統一威脅管理UTM平臺性能提升秘訣

文章來源：泛普軟件

在當今局域網和廣域網標準不斷升級的情況下，網絡安全的性能需求也隨之提升。當安全檢測延伸到開放系統互連參考模型（OSI）應用層時，系統性能的提升成為瓶頸。在路由器、防火墻發(fā)展的過程中，ASI C技術證明了可以徹底改善執(zhí)行并發(fā)任務的進程。統一威脅管理（UTM）系統安全平臺在解決功能與性能矛盾時，同樣依靠安全檢測中的硬件加速。本文介紹了典型的高性能UTM系統，揭示通過采用ASIC芯片加速實現線速性能的秘訣。

1 UTM平臺的體系結構

UTM有兩種思路來建造平臺：

第一種是由多個廠商共同搭建的平臺，例如分別為防火墻廠商、入侵防御技術廠商。每當要擴充功能時，優(yōu)化性能往往受到限制，難以實現硬件加速。例如虛擬專網（VPN）、反垃圾郵件和Web過濾，綜合在一起時不可避免會出現多次的數據包分解和重組，導致性能上只是復合的累計。

第二種是單一廠商的封閉式體系結構，它由一個系統從底層往上自然地提供每一種安全功能。這種方法相對難度大，因為每一種功能必須滿足單獨的安全產品設置的標準，然而換來的好處也是明顯的：第一，由于廠商擁有自主知識產權的源代碼，所以在應付市場需求而增添新功能時，就取得了性能改善方面的主動權，預先額外的付出就能得以回報。第二，單一廠家便于集成，便于解決改善性能的問題。影響安全系統升級的癥結在干性能提升，而性能取決于充分的優(yōu)化，優(yōu)化的方法是減少處理上的冗余，使之避免不必要的分解和重組。第三，用戶希望管理界面是自然統一、便于操作的，而不是將多種軟件的管理界面簡單地羅列在一起。

2 創(chuàng)建高性能的UTM

本文介紹的安全平臺由3個主要部分組成：專用硬件、專用軟件和安全內容檢測技術。通過智能集成，每個單元都要圍繞安全的有效性和性能的可擴充性做出貢獻。

2.1專用硬件

專用硬件包括內容處理器（CP）和網絡處理器（NP）。這些處理器與通用處理器（GPU）一起執(zhí)行任務。

2.1.1內容處理器（CP）

內容處理器是經過定制的處理器，可以實現將已有的攻擊特征庫與內存中的數據進行匹配。內存中目標可以是網絡流量數據包，或者是壓縮后文檔中的文件。這些處理器對協議識別和解析是高度適配的，允許它們從數據中快速組合目標，并對可疑的內容進行檢測。

為了提供千兆級實時的應用層安全服務（如防病毒和內容過濾）的平臺，專門為網絡骨干和邊界上高性能內容處理設計的體系結構是必不可少的。從結構圖可以看出，內容處理器并不是設置在流量中的，當通用處理器（GPU）下達指令時，內容處理器自動地執(zhí)行相關功能。內容處理器還能包括加密引擎，在目標與“已知”的威脅比對時，能起到加速防病毒和IP技術。VPN的建立和關鍵性維持都是系統一個特別重的負擔，需要大量計算，內容處理器則使GPU免除高密度計算。

有些人有誤解，以為ASIC是“靜態(tài)”安全檢測，不能適應對新產生的威脅的檢測。事實上，它只是固化掃描邏輯部分。ASIC芯片集成了硬件掃描引擎、硬件加密和實時內容分析處理能力，提供防火墻、加密/解密，特征匹配和啟發(fā)式數據包掃描，以及流量整形的加速功能。對付新出現的威脅，只需要升級特征庫文件，這就像軟件解決方案一樣簡單。

2.1.2網絡處理器（NP）

網絡處理器是高速執(zhí)行和處理網絡流量的硬件設備。它典型地設置在數據通道上（見圖1），自動地處理許多與基于數據包通信、一般TCP處理、加密/解密和網絡地址翻譯（NAT）有關的任務，以減輕其他系統單元的負荷。

新一代的網絡處理器也能執(zhí)行安全檢測并予以處理。如有必要，還可用來調整數據流量。它可以迅速地重組數據包，而這個過程是入侵檢測技術所必需的。某些網絡處理器還可以編程，以加載當前的防火墻和IPS策略來對流量進行過濾，在接口級別上實現過濾異常流量和轉發(fā)對延時敏感的數據包，卻不需要通用處理器的參與。假如數據流直接旁路而沒有經過其他模塊的處理，則網絡處理器需要和通用處理器交互會話表，以維護系統的信息完整。

由于僅是交互會話信息，而不是實際的數據包，這種處理方式能夠有效地降低系統的負荷，減少數據擁塞，從而提高了設備的性能。網絡處理器的目標是能線速地處理防火墻吞吐量，在使用任何大小的數據包時，使處理流量理想地達到GB速率，而且對IPSec VPN流量，也同樣能達到這樣的結果。

最近，在中檔UTM設備中也使用上網絡處理器，是一個引人矚目的趨勢，這體現了技術儲備和實力，也是技術上的一個突破。例如，美國Fortinet公司的新產品FortiGate-310B，它的可貴之處在于中檔產品達到高端性能，實現線速防火墻性能。FW/VPN的吞吐性能提高到千兆級水平。其優(yōu)勢還體現在高級別的端口密度，10個千兆以太端口，達到最低的每端口價格，陡然使性價比上了一大臺階。而此前，ASIC網絡處理器僅用于高端產品線，即應用于大型企業(yè)的高端安全產品，現在卻可以為IT、安全人員比較缺少的中小型企業(yè)擁有，提供整合的網絡安全服務一從防火墻、VPN、防病毒直到IPS和安全網絡分區(qū)。

2.2專用軟件

為了組成一個完整精簡的高性能防火墻和內容安全檢測平臺，集成功能離不開專用的強化安全的操作系統。基于內容處理模塊的硬件加速，操作系統采用智能排隊、信息采集共享和管道管理原則，使各種類型流量的處理時間達到最小，從而給用戶帶來實時性，有效地實現了防病毒、防火墻、VPN、反垃圾郵件、IPS等功能。

多重技術的組合意味著數據包或流量處理的冗余操作，所以有必要調整源代碼。單一廠家的解決方案能夠掌握對整個系統的執(zhí)行過程，避免了大量重復性工作。比如，如果防火墻模塊保持了狀態(tài)監(jiān)測的信息，那么在IPS模塊里就沒有必要再次重復類似的工作。另外，大量復雜的內容檢測計算交給協處理器處理，通用處理器便可以處理更為有效率的工作，實現更多的安全功能。

2.3安全內容檢測技術

貫穿于UTM整體的一條主線實際是高級檢測技術。先進的完全性內容保護（Complete ContentProtection，簡稱CCP）采用了完全內容檢測技術，即對0SI網絡模型所有層次上的網絡威脅的進行實時保護。與其他單純檢查包頭或“深度包檢測”的安全技術不同，它能夠掃描和檢測整個OSI堆棧模型中最新的安全威脅。這種方法比防火墻狀態(tài)檢測（檢查數據包頭）和深度包檢測（在狀態(tài)檢測包過濾基礎上提供額外檢查）等技術先進。

CCP的要點是在千兆網絡環(huán)境中，實時將網絡層數據負載重組為應用層對象（如文件和文檔），而且重組之后的應用層對象可以通過動態(tài)更新病毒和蠕蟲特征來進行掃描和分析。采用技術重組文件和會話信息，需要提供強大的掃描和檢測能力。但只有通過重組，一些最復雜的混合型威脅才能被發(fā)現。為了補償先進檢測技術帶來的性能延遲，正是使用ASIC芯片，專門為特征掃描、加密/解密和SSL等功能提供硬件加速。C CP可檢測各種威脅，包括不良Web內容、垃圾郵件、間諜軟件和網絡釣魚欺騙等。

3 結束語

由于網絡流量和帶寬的增加，安全設備保持同步發(fā)展變得更為重要。統一威脅管理（UTM）系統安全平臺固然不失為優(yōu)秀的整體解決方案。而在具體實施辦法中采用ASIC硬件加速，才真正克服了功能與性能的矛盾，為安全系統持續(xù)發(fā)展提供了根本的保障。（萬方數據）