聯想網御的產品經理王延華表示,目前各家UTM廠商都在進行軟件上的優化與算法的更新,力求在做基于內容檢測的時候,可以獲得最優的效能。而神州數碼網絡的產品經理王景輝認為,單純依靠軟件的提升始終有限,更有效的做法是把UTM上所有的功能模塊進行深度整合。
其實,針對網關防病毒所造成的性能下降問題,是有一些技術手段可以解決的。像神州數碼網絡和WatchGuard都采用了UTM多檢測引擎互嵌技術。因為傳統上如果簡單地把功能模塊堆疊在一起,讓數據包經過防火墻、VPN、病毒檢測、垃圾郵件處理,這樣一個串行處理過程會消耗很多資源。合理的方法是把這些功能模塊整合到一起,如果進行垃圾郵件過濾,又要進行郵件查毒,那么就先進行垃圾郵件過濾,然后再進行郵件防毒的工作,從而減少很多垃圾郵件中攜帶病毒對于UTM的性能開銷。另外,像VPN也是如此,先查病毒,后進行VPN隧道加解密。目前廠商已經把這種技術做成一種靈活的規則,以便減輕UTM的性能負擔。
葉建輝表示,通過ILS(智能分層安全)技術,確保UTM將所有功能整合到一個系統里面,可以實現安全應用的優化,從而更加快速地判斷哪些數據包需要詳細檢查,哪些可以簡單放過。
此外,為了進一步降低病毒對于UTM的檢測消耗,一種稱之為“流檢測”的新技術也開始投入使用。王景輝介紹說,與傳統UTM采用代理技術(Proxy)接管整個連接的方式不同。流檢測技術專注在第七層。畢竟不管什么樣的病毒,只有當數據包完全接收下來以后才會形成病毒。因此當用戶使用HTTP下載或者收郵件的時候,UTM設備可以不采取行動,僅僅利用拷貝機制進行數據復制,同時正常轉發數據。一旦最終判斷出數據包是病毒,則把最后幾個發給用戶的包阻止即可。
有意思的是,在以太網世界大會上,記者曾親自在神州數碼網絡的展臺感受過該技術帶來的優勢:當記者另存為一個網頁時,傳統的UTM產品會先查毒,后下載,速度很慢;而支持流檢測的UTM設備允許用戶直接開始下載,只是到最后幾個包的時候,UTM開始查毒。
王景輝表示,利用此技術在UTM設備網關防毒功能開啟時,可以提升90%的性能。目前流檢測技術利用Segment和序列號來控制三層數據包,因此實現非常簡單。
除了軟件以外,不少廠商也開始在硬件上動腦子。像Juniper和深信服都采用了多總線、多核CPU的技術。葉宜斌表示,經過“網絡世界評測實驗室”的實地測試,雙核對于UTM的提升已經被證實,且著重體現在分析能力方向,包括提升一定的UTM處理能力。對于CPU去拆解協議和基于特征碼掃描的工作,有一定的促進,因為可以降低一部分的延時。
不過多核產品雖然已經推出,但在實際應用上還有提高的潛力。王延華認為,目前完全發揮出多核平臺優勢的UTM產品還沒有出來,特別是現有UTM軟件對于多核平臺的支持還比較普通,其高速并發處理的特性還有待于進一步挖掘。據悉,目前UTM廠商采用的Intel、AMD多核芯片,僅僅用到了其80%的功能。
另一個技術上的新突破在于,對于下一代NP系統在安全產品中的開發與應用。據美國《Network World》披露,國際上的芯片大廠已經開始推出新一代的NP芯片,或者稱之為CP(Content Processor)。該芯片屬于一個可編程的多內核處理器(6-8個),它可以把很多應用協議硬件化。要知道,傳統的NP只能在網絡層編寫規則。但是新的NP可以把HTTP、FTP等應用條件都用硬件完成,包括大量常見協議的硬件化。因此即便保守估計,也可以帶來10倍以上的UTM性能提升。據悉,像Cisco、Juniper、聯想網御、Sonicwall、神州數碼網絡都在緊盯這塊產品,以求與自身的UTM進行整合。
68476636-8002)

