扫一扫
关注微信公众号

UTM安全革命:谁说鱼与熊掌不能兼得?
2011-06-27   网络

随着市场和技术的发展,很多用户发现自己采购的UTM产品很象是瑞士军刀——仅限于单功能使用时才好用。所有功能模块全部启用,UTM设备的性能将大大下降,可用性较差。某些品牌的UTM产品,标称性能只是单项功能打开时的测试数据。一旦功能全开,性能可能会下降一半以上。因此,厂商工程师在实施时善意的建议用户先只开某个功能,以后再逐步打开其他功能的场景屡见不鲜。同时,用户担心性能不够也不敢把全部功能打开使用,最终导致UTM只是名义上作为多功能安全产品购买,实际上只作为单一功能产品使用。

这种情况出现的原因在于,对于第一代出现在市场上的UTM产品而言,集成的防火墙、VPN、防病毒、入侵防护、甚至终端防护等功能实际上只是在设备中做了简单的叠加,一旦开启多功能时,各种功能模块对计算资源的抢夺就直接导致了整体性能的急剧下降。尽管很多厂商也采取了诸如提高硬件配置,甚至采用ASIC硬件加速某些功能的手段,但收效并不显著。

而另一方面,UTM的用户经过多年的市场洗礼,对于UTM的要求已经日趋理性。目前很多的成熟用户,已经不再全盘接受厂商提供的各项性能参数。而是根据自己的网络需求,搭建测试环境,然后使用标准测试仪对各家的产品进行衡量。最常见的一种情况就是,无视厂商产品标称的连接数、吞吐量等数据,而是在环境中测试产品至少将防火墙+入侵检测+防病毒功能同时打开时的HTTP页面吞吐、FTP吞吐等数据作为选型依据。这样的测试,更符合用户的实用情况,再加上采用Avalanche、IXIA等标准测试设备带来的相对公平,其结果更值得信赖。

面对着新的市场环境,联想网御在技术上持续改进,以力求推出满足用户性能使用需求的新一代UTM产品。特别是采用了融合引擎+PSE预检技术+优化匹配技术的新一代UTM产品很好的解决了综合性能问题。

融合引擎,即在UTM产品内部,不再存在独立的防火墙、入侵防护、防病毒等检测引擎,而是被一个完整的UTM综合检测引擎所取代。事实上,现在防火墙、入侵防护、病毒防护等主要网关防护技术上,是有很大重叠的。采用融合引擎而不是多引擎独立甚至串联工作,可以有效的减少重复检测带来的性能浪费。引擎的融合也必然带来特征库的融合,由此带来的性能提升实际上也相当可观。当然,厂商能够采用融合引擎的前提条件是,厂商对于防火墙、入侵防护、防病毒、VPN以及其他附加功能都有足够的技术投入和积累,特征库可以外购,但是引擎必需自研,或者有源码级的合作伙伴。只有在此基础上,才可能实现完成融合引擎的研发工作。

在使用融合引擎的前提下,UTM产品还可以通过PSE预检技术和优化匹配技术获得进一步的性能飞跃。
 



        融合引擎的技术原理如上图。数据在进入设备后,除协议异常的流量流向异常检测模块外。主要的流量都交给PSE预检引擎。PSE预检引擎能够极高速的分离出清白流量和可疑流量,再将可疑流量交由特征优化匹配引擎进行进一步处理。

PSE预检技术时一种将现有特征库进行数据抽象,形成体积远小于原特征的PSE库,然后利用这个PSE库的预检来加速网络处理的技术。PSE预检技术利用经过抽象处理的PSE库,所需检测时间不到常规的10%。当网络中可疑流量只占到20%时(这在实际中已经很高了),采用PSE预检处理可以将性能提升高达70%。

在PSE预检完成后,对于可疑流量再进一步的交给特征优化匹配引擎进行处理。这种优化匹配的技术原理是不断根据处理过的数据包进行状态置位,当这个状态位被置于某个事先定好的值时,则触发相应处理。

可以类比于警察在高速公路上对过往车辆进行检查,每查完一辆就放行一辆。而匪徒将枪支拆成零件分散在若干辆车中带入。当警察看到某一个零件时,由于无法确定,并不立刻扣留车辆,以免造成交通堵塞,而只是在心里做了个记录。直到检查到后面某辆车的零件时,跟心里的记录比对,发现这些零件能够组合成枪支,才对这辆车予以扣留。尽管前面已经放过了部分零件,但是由于零件不齐,最终无法组合枪支造成破坏。

联想网御采用了融合引擎+PSE预检技术和优化匹配技术后的新一代UTM产品,已经可以做到防火墙+入侵防护+防病毒功能全开,其性能对比单项性能时,下降10%~20%的程度,可以在用户的网络实用过程中,真正的打开全部功能,为用户提供真正的综合防护。

热词搜索:

上一篇:UTM统一威胁管理的技术发展和市场现状
下一篇:UTM革命:“一键配置”轻松搞定网关安全

分享到: 收藏