統(tǒng)一威脅管理UTM平臺(tái)性能提升秘訣

申請(qǐng)免費(fèi)試用、咨詢電話：400-8352-114

在當(dāng)今局域網(wǎng)和廣域網(wǎng)標(biāo)準(zhǔn)不斷升級(jí)的情況下，網(wǎng)絡(luò)安全的性能需求也隨之提升。當(dāng)安全檢測(cè)延伸到開(kāi)放系統(tǒng)互連參考模型（OSI）應(yīng)用層時(shí)，系統(tǒng)性能的提升成為瓶頸。在路由器、防火墻發(fā)展的過(guò)程中，ASI C技術(shù)證明了可以徹底改善執(zhí)行并發(fā)任務(wù)的進(jìn)程。統(tǒng)一威脅管理（UTM）系統(tǒng)安全平臺(tái)在解決功能與性能矛盾時(shí)，同樣依靠安全檢測(cè)中的硬件加速。本文介紹了典型的高性能UTM系統(tǒng)，揭示通過(guò)采用ASIC芯片加速實(shí)現(xiàn)線速性能的秘訣。

1 UTM平臺(tái)的體系結(jié)構(gòu)

UTM有兩種思路來(lái)建造平臺(tái)：

第一種是由多個(gè)廠商共同搭建的平臺(tái)，例如分別為防火墻廠商、入侵防御技術(shù)廠商。每當(dāng)要擴(kuò)充功能時(shí)，優(yōu)化性能往往受到限制，難以實(shí)現(xiàn)硬件加速。例如虛擬專(zhuān)網(wǎng)（VPN）、反垃圾郵件和Web過(guò)濾，綜合在一起時(shí)不可避免會(huì)出現(xiàn)多次的數(shù)據(jù)包分解和重組，導(dǎo)致性能上只是復(fù)合的累計(jì)。

第二種是單一廠商的封閉式體系結(jié)構(gòu)，它由一個(gè)系統(tǒng)從底層往上自然地提供每一種安全功能。這種方法相對(duì)難度大，因?yàn)槊恳环N功能必須滿足單獨(dú)的安全產(chǎn)品設(shè)置的標(biāo)準(zhǔn)，然而換來(lái)的好處也是明顯的：第一，由于廠商擁有自主知識(shí)產(chǎn)權(quán)的源代碼，所以在應(yīng)付市場(chǎng)需求而增添新功能時(shí)，就取得了性能改善方面的主動(dòng)權(quán)，預(yù)先額外的付出就能得以回報(bào)。第二，單一廠家便于集成，便于解決改善性能的問(wèn)題。影響安全系統(tǒng)升級(jí)的癥結(jié)在干性能提升，而性能取決于充分的優(yōu)化，優(yōu)化的方法是減少處理上的冗余，使之避免不必要的分解和重組。第三，用戶希望管理界面是自然統(tǒng)一、便于操作的，而不是將多種軟件的管理界面簡(jiǎn)單地羅列在一起。

2 創(chuàng)建高性能的UTM

本文介紹的安全平臺(tái)由3個(gè)主要部分組成：專(zhuān)用硬件、專(zhuān)用軟件和安全內(nèi)容檢測(cè)技術(shù)。通過(guò)智能集成，每個(gè)單元都要圍繞安全的有效性和性能的可擴(kuò)充性做出貢獻(xiàn)。

2.1專(zhuān)用硬件

專(zhuān)用硬件包括內(nèi)容處理器（CP）和網(wǎng)絡(luò)處理器（NP）。這些處理器與通用處理器（GPU）一起執(zhí)行任務(wù)。

2.1.1內(nèi)容處理器（CP）

內(nèi)容處理器是經(jīng)過(guò)定制的處理器，可以實(shí)現(xiàn)將已有的攻擊特征庫(kù)與內(nèi)存中的數(shù)據(jù)進(jìn)行匹配。內(nèi)存中目標(biāo)可以是網(wǎng)絡(luò)流量數(shù)據(jù)包，或者是壓縮后文檔中的文件。這些處理器對(duì)協(xié)議識(shí)別和解析是高度適配的，允許它們從數(shù)據(jù)中快速組合目標(biāo)，并對(duì)可疑的內(nèi)容進(jìn)行檢測(cè)。

為了提供千兆級(jí)實(shí)時(shí)的應(yīng)用層安全服務(wù)（如防病毒和內(nèi)容過(guò)濾）的平臺(tái)，專(zhuān)門(mén)為網(wǎng)絡(luò)骨干和邊界上高性能內(nèi)容處理設(shè)計(jì)的體系結(jié)構(gòu)是必不可少的。從結(jié)構(gòu)圖可以看出，內(nèi)容處理器并不是設(shè)置在流量中的，當(dāng)通用處理器（GPU）下達(dá)指令時(shí)，內(nèi)容處理器自動(dòng)地執(zhí)行相關(guān)功能。內(nèi)容處理器還能包括加密引擎，在目標(biāo)與“已知”的威脅比對(duì)時(shí)，能起到加速防病毒和IP技術(shù)。VPN的建立和關(guān)鍵性維持都是系統(tǒng)一個(gè)特別重的負(fù)擔(dān)，需要大量計(jì)算，內(nèi)容處理器則使GPU免除高密度計(jì)算。

有些人有誤解，以為ASIC是“靜態(tài)”安全檢測(cè)，不能適應(yīng)對(duì)新產(chǎn)生的威脅的檢測(cè)。事實(shí)上，它只是固化掃描邏輯部分。ASIC芯片集成了硬件掃描引擎、硬件加密和實(shí)時(shí)內(nèi)容分析處理能力，提供防火墻、加密/解密，特征匹配和啟發(fā)式數(shù)據(jù)包掃描，以及流量整形的加速功能。對(duì)付新出現(xiàn)的威脅，只需要升級(jí)特征庫(kù)文件，這就像軟件解決方案一樣簡(jiǎn)單。

2.1.2網(wǎng)絡(luò)處理器（NP）

網(wǎng)絡(luò)處理器是高速執(zhí)行和處理網(wǎng)絡(luò)流量的硬件設(shè)備。它典型地設(shè)置在數(shù)據(jù)通道上（見(jiàn)圖1），自動(dòng)地處理許多與基于數(shù)據(jù)包通信、一般TCP處理、加密/解密和網(wǎng)絡(luò)地址翻譯（NAT）有關(guān)的任務(wù)，以減輕其他系統(tǒng)單元的負(fù)荷。

新一代的網(wǎng)絡(luò)處理器也能執(zhí)行安全檢測(cè)并予以處理。如有必要，還可用來(lái)調(diào)整數(shù)據(jù)流量。它可以迅速地重組數(shù)據(jù)包，而這個(gè)過(guò)程是入侵檢測(cè)技術(shù)所必需的。某些網(wǎng)絡(luò)處理器還可以編程，以加載當(dāng)前的防火墻和IPS策略來(lái)對(duì)流量進(jìn)行過(guò)濾，在接口級(jí)別上實(shí)現(xiàn)過(guò)濾異常流量和轉(zhuǎn)發(fā)對(duì)延時(shí)敏感的數(shù)據(jù)包，卻不需要通用處理器的參與。假如數(shù)據(jù)流直接旁路而沒(méi)有經(jīng)過(guò)其他模塊的處理，則網(wǎng)絡(luò)處理器需要和通用處理器交互會(huì)話表，以維護(hù)系統(tǒng)的信息完整。

由于僅是交互會(huì)話信息，而不是實(shí)際的數(shù)據(jù)包，這種處理方式能夠有效地降低系統(tǒng)的負(fù)荷，減少數(shù)據(jù)擁塞，從而提高了設(shè)備的性能。網(wǎng)絡(luò)處理器的目標(biāo)是能線速地處理防火墻吞吐量，在使用任何大小的數(shù)據(jù)包時(shí)，使處理流量理想地達(dá)到GB速率，而且對(duì)IPSec VPN流量，也同樣能達(dá)到這樣的結(jié)果。

最近，在中檔UTM設(shè)備中也使用上網(wǎng)絡(luò)處理器，是一個(gè)引人矚目的趨勢(shì)，這體現(xiàn)了技術(shù)儲(chǔ)備和實(shí)力，也是技術(shù)上的一個(gè)突破。例如，美國(guó)Fortinet公司的新產(chǎn)品FortiGate-310B，它的可貴之處在于中檔產(chǎn)品達(dá)到高端性能，實(shí)現(xiàn)線速防火墻性能。FW/VPN的吞吐性能提高到千兆級(jí)水平。其優(yōu)勢(shì)還體現(xiàn)在高級(jí)別的端口密度，10個(gè)千兆以太端口，達(dá)到最低的每端口價(jià)格，陡然使性價(jià)比上了一大臺(tái)階。而此前，ASIC網(wǎng)絡(luò)處理器僅用于高端產(chǎn)品線，即應(yīng)用于大型企業(yè)的高端安全產(chǎn)品，現(xiàn)在卻可以為IT、安全人員比較缺少的中小型企業(yè)擁有，提供整合的網(wǎng)絡(luò)安全服務(wù)一從防火墻、VPN、防病毒直到IPS和安全網(wǎng)絡(luò)分區(qū)。

2.2專(zhuān)用軟件

為了組成一個(gè)完整精簡(jiǎn)的高性能防火墻和內(nèi)容安全檢測(cè)平臺(tái)，集成功能離不開(kāi)專(zhuān)用的強(qiáng)化安全的操作系統(tǒng)?；趦?nèi)容處理模塊的硬件加速，操作系統(tǒng)采用智能排隊(duì)、信息采集共享和管道管理原則，使各種類(lèi)型流量的處理時(shí)間達(dá)到最小，從而給用戶帶來(lái)實(shí)時(shí)性，有效地實(shí)現(xiàn)了防病毒、防火墻、VPN、反垃圾郵件、IPS等功能。

多重技術(shù)的組合意味著數(shù)據(jù)包或流量處理的冗余操作，所以有必要調(diào)整源代碼。單一廠家的解決方案能夠掌握對(duì)整個(gè)系統(tǒng)的執(zhí)行過(guò)程，避免了大量重復(fù)性工作。比如，如果防火墻模塊保持了狀態(tài)監(jiān)測(cè)的信息，那么在IPS模塊里就沒(méi)有必要再次重復(fù)類(lèi)似的工作。另外，大量復(fù)雜的內(nèi)容檢測(cè)計(jì)算交給協(xié)處理器處理，通用處理器便可以處理更為有效率的工作，實(shí)現(xiàn)更多的安全功能。

2.3安全內(nèi)容檢測(cè)技術(shù)

貫穿于UTM整體的一條主線實(shí)際是高級(jí)檢測(cè)技術(shù)。先進(jìn)的完全性內(nèi)容保護(hù)（Complete ContentProtection，簡(jiǎn)稱(chēng)CCP）采用了完全內(nèi)容檢測(cè)技術(shù)，即對(duì)0SI網(wǎng)絡(luò)模型所有層次上的網(wǎng)絡(luò)威脅的進(jìn)行實(shí)時(shí)保護(hù)。與其他單純檢查包頭或“深度包檢測(cè)”的安全技術(shù)不同，它能夠掃描和檢測(cè)整個(gè)OSI堆棧模型中最新的安全威脅。這種方法比防火墻狀態(tài)檢測(cè)（檢查數(shù)據(jù)包頭）和深度包檢測(cè)（在狀態(tài)檢測(cè)包過(guò)濾基礎(chǔ)上提供額外檢查）等技術(shù)先進(jìn)。

CCP的要點(diǎn)是在千兆網(wǎng)絡(luò)環(huán)境中，實(shí)時(shí)將網(wǎng)絡(luò)層數(shù)據(jù)負(fù)載重組為應(yīng)用層對(duì)象（如文件和文檔），而且重組之后的應(yīng)用層對(duì)象可以通過(guò)動(dòng)態(tài)更新病毒和蠕蟲(chóng)特征來(lái)進(jìn)行掃描和分析。采用技術(shù)重組文件和會(huì)話信息，需要提供強(qiáng)大的掃描和檢測(cè)能力。但只有通過(guò)重組，一些最復(fù)雜的混合型威脅才能被發(fā)現(xiàn)。為了補(bǔ)償先進(jìn)檢測(cè)技術(shù)帶來(lái)的性能延遲，正是使用ASIC芯片，專(zhuān)門(mén)為特征掃描、加密/解密和SSL等功能提供硬件加速。C CP可檢測(cè)各種威脅，包括不良Web內(nèi)容、垃圾郵件、間諜軟件和網(wǎng)絡(luò)釣魚(yú)欺騙等。

3 結(jié)束語(yǔ)

由于網(wǎng)絡(luò)流量和帶寬的增加，安全設(shè)備保持同步發(fā)展變得更為重要。統(tǒng)一威脅管理（UTM）系統(tǒng)安全平臺(tái)固然不失為優(yōu)秀的整體解決方案。而在具體實(shí)施辦法中采用ASIC硬件加速，才真正克服了功能與性能的矛盾，為安全系統(tǒng)持續(xù)發(fā)展提供了根本的保障。（萬(wàn)方數(shù)據(jù)）