性能篇
美國(guó)《網(wǎng)絡(luò)世界》和中國(guó)《網(wǎng)絡(luò)世界》分別在8月底和9月初進(jìn)行了各自的UTM產(chǎn)品的測(cè)試與用戶調(diào)查，結(jié)果顯示，目前市場(chǎng)上的UTM產(chǎn)品，在全套安全功能都打開的情況下，遭遇到50%至96%的性能損失。
損失：從50%說(shuō)起
UTM的性能損失問(wèn)題在全世界都不是秘密，根據(jù)美國(guó)《網(wǎng)絡(luò)世界》的調(diào)查，幾乎100%的用戶都對(duì)UTM性能下降的問(wèn)題表示關(guān)注，其中有近半數(shù)的用戶對(duì)于超過(guò)50%的性能下降表示吃驚。
回到國(guó)內(nèi)，情況同樣不能樂(lè)觀，一些廠商的100M UTM產(chǎn)品，在單獨(dú)打開網(wǎng)關(guān)防毒功能后，性能下降到8M；如果單獨(dú)打開IPS功能，性能也接近8M；如果兩項(xiàng)功能全部打開，性能下降到6M。有些產(chǎn)品甚至可以到達(dá)96%的性能下降。
事實(shí)上，很多廠商都表示，類似的情況屬于正常現(xiàn)象，區(qū)別僅僅是下降的幅度而已。深信服的產(chǎn)品經(jīng)理葉宜斌表示說(shuō)，由于UTM往往肩負(fù)防火墻、網(wǎng)關(guān)防病毒、入侵檢測(cè)、內(nèi)容過(guò)濾等多種功能，因此受制于深度檢測(cè)與模式匹配的原理，網(wǎng)絡(luò)層上無(wú)法找到流量共性，所以目前市場(chǎng)上主流的UTM產(chǎn)品，大部分都采用X86架構(gòu)，硬件平臺(tái)的結(jié)構(gòu)決定了性能下降的必然性。
Crossbeam的CEO Peter G. George先生此前在接受記者采訪時(shí)曾表示，即便是采用FPGA+ASIC+NP架構(gòu)的高端交換式架構(gòu)UTM，一樣會(huì)出現(xiàn)性能下降的表現(xiàn)，只不過(guò)幅度較小而已。
Juniper的產(chǎn)品經(jīng)理梁小東表示，目前影響UTM性能最為明顯的，就是網(wǎng)關(guān)防病毒和入侵檢測(cè)功能。因?yàn)檫@兩項(xiàng)功能必須涉及到對(duì)于第七層協(xié)議的分析，特別是要逐一對(duì)數(shù)據(jù)包進(jìn)行檢測(cè)，因此面對(duì)一些基于HTTP的病毒，系統(tǒng)的開銷就會(huì)相當(dāng)大。
另外，受到市場(chǎng)因素的驅(qū)使，很多安全廠家在自身的UTM產(chǎn)品中集成了一些內(nèi)容過(guò)濾的功能。對(duì)此，Sonicwall的技術(shù)經(jīng)理蔡永生表示，如果僅僅是對(duì)URL進(jìn)行評(píng)估，包括從UTM后臺(tái)數(shù)據(jù)庫(kù)進(jìn)行評(píng)級(jí)，看看是阻斷還是放行，這種情況不論是設(shè)備內(nèi)置還是旁路到第三方，對(duì)CPU的壓力都很小。但如果是在UTM里面進(jìn)行一系列的動(dòng)態(tài)評(píng)估，包括對(duì)網(wǎng)頁(yè)、QQ、MSN的內(nèi)容，那么肯定是相當(dāng)消耗CPU資源的。
除此以外，受制于在每一臺(tái)UTM里面，主要的系統(tǒng)資源、CPU及存儲(chǔ)都是有限的，WatchGuard公司亞太區(qū)技術(shù)總監(jiān)葉建輝認(rèn)為，如果在一個(gè)繁忙的網(wǎng)絡(luò)里面，使用反垃圾郵件等功能較多的時(shí)候，再快的CPU也有極限，同樣將不可避免地拖慢UTM的整體性能。
總而言之，在UTM各個(gè)安全功能中，當(dāng)需要進(jìn)行大量特征匹配的工作時(shí)（包含內(nèi)容過(guò)濾），對(duì)性能會(huì)有最大影響。
解決：軟硬同時(shí)開攻
為了追求UTM性能下降的幅度最小，各家廠商往往會(huì)在技術(shù)上進(jìn)行一定程度的創(chuàng)新。在目前的技術(shù)條件下，想要往UTM的線速上靠攏，主要有兩種方案：第一，依靠軟件的優(yōu)化；第二，依靠硬件平臺(tái)與體系結(jié)構(gòu)的更新。
聯(lián)想網(wǎng)御的產(chǎn)品經(jīng)理王延華表示，目前各家UTM廠商都在進(jìn)行軟件上的優(yōu)化與算法的更新，力求在做基于內(nèi)容檢測(cè)的時(shí)候，可以獲得最優(yōu)的效能。而神州數(shù)碼網(wǎng)絡(luò)的產(chǎn)品經(jīng)理王景輝認(rèn)為，單純依靠軟件的提升始終有限，更有效的做法是把UTM上所有的功能模塊進(jìn)行深度整合。
其實(shí)，針對(duì)網(wǎng)關(guān)防病毒所造成的性能下降問(wèn)題，是有一定的技術(shù)手段可以解決的。像神州數(shù)碼網(wǎng)絡(luò)和WatchGuard都采用了良好的UTM多引擎互嵌整合技術(shù)。因?yàn)閭鹘y(tǒng)上如果簡(jiǎn)單地把功能模塊堆疊在一起，讓數(shù)據(jù)包經(jīng)過(guò)防火墻、VPN、病毒檢測(cè)、垃圾郵件處理，這樣一個(gè)串行過(guò)程會(huì)消耗很多資源。合理的方法是把這些功能模塊整合到一起，如果進(jìn)行垃圾郵件過(guò)濾，又要進(jìn)行郵件查毒，那么就先進(jìn)行垃圾郵件過(guò)濾，然后再進(jìn)行郵件防毒的工作，從而減少很多垃圾郵件中攜帶病毒對(duì)于UTM的性能開銷。另外，像VPN也是如此，先查病毒，后進(jìn)行VPN隧道加解密。目前廠商已經(jīng)把這種技術(shù)做成一種靈活的規(guī)則，以便減輕UTM的負(fù)擔(dān)。
葉建輝表示，通過(guò)ILS（智能分層安全）技術(shù)，確保UTM將所有功能整合到一個(gè)系統(tǒng)里面，可以實(shí)現(xiàn)安全應(yīng)用的優(yōu)化，從而更加快速地判斷哪些數(shù)據(jù)包需要詳細(xì)檢查，哪些可以簡(jiǎn)單放過(guò)。
此外，為了進(jìn)一步降低病毒對(duì)于UTM的檢測(cè)消耗，一種稱之為“流檢測(cè)”的新技術(shù)已經(jīng)開始投入使用。王景輝介紹說(shuō)，與傳統(tǒng)UTM采用代理技術(shù)（Proxy）接管整合連接的方式不同。流檢測(cè)技術(shù)專注在第七層。畢竟不管什么樣的病毒，只有當(dāng)數(shù)據(jù)包完全接收下來(lái)以后才會(huì)形成病毒。因此當(dāng)用戶使用HTTP下載或者收郵件的時(shí)候，UTM設(shè)備可以不采取行動(dòng)，僅僅利用拷貝機(jī)制進(jìn)行數(shù)據(jù)復(fù)制，同時(shí)正常轉(zhuǎn)發(fā)數(shù)據(jù)。一旦最終判斷出數(shù)據(jù)包是病毒，則把最后幾個(gè)發(fā)給用戶的包阻止即可。
有意思的是，在以太網(wǎng)世界大會(huì)上，記者曾親自在神州數(shù)碼網(wǎng)絡(luò)的展臺(tái)感受過(guò)該技術(shù)帶來(lái)的優(yōu)勢(shì)：當(dāng)記者另存為一個(gè)網(wǎng)頁(yè)時(shí)，傳統(tǒng)的UTM產(chǎn)品會(huì)先查毒，后下載，速度很慢；而支持流檢測(cè)的UTM設(shè)備允許用戶直接開始下載，只是到最后幾個(gè)包的時(shí)候，UTM開始查毒。
王景輝表示，利用此技術(shù)在UTM設(shè)備網(wǎng)關(guān)防毒功能開啟時(shí)，可以提升90%的性能。目前流檢測(cè)技術(shù)利用Segment和序列號(hào)來(lái)控制三層數(shù)據(jù)包，因此實(shí)現(xiàn)非常簡(jiǎn)單。
除了軟件以外，不少?gòu)S商也開始在硬件上動(dòng)腦子。像Juniper和深信服都采用了多總線、多核CPU的技術(shù)。葉宜斌表示，經(jīng)過(guò)“網(wǎng)絡(luò)世界評(píng)測(cè)實(shí)驗(yàn)室”的實(shí)地測(cè)試，雙核對(duì)于UTM的提升已經(jīng)被證實(shí)，且著重體現(xiàn)在分析能力方向，包括提升一定的UTM處理能力。對(duì)于CPU去拆解協(xié)議和基于特征碼掃描的工作，有一定的促進(jìn)，因?yàn)榭梢越档鸵徊糠值难訒r(shí)。
不過(guò)多核產(chǎn)品雖然已經(jīng)推出，但在實(shí)際應(yīng)用上還有提高的潛力。王延華認(rèn)為，目前完全發(fā)揮出多核優(yōu)勢(shì)的UTM產(chǎn)品還沒(méi)有出來(lái)，特別是現(xiàn)有UTM軟件對(duì)于多核的支持還比較普通，其高速并發(fā)處理的特性還有待于進(jìn)一步挖掘。據(jù)悉，目前UTM廠商采用的Intel、AMD的多核芯片，僅僅用到了其80%的功能。
另一個(gè)技術(shù)上的新突破在于，對(duì)于下一代NP系統(tǒng)在安全產(chǎn)品中的開發(fā)與應(yīng)用。據(jù)美國(guó)《網(wǎng)絡(luò)世界》披露，國(guó)際上的新片大廠已經(jīng)開始推出新一代的NP芯片，或者稱之為CP（Content Processor）。該芯片屬于一個(gè)可編程的多內(nèi)核處理器（6-8個(gè)），它可以把很多應(yīng)用協(xié)議硬件化。要知道傳統(tǒng)的NP只能在網(wǎng)絡(luò)層工作編寫條件。但是新的NP可以把HTTP、FTP等應(yīng)用條件都用硬件完成，包括大量常見協(xié)議的硬件化。因此即便保守估計(jì)，也可以帶來(lái)10倍以上的UTM性能提升。據(jù)悉，像Cisco、Juniper、聯(lián)想網(wǎng)御、Sonicwall、神州數(shù)碼網(wǎng)絡(luò)都在緊盯這塊產(chǎn)品，以求與自身的UTM進(jìn)行整合。
聯(lián)合：大家?guī)椭蠹?br>區(qū)別于傳統(tǒng)IT競(jìng)爭(zhēng)的一點(diǎn)，UTM領(lǐng)域出現(xiàn)了很多的聯(lián)合型為。事實(shí)上，在2003年UTM概念登場(chǎng)之初，IDC對(duì)其下的定義就是防火墻、網(wǎng)關(guān)防病毒和入侵檢測(cè)的結(jié)合體。不過(guò)這幾年來(lái)，內(nèi)容過(guò)濾、反垃圾郵件、甚至內(nèi)網(wǎng)控制都集成到UTM中來(lái)，因此一家廠商的力量往往難以做到盡善盡美。
對(duì)此，像Checkpoint、Commtouch、CefurTrust、Fprot、卡巴斯基、Symantec、Surf Control、Sophers、TrendMicro等安全公司，都已經(jīng)為大量的UTM廠商提供相應(yīng)的OEM安全模塊。
在相關(guān)的合作問(wèn)題上，葉宜斌和梁小東兩人一致認(rèn)為，由于各個(gè)廠商有自己的優(yōu)勢(shì)，因此集成業(yè)界領(lǐng)先的技術(shù)會(huì)是一個(gè)比較好的趨勢(shì)。而葉建輝也認(rèn)為，跟業(yè)內(nèi)的領(lǐng)導(dǎo)者合作，性能及安全性當(dāng)然會(huì)有保證。對(duì)于和OEM廠商的合作，王景輝認(rèn)為只要能夠做到雙方系統(tǒng)級(jí)的開發(fā)，是可以獲得良好的性能保證的。不過(guò)由于受制于平臺(tái)與不同功能模塊的引擎問(wèn)題，聯(lián)合也并非一蹴而就。對(duì)此王延華解釋說(shuō)，同一個(gè)操作系統(tǒng)支撐5-6個(gè)模塊，能否整合好是一個(gè)大問(wèn)題。像卡巴斯基防病毒引擎，在自己的平臺(tái)上性能比較高，和另外的平臺(tái)放在一起就不一定，經(jīng)常表現(xiàn)出開銷比較大的問(wèn)題。因此聯(lián)合的關(guān)鍵是，一定要對(duì)相關(guān)的產(chǎn)品模塊做優(yōu)化。
另外，從實(shí)際的測(cè)試情況來(lái)看，與業(yè)內(nèi)主要安全廠商聯(lián)合開發(fā)模塊，有可能保證UTM的性能，但也不一定。蔡永生認(rèn)為，問(wèn)題的關(guān)鍵是看UTM的硬件平臺(tái)怎么做。這將會(huì)涉及到一個(gè)產(chǎn)品完整的硬件、軟件架構(gòu)設(shè)計(jì)，而且合作雙方還需要配合起來(lái)才可以。他表示Cisco的ASA系列就是一個(gè)不成功的例子，因?yàn)槭苤朴诓宀墼颍琓rendMicro提供的網(wǎng)關(guān)防病毒和入侵檢測(cè)模塊不可以同時(shí)使用。相反，如果廠商一直堅(jiān)持自己的設(shè)計(jì)，也不一定就不好。