統(tǒng)一威脅管理UTM平臺性能提升秘訣

申請免費(fèi)試用、咨詢電話：400-8352-114

在當(dāng)今局域網(wǎng)和廣域網(wǎng)標(biāo)準(zhǔn)不斷升級的情況下，網(wǎng)絡(luò)安全的性能需求也隨之提升。當(dāng)安全檢測延伸到開放系統(tǒng)互連參考模型（OSI）應(yīng)用層時，系統(tǒng)性能的提升成為瓶頸。在路由器、防火墻發(fā)展的過程中，ASI C技術(shù)證明了可以徹底改善執(zhí)行并發(fā)任務(wù)的進(jìn)程。統(tǒng)一威脅管理（UTM）系統(tǒng)安全平臺在解決功能與性能矛盾時，同樣依靠安全檢測中的硬件加速。本文介紹了典型的高性能UTM系統(tǒng)，揭示通過采用ASIC芯片加速實(shí)現(xiàn)線速性能的秘訣。

1 UTM平臺的體系結(jié)構(gòu)

UTM有兩種思路來建造平臺：

第一種是由多個廠商共同搭建的平臺，例如分別為防火墻廠商、入侵防御技術(shù)廠商。每當(dāng)要擴(kuò)充功能時，優(yōu)化性能往往受到限制，難以實(shí)現(xiàn)硬件加速。例如虛擬專網(wǎng)（VPN）、反垃圾郵件和Web過濾，綜合在一起時不可避免會出現(xiàn)多次的數(shù)據(jù)包分解和重組，導(dǎo)致性能上只是復(fù)合的累計(jì)。

第二種是單一廠商的封閉式體系結(jié)構(gòu)，它由一個系統(tǒng)從底層往上自然地提供每一種安全功能。這種方法相對難度大，因?yàn)槊恳环N功能必須滿足單獨(dú)的安全產(chǎn)品設(shè)置的標(biāo)準(zhǔn)，然而換來的好處也是明顯的：第一，由于廠商擁有自主知識產(chǎn)權(quán)的源代碼，所以在應(yīng)付市場需求而增添新功能時，就取得了性能改善方面的主動權(quán)，預(yù)先額外的付出就能得以回報。第二，單一廠家便于集成，便于解決改善性能的問題。影響安全系統(tǒng)升級的癥結(jié)在干性能提升，而性能取決于充分的優(yōu)化，優(yōu)化的方法是減少處理上的冗余，使之避免不必要的分解和重組。第三，用戶希望管理界面是自然統(tǒng)一、便于操作的，而不是將多種軟件的管理界面簡單地羅列在一起。

2 創(chuàng)建高性能的UTM

本文介紹的安全平臺由3個主要部分組成：專用硬件、專用軟件和安全內(nèi)容檢測技術(shù)。通過智能集成，每個單元都要圍繞安全的有效性和性能的可擴(kuò)充性做出貢獻(xiàn)。

2.1專用硬件

專用硬件包括內(nèi)容處理器（CP）和網(wǎng)絡(luò)處理器（NP）。這些處理器與通用處理器（GPU）一起執(zhí)行任務(wù)。

2.1.1內(nèi)容處理器（CP）

內(nèi)容處理器是經(jīng)過定制的處理器，可以實(shí)現(xiàn)將已有的攻擊特征庫與內(nèi)存中的數(shù)據(jù)進(jìn)行匹配。內(nèi)存中目標(biāo)可以是網(wǎng)絡(luò)流量數(shù)據(jù)包，或者是壓縮后文檔中的文件。這些處理器對協(xié)議識別和解析是高度適配的，允許它們從數(shù)據(jù)中快速組合目標(biāo)，并對可疑的內(nèi)容進(jìn)行檢測。

為了提供千兆級實(shí)時的應(yīng)用層安全服務(wù)（如防病毒和內(nèi)容過濾）的平臺，專門為網(wǎng)絡(luò)骨干和邊界上高性能內(nèi)容處理設(shè)計(jì)的體系結(jié)構(gòu)是必不可少的。從結(jié)構(gòu)圖可以看出，內(nèi)容處理器并不是設(shè)置在流量中的，當(dāng)通用處理器（GPU）下達(dá)指令時，內(nèi)容處理器自動地執(zhí)行相關(guān)功能。內(nèi)容處理器還能包括加密引擎，在目標(biāo)與“已知”的威脅比對時，能起到加速防病毒和IP技術(shù)。VPN的建立和關(guān)鍵性維持都是系統(tǒng)一個特別重的負(fù)擔(dān)，需要大量計(jì)算，內(nèi)容處理器則使GPU免除高密度計(jì)算。

有些人有誤解，以為ASIC是“靜態(tài)”安全檢測，不能適應(yīng)對新產(chǎn)生的威脅的檢測。事實(shí)上，它只是固化掃描邏輯部分。ASIC芯片集成了硬件掃描引擎、硬件加密和實(shí)時內(nèi)容分析處理能力，提供防火墻、加密/解密，特征匹配和啟發(fā)式數(shù)據(jù)包掃描，以及流量整形的加速功能。對付新出現(xiàn)的威脅，只需要升級特征庫文件，這就像軟件解決方案一樣簡單。

2.1.2網(wǎng)絡(luò)處理器（NP）

網(wǎng)絡(luò)處理器是高速執(zhí)行和處理網(wǎng)絡(luò)流量的硬件設(shè)備。它典型地設(shè)置在數(shù)據(jù)通道上（見圖1），自動地處理許多與基于數(shù)據(jù)包通信、一般TCP處理、加密/解密和網(wǎng)絡(luò)地址翻譯（NAT）有關(guān)的任務(wù)，以減輕其他系統(tǒng)單元的負(fù)荷。

新一代的網(wǎng)絡(luò)處理器也能執(zhí)行安全檢測并予以處理。如有必要，還可用來調(diào)整數(shù)據(jù)流量。它可以迅速地重組數(shù)據(jù)包，而這個過程是入侵檢測技術(shù)所必需的。某些網(wǎng)絡(luò)處理器還可以編程，以加載當(dāng)前的防火墻和IPS策略來對流量進(jìn)行過濾，在接口級別上實(shí)現(xiàn)過濾異常流量和轉(zhuǎn)發(fā)對延時敏感的數(shù)據(jù)包，卻不需要通用處理器的參與。假如數(shù)據(jù)流直接旁路而沒有經(jīng)過其他模塊的處理，則網(wǎng)絡(luò)處理器需要和通用處理器交互會話表，以維護(hù)系統(tǒng)的信息完整。

由于僅是交互會話信息，而不是實(shí)際的數(shù)據(jù)包，這種處理方式能夠有效地降低系統(tǒng)的負(fù)荷，減少數(shù)據(jù)擁塞，從而提高了設(shè)備的性能。網(wǎng)絡(luò)處理器的目標(biāo)是能線速地處理防火墻吞吐量，在使用任何大小的數(shù)據(jù)包時，使處理流量理想地達(dá)到GB速率，而且對IPSec VPN流量，也同樣能達(dá)到這樣的結(jié)果。

最近，在中檔UTM設(shè)備中也使用上網(wǎng)絡(luò)處理器，是一個引人矚目的趨勢，這體現(xiàn)了技術(shù)儲備和實(shí)力，也是技術(shù)上的一個突破。例如，美國Fortinet公司的新產(chǎn)品FortiGate-310B，它的可貴之處在于中檔產(chǎn)品達(dá)到高端性能，實(shí)現(xiàn)線速防火墻性能。FW/VPN的吞吐性能提高到千兆級水平。其優(yōu)勢還體現(xiàn)在高級別的端口密度，10個千兆以太端口，達(dá)到最低的每端口價格，陡然使性價比上了一大臺階。而此前，ASIC網(wǎng)絡(luò)處理器僅用于高端產(chǎn)品線，即應(yīng)用于大型企業(yè)的高端安全產(chǎn)品，現(xiàn)在卻可以為IT、安全人員比較缺少的中小型企業(yè)擁有，提供整合的網(wǎng)絡(luò)安全服務(wù)一從防火墻、VPN、防病毒直到IPS和安全網(wǎng)絡(luò)分區(qū)。

2.2專用軟件

為了組成一個完整精簡的高性能防火墻和內(nèi)容安全檢測平臺，集成功能離不開專用的強(qiáng)化安全的操作系統(tǒng)?；趦?nèi)容處理模塊的硬件加速，操作系統(tǒng)采用智能排隊(duì)、信息采集共享和管道管理原則，使各種類型流量的處理時間達(dá)到最小，從而給用戶帶來實(shí)時性，有效地實(shí)現(xiàn)了防病毒、防火墻、VPN、反垃圾郵件、IPS等功能。

多重技術(shù)的組合意味著數(shù)據(jù)包或流量處理的冗余操作，所以有必要調(diào)整源代碼。單一廠家的解決方案能夠掌握對整個系統(tǒng)的執(zhí)行過程，避免了大量重復(fù)性工作。比如，如果防火墻模塊保持了狀態(tài)監(jiān)測的信息，那么在IPS模塊里就沒有必要再次重復(fù)類似的工作。另外，大量復(fù)雜的內(nèi)容檢測計(jì)算交給協(xié)處理器處理，通用處理器便可以處理更為有效率的工作，實(shí)現(xiàn)更多的安全功能。

2.3安全內(nèi)容檢測技術(shù)

貫穿于UTM整體的一條主線實(shí)際是高級檢測技術(shù)。先進(jìn)的完全性內(nèi)容保護(hù)（Complete ContentProtection，簡稱CCP）采用了完全內(nèi)容檢測技術(shù)，即對0SI網(wǎng)絡(luò)模型所有層次上的網(wǎng)絡(luò)威脅的進(jìn)行實(shí)時保護(hù)。與其他單純檢查包頭或“深度包檢測”的安全技術(shù)不同，它能夠掃描和檢測整個OSI堆棧模型中最新的安全威脅。這種方法比防火墻狀態(tài)檢測（檢查數(shù)據(jù)包頭）和深度包檢測（在狀態(tài)檢測包過濾基礎(chǔ)上提供額外檢查）等技術(shù)先進(jìn)。

CCP的要點(diǎn)是在千兆網(wǎng)絡(luò)環(huán)境中，實(shí)時將網(wǎng)絡(luò)層數(shù)據(jù)負(fù)載重組為應(yīng)用層對象（如文件和文檔），而且重組之后的應(yīng)用層對象可以通過動態(tài)更新病毒和蠕蟲特征來進(jìn)行掃描和分析。采用技術(shù)重組文件和會話信息，需要提供強(qiáng)大的掃描和檢測能力。但只有通過重組，一些最復(fù)雜的混合型威脅才能被發(fā)現(xiàn)。為了補(bǔ)償先進(jìn)檢測技術(shù)帶來的性能延遲，正是使用ASIC芯片，專門為特征掃描、加密/解密和SSL等功能提供硬件加速。C CP可檢測各種威脅，包括不良Web內(nèi)容、垃圾郵件、間諜軟件和網(wǎng)絡(luò)釣魚欺騙等。

3 結(jié)束語

由于網(wǎng)絡(luò)流量和帶寬的增加，安全設(shè)備保持同步發(fā)展變得更為重要。統(tǒng)一威脅管理（UTM）系統(tǒng)安全平臺固然不失為優(yōu)秀的整體解決方案。而在具體實(shí)施辦法中采用ASIC硬件加速，才真正克服了功能與性能的矛盾，為安全系統(tǒng)持續(xù)發(fā)展提供了根本的保障。（萬方數(shù)據(jù)）