性能篇
美国《网络世界》和中国《网络世界》分别在8月底和9月初进行了各自的UTM产品的测试与用户调查,结果显示,目前市场上的UTM产品,在全套安全功能都打开的情况下,遭遇到50%至96%的性能损失。
损失:从50%说起
UTM的性能损失问题在全世界都不是秘密,根据美国《网络世界》的调查,几乎100%的用户都对UTM性能下降的问题表示关注,其中有近半数的用户对于超过50%的性能下降表示吃惊。
回到国内,情况同样不能乐观,一些厂商的100M UTM产品,在单独打开网关防毒功能后,性能下降到8M;如果单独打开IPS功能,性能也接近8M;如果两项功能全部打开,性能下降到6M。有些产品甚至可以到达96%的性能下降。
事实上,很多厂商都表示,类似的情况属于正常现象,区别仅仅是下降的幅度而已。深信服的产品经理叶宜斌表示说,由于UTM往往肩负防火墙、网关防病毒、入侵检测、内容过滤等多种功能,因此受制于深度检测与模式匹配的原理,网络层上无法找到流量共性,所以目前市场上主流的UTM产品,大部分都采用X86架构,硬件平台的结构决定了性能下降的必然性。
Crossbeam的CEO Peter G. George先生此前在接受记者采访时曾表示,即便是采用FPGA+ASIC+NP架构的高端交换式架构UTM,一样会出现性能下降的表现,只不过幅度较小而已。
Juniper的产品经理梁小东表示,目前影响UTM性能最为明显的,就是网关防病毒和入侵检测功能。因为这两项功能必须涉及到对于第七层协议的分析,特别是要逐一对数据包进行检测,因此面对一些基于HTTP的病毒,系统的开销就会相当大。
另外,受到市场因素的驱使,很多安全厂家在自身的UTM产品中集成了一些内容过滤的功能。对此,Sonicwall的技术经理蔡永生表示,如果仅仅是对URL进行评估,包括从UTM后台数据库进行评级,看看是阻断还是放行,这种情况不论是设备内置还是旁路到第三方,对CPU的压力都很小。但如果是在UTM里面进行一系列的动态评估,包括对网页、QQ、MSN的内容,那么肯定是相当消耗CPU资源的。
除此以外,受制于在每一台UTM里面,主要的系统资源、CPU及存储都是有限的,WatchGuard公司亚太区技术总监叶建辉认为,如果在一个繁忙的网络里面,使用反垃圾邮件等功能较多的时候,再快的CPU也有极限,同样将不可避免地拖慢UTM的整体性能。
总而言之,在UTM各个安全功能中,当需要进行大量特征匹配的工作时(包含内容过滤),对性能会有最大影响。
解决:软硬同时开攻
为了追求UTM性能下降的幅度最小,各家厂商往往会在技术上进行一定程度的创新。在目前的技术条件下,想要往UTM的线速上靠拢,主要有两种方案:第一,依靠软件的优化;第二,依靠硬件平台与体系结构的更新。
联想网御的产品经理王延华表示,目前各家UTM厂商都在进行软件上的优化与算法的更新,力求在做基于内容检测的时候,可以获得最优的效能。而神州数码网络的产品经理王景辉认为,单纯依靠软件的提升始终有限,更有效的做法是把UTM上所有的功能模块进行深度整合。
其实,针对网关防病毒所造成的性能下降问题,是有一定的技术手段可以解决的。像神州数码网络和WatchGuard都采用了良好的UTM多引擎互嵌整合技术。因为传统上如果简单地把功能模块堆叠在一起,让数据包经过防火墙、VPN、病毒检测、垃圾邮件处理,这样一个串行过程会消耗很多资源。合理的方法是把这些功能模块整合到一起,如果进行垃圾邮件过滤,又要进行邮件查毒,那么就先进行垃圾邮件过滤,然后再进行邮件防毒的工作,从而减少很多垃圾邮件中携带病毒对于UTM的性能开销。另外,像VPN也是如此,先查病毒,后进行VPN隧道加解密。目前厂商已经把这种技术做成一种灵活的规则,以便减轻UTM的负担。
叶建辉表示,通过ILS(智能分层安全)技术,确保UTM将所有功能整合到一个系统里面,可以实现安全应用的优化,从而更加快速地判断哪些数据包需要详细检查,哪些可以简单放过。
此外,为了进一步降低病毒对于UTM的检测消耗,一种称之为“流检测”的新技术已经开始投入使用。王景辉介绍说,与传统UTM采用代理技术(Proxy)接管整合连接的方式不同。流检测技术专注在第七层。毕竟不管什么样的病毒,只有当数据包完全接收下来以后才会形成病毒。因此当用户使用HTTP下载或者收邮件的时候,UTM设备可以不采取行动,仅仅利用拷贝机制进行数据复制,同时正常转发数据。一旦最终判断出数据包是病毒,则把最后几个发给用户的包阻止即可。
有意思的是,在以太网世界大会上,记者曾亲自在神州数码网络的展台感受过该技术带来的优势:当记者另存为一个网页时,传统的UTM产品会先查毒,后下载,速度很慢;而支持流检测的UTM设备允许用户直接开始下载,只是到最后几个包的时候,UTM开始查毒。
王景辉表示,利用此技术在UTM设备网关防毒功能开启时,可以提升90%的性能。目前流检测技术利用Segment和序列号来控制三层数据包,因此实现非常简单。
除了软件以外,不少厂商也开始在硬件上动脑子。像Juniper和深信服都采用了多总线、多核CPU的技术。叶宜斌表示,经过“网络世界评测实验室”的实地测试,双核对于UTM的提升已经被证实,且着重体现在分析能力方向,包括提升一定的UTM处理能力。对于CPU去拆解协议和基于特征码扫描的工作,有一定的促进,因为可以降低一部分的延时。
不过多核产品虽然已经推出,但在实际应用上还有提高的潜力。王延华认为,目前完全发挥出多核优势的UTM产品还没有出来,特别是现有UTM软件对于多核的支持还比较普通,其高速并发处理的特性还有待于进一步挖掘。据悉,目前UTM厂商采用的Intel、AMD的多核芯片,仅仅用到了其80%的功能。
另一个技术上的新突破在于,对于下一代NP系统在安全产品中的开发与应用。据美国《网络世界》披露,国际上的新片大厂已经开始推出新一代的NP芯片,或者称之为CP(Content Processor)。该芯片属于一个可编程的多内核处理器(6-8个),它可以把很多应用协议硬件化。要知道传统的NP只能在网络层工作编写条件。但是新的NP可以把HTTP、FTP等应用条件都用硬件完成,包括大量常见协议的硬件化。因此即便保守估计,也可以带来10倍以上的UTM性能提升。据悉,像Cisco、Juniper、联想网御、Sonicwall、神州数码网络都在紧盯这块产品,以求与自身的UTM进行整合。
联合:大家帮助大家
区别于传统IT竞争的一点,UTM领域出现了很多的联合型为。事实上,在2003年UTM概念登场之初,IDC对其下的定义就是防火墙、网关防病毒和入侵检测的结合体。不过这几年来,内容过滤、反垃圾邮件、甚至内网控制都集成到UTM中来,因此一家厂商的力量往往难以做到尽善尽美。
对此,像Checkpoint、Commtouch、CefurTrust、Fprot、卡巴斯基、Symantec、Surf Control、Sophers、TrendMicro等安全公司,都已经为大量的UTM厂商提供相应的OEM安全模块。
在相关的合作问题上,叶宜斌和梁小东两人一致认为,由于各个厂商有自己的优势,因此集成业界领先的技术会是一个比较好的趋势。而叶建辉也认为,跟业内的领导者合作,性能及安全性当然会有保证。对于和OEM厂商的合作,王景辉认为只要能够做到双方系统级的开发,是可以获得良好的性能保证的。不过由于受制于平台与不同功能模块的引擎问题,联合也并非一蹴而就。对此王延华解释说,同一个操作系统支撑5-6个模块,能否整合好是一个大问题。像卡巴斯基防病毒引擎,在自己的平台上性能比较高,和另外的平台放在一起就不一定,经常表现出开销比较大的问题。因此联合的关键是,一定要对相关的产品模块做优化。
另外,从实际的测试情况来看,与业内主要安全厂商联合开发模块,有可能保证UTM的性能,但也不一定。蔡永生认为,问题的关键是看UTM的硬件平台怎么做。这将会涉及到一个产品完整的硬件、软件架构设计,而且合作双方还需要配合起来才可以。他表示Cisco的ASA系列就是一个不成功的例子,因为受制于插槽原因,TrendMicro提供的网关防病毒和入侵检测模块不可以同时使用。相反,如果厂商一直坚持自己的设计,也不一定就不好。
