多核让UTM大面积应用于行业成为可能

自从统一威胁管理(United Threat Management, 简称UTM )诞生之日起,此类产品的适用防范就成为争论的焦点。主要观点之争在于UTM能否满足大型行业用户的需要;甚至一些业内专家直接断言,UTM就是给中小企业用户使用的产品。

实际上无论是中小企业还是大型行业用户在信息安全需求上是没有本质区别的,而哪类用户适合使用UTM的争论只是一个表面现象,这个问题的实质是 UTM在多种功能全开的状况下,产品性能能否满足大型行业用户需求,即UTM产品功能多样性与高效能之间的矛盾。

2004年9月IDC将防病毒、入侵检测和防火墙安全设备命名为统一威胁管理它是由硬件、软件和网络技术组成的具有专门用途的设备,它主要提供一项或多项安全功能。 它将多种安全特性集成于一个硬设备里, 构成一个标准的统一管理平台。UTM设备应该具备的基本功能包括网络防火墙、网络入侵检测/防御和网关防病毒功能。从此,引起安全业界的广泛关注。 2005年,UTM开始为用户所关注。UTM实际是集成了防火墙、防病毒、入侵检测等多种功能的安全网关设备,是一个基础性安全解决方案。

这几项功能并不一定要同时都得到使用,不过它们应该是UTM设备自身固有的功能。UTM安全设备也可能包括其它特性,例如安全管理、日志、策略管理、服务质量(QoS)、负载均衡、高可用性(HA)和报告带宽管理等。不过,其它特性通常都是为主要的安全功能服务的。

自UTM问世之日起,好像就被业界将其与中小企业用户紧密联系起来,甚至是有种说法:UTM的安全防护的多功能性导致设备效能衰减剧烈,不适用于大型行业用户适用。也正是这种说法致使很多对UTM产品青睐不已的大型用户犹豫观望。

业内还流传着另一种说法——UTM虽然具有多功能性,但仅这种单一设备放置网关处,容易形成单点故障。加之大型企业对信息化依赖性越来越强,因此 UTM不适用于此类客户——其实质同前面提到的观点十分类似,只不过更为细化。

UTM仅能用于中小企业吗?

难道UTM真的只能满足中小企业用户需求吗,其产品性能与大型行业用户的需求相差很远吗?

“不尽然,”SonicWALL中国区技术经理蔡永生直接对上述观点持否定态度,“就我们从国外市场获取的经验看,很多大型甚至是超大规模企业同样可以享受UTM的服务。与UTM设备相关的软硬件技术发展到今天,完全可以满足众多大型企业在百兆数量级对网络流量的需求。此外,大企业的各个部门之间,如财务部和工程部之间也可以用UTM设备隔离,UTM不仅保护从互联网过来的安区威胁,同样可以防护企业各个部门之间的病毒和入侵的扩散。基于用户范围的广泛性,SonicWALL全系列产品线中的不同产品既可满足几个人的小型办公室,也适用于上万人的大型企业;而且是用户负担得起的UTM解决方案。”

SonicWALL的观点是,UTM在大企业的应用是可行的。原因有二:

第一,一般来讲,企业规模可能很大,但是从SonicWALL的经验看,企业用户的业务数据流量并不是很大。与大学不同,大学的网络流量非常的大,什么流量都有,下电影,浏览等等。 企业用户一般很少有超过100Mbps 带宽的,很多规模很大的企业也仅仅是几十兆带宽。在这样的流量下,目前的UTM产品可以满足。

第二,随着UTM技术和软硬件的发展,新的UTM产品会出现,UTM产品的性能很快会有质的飞跃。比如,千兆线速的产品即将出现。就某些案例看,目前国内的一些大型企业用户,有数十个分支的,总部和分支都用SOnicWALL UTM设备建立VPN隧道,这个企业有几万人,但是其生产和财务网络的数据流量并不是很大,因此采用中低端的SonicWALL的UTM产品都可以满足,甚至不用SonicWALL的中高端产品。

业内资深安全专家吴海涛先生认为UTM在大企业有以下三个方向的应用:

大企业的分支机构 它的需求特点在于,对功能要求较多,需要的功能会向集团总公司的一样全面;远程连接VPN要求较高;但是相对于性能方面的要求会较低。

关键部门的应用 比如财务部门,对认证的需要。

针对的大企业解决方案 即网关与内网连动。将UTM变成内网的强制认证。

他提出了大UTM的概念。他认为UTM独立完成大企业的负载,在理论上可行的。每个厂家都可以提出自己的技术框架,但是市场上还没有出现成功的完整案例。而以上三个方向的应用已经开始起步。大型企业和行业用户可能不会去购买一个UTM产品的全部功能模块,但完全有可能购买其中一个或几个功能,比如内容过滤、网关防病毒等等模块并在整个企业网范围进行部署。安氏领信最近一个UTM产品案例就是某大型行业用户,跨广域网在总部和各分支机构之间部署了几十套领信UTM产品,并取得良好的安全防护效果,用户对此也很满意。

UTM特性更符合大企业安全需求

IDC在《中国IT安全市场分析与预测,2007》中显示,“统一威胁管理硬件市场在2007 年的增长非常迅猛,全年同比增长87.6%,其中下半年同比增长105.4%,是2007 年下半年增长速度最快的安全子市场。”

去年,Juniper网络公布该公司发起的一项调研结果,中国网络在2005年遭受到的攻击包括:病毒和蠕虫攻击、间谍软件和恶意软件攻击、非预谋内部攻击、黑客攻击、拒绝服务(DoS)和分布式拒绝服务(DDoS)攻击。其中63%被调研的中国企业中有在2005年受到了病毒或蠕虫攻击,而受到了间谍软件和恶意软件攻击的公司达到41%。

预计,针对中国企业网的攻击在近期将不会减弱。超过半数的被调查者都认为今年会有更多的病毒和蠕虫攻击。网络攻击的频率已经上升到每小时数以千万计,静态技术无法提供足够的安全性。UTM一定是将来的发展趋势,安全管理是主要推动要素。UTM的使用简化了安全部署,势必降低企业的维护运营成本。大型企业用户可能先要使用部分功能,以渐进的方式逐渐替代原有单一安全产品。

SonicWALL公司研制生产了从入门级直到最高级的全线防火墙产品,从而使UTM防护能够尽可能广泛地得到应用,同时使所有规模的企业都能够保证业务安全进行。”和凹凸科技的产品定位类似,卫士通的UTM产品也是面向大型企业网络和电信运营商等大型、超大型网络而设计的全千兆线速设备。

一体化的设计简化了产品选择、集成和支持服务的工作量,简单的放置、方便的安装降低了复杂性和管理维护成本。设备的即插即用使安装和维护更加快捷,避免了软件安装工作和服务器的增加。当硬件设备安装在企业没有专业安全管理人员的远程地点,由于设备可以很容易的安装并通过远程遥控来管理它,这种管理方式可以很好的和已安装的大型集中式的软件防火墙协同工作。安全设备的“黑盒子”设计限制了用户危险操作的可能,降低了误操作隐患,提高了安全性。更容易的排错,即使是一个非专业人员也可以很容易的用另外一台设备替换它,使网络尽快恢复正常。这项特性对于那些没有专职技术人员的远程办公室显得尤为重要。

UTM在大企业中的应用,任重而道远

一直以来,“UTM硬件架构的差异化”和“性能衰减与应用匹配”问题已经成为用户关心的热点。根据美国《Network World》的调查,几乎100%的用户都对UTM性能下降的问题表示关注,其中有近半数的用户对于超过50%的性能下降表示吃惊。

美国《网络世界》曾进行了UTM产品的测试与用户调查。结果显示,目前市场上的UTM产品,在全部安全功能都打开的情况下,会遭遇到50%至96% 的性能损失。一些厂商的100M UTM产品,在单独打开网关防毒功能后,性能下降到8M;如果单独打开IPS功能,性能也接近8M;如果两项功能全部打开,性能下降到6M。有些产品甚至可以到达96%的性能下降。

1、网关防病毒和入侵检测功能,这两项功能必须涉及到对于第七层协议的分析,特别是要逐一对数据包进行检测。因此面对一些基于HTTP的病毒,对系统资源的消耗极大,因而对UTM性能的影响最为明显。

2、为了满足市场对内容过滤的功能的需求,很多安全厂家在自身的UTM产品中集成了一些内容过滤的功能。如果仅仅是对URL进行评估,包括从UTM 后台数据库进行评级,看看是阻断还是放行,这种情况不论是设备内置还是旁路到第三方,对CPU的压力都很小。在UTM里面进行一系列的动态评估,包括对网页、QQ、MSN的内容进行审查,那么肯定是相当消耗CPU资源的。

3、在一个繁忙的网络里面,较多地使用反垃圾邮件等功能的时候,再快的CPU也有极限,同样将不可避免地拖慢UTM的整体性能。

总而言之,由于UTM往往肩负防火墙、网关防病毒、入侵检测、内容过滤等多种功能,因此受制于深度检测与模式匹配的原理,网络层上无法找到流量共性。在UTM各个安全功能中,当需要进行大量特征匹配的工作时(包含内容过滤),对性能会有较大影响。

多核等新技术出现带来新希望

如何最大程度地减少UTM性能下降的幅度呢?大致方法分为两种,一种是软件优化,另一种则是硬件更新。

依靠软件的优化与算法的更新,力求在做基于内容检测的时候,可以获得最优的效能。据某厂商介绍,对网关防病毒环节,UTM采用多检测引擎互嵌技术可提升性能。改变原有的简单地把功能模块堆叠在一起,让数据包经过防火墙、VPN、病毒检测、垃圾邮件处理,这样一个串行处理过程会消耗很多资源。合理的方法是把这些功能模块整合到一起,比如先进行垃圾邮件过滤,然后再进行邮件防毒的工作,从而减少很多垃圾邮件中携带病毒对于UTM的性能开销。先查病毒,后进行VPN隧道加解密。目前厂商已经把这种技术做成一种灵活的规则,以便减轻UTM的性能负担。

通过ILS(智能分层安全)技术,确保UTM将所有功能整合到一个系统里面,可以实现安全应用的优化,从而更加快速地判断哪些数据包需要详细检查,哪些可以简单放过。

为了进一步降低病毒检测对UTM资源的消耗,一种专注在第七层,称之为“流检测”的技术应运而生。毕竟不管什么样的病毒,都是在数据包完全接收下来以后会形成的。支持流检测的UTM设备允许用户直接开始下载,UTM设备可以不采取行动,仅仅利用拷贝机制进行数据复制,同时正常转发数据。只是到最后几个包的时候,UTM开始查毒,一旦最终判断出数据包是病毒,则把最后几个发给用户的包阻止即可。利用此技术在UTM设备网关防毒功能开启时,可以提升 90%的性能。目前流检测技术利用Segment和序列号来控制三层数据包,因此实现非常简单。

硬件上采用了多总线、多核CPU的技术对于提升UTM分析能力、处理能力等性能有很大改善。经“网络世界评测实验室”的实地测试,多核对于CPU去拆解协议和基于特征码扫描的工作,可以降低一部分的延时(Juniper和深信服)虽然目前完全发挥出多核平台优势的UTM产品刚刚在市场上出现,特别是现有UTM软件对于多核平台的支持还比较普通,其高速并发处理的特性还有待于进一步挖掘。据悉目前UTM厂商采用的Intel、AMD多核芯片,仅仅用到了其80%的功能,在实际应用上还有提高的潜力。

此外,专业级安全多核新品开始被采用。目前像SonicWALL公司已经推出了相关产品。据该公司蔡永生介绍,“多核处理器的设计和实现也展示了其高效性。例如,在SonicWALL多核产品中,这些处理器集成了大量专用的硬件加速,允许在单个处理器上集成多达16个核,从而可提供最佳的性能。多核处理器技术让SonicWALL能够开发出高性能的网络安全设备,这种设备与使用通用处理器和安全协作处理器的解决方案相比可减少大约30%的功耗,而网速相差无几。SonicWALL多核处理器设备最多可采用16个内核(还为未来的重复利用设计了更多的内核空间),提供高性能并行数据包处理,集成了正常操作过程中具有较低功耗和低时频运行的安全协作处理器。多核技术无疑大大提升了产品的性能,使其产品应用范围相应扩大许多。”

启明星辰注意到,在高校、大企业、电信运营商等行业,用户对UTM也非常感兴趣,从功能的专业性而言完全可以满足这些行业用户的需求,但采购不踊跃,根本原因还是在于性能不足。如例如对于高校用户,校园园区网之间往往是多个千兆甚至10G的链路,实际带宽通常是几个G,很大部分是P2P下载、病毒等流量,需要病毒、P2P控制等高级安全功能,但由于以前的设备不具备如此高的性能,用户只能放弃采用。今年5月28日,启明星辰宣布推出了万兆多核 UTM平台,该平台基于Cavium多核技术实现了防火墙和IPS等功能,最高防火墙性能为25.4Gbps,最高IPS性能为11.74Gbps,均达到了万兆的水平。这无疑为大型行业应用打下了坚实的技术基础。