擎的研发工作。

  在使用融合引擎的前提下,UTM产品还可以通过PSE预检技术和优化匹配技术获得进一步的性能飞跃。

  数据在进入设备后,除协议异常的流量流向异常检测模块外。主要的流量都交给PSE预检引擎。PSE预检技术利用经过抽象处理的PSE库,所需检测时间不到常规的10%。当网络中可疑流量占到20%时(这在实际环境中已经很高了),采用PSE预检处理可以将性能提升高达70%。在PSE预检完成后,把可疑流量再交给特征优化匹配引擎进行处理。这种优化匹配的技术原理是不断根据处理过的数据包进行状态置位,当这个状态位被置于某个事先定好的值时,则触发相应处理。

  这个做法就像警察在高速公路上对过往车辆进行检查,每查完一辆就放行一辆。而匪徒将枪支拆成零件分散在若干辆车中带入。当警察看到某一个零件时,由于无法确定,并不立刻扣留车辆,以免造成交通堵塞,而只是在心里做了个记录。直到检查到后面某辆车的零件时,跟心里的记录比对,发现这些零件能够组合成枪支,才对这辆车予以扣留。尽管前面已经放过了部分零件,但是由于零件不齐,最终无法组合成枪支造成破坏。

  采用了融合引擎+PSE预检技术和优化匹配技术后的新一代UTM产品,可以做到防火墙、入侵防护、防病毒功能全开,其性能对比仅打开单项性能时,只下降10%~20%的程度,可以在实际应用中打开全部功能,为用户提供真正的综合防护。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章