10.对于越来越热的VoIP穿越UTM的问题(大量的更加细小的数据包),是否会成为新的性能杀手?
深信服:国内遇到类似问题比较少。因为国内VoIP大部分用VPN来传。国外的情况,VoIP部署的非常广泛。国内还没有用起来。国内主要的需求是用VPN来实现VoIP传输。其实在SSL VPN中传VoIP都几乎没有,大部分还是在IPSec VPN中使用。国内用户目前还没有用到这块内容。
Juniper:VoIP目前本身流量不是很大,每一个线路都是小包传输,对于UTM来说,不论是H.323还是SIP,本身都有漏洞,都不是安全的。而UTM刚好可以给VoIP提供一层额外的安全保护,特别是UTM可以检测出IPSec VPN隧道中的内容,而不会造成性能的影响。如果用在内网,比如在服务器前面,有时候需要考虑更高性能的产品。
联想网御:不会影响。因为VoIP的应用已经跑过了,测试看起来没有问题,包括SIP和H.323。上述协议本身的漏洞,UTM可以做一个弥补。有人开发代码攻击,UTM可以检测并阻断。UTM可以扫描VPN隧道内容。
神州数码网络:小包资源消耗问题,非常小几个字节,有可能会是一种性能杀手。要是在VPN里面,对于性能影响不大。神州数码的UTM先查毒在进VPN,可以保护VoIP的安全。不过从测试来看,还是有一定的性能影响。因为采用X86平台,小包的系统消耗是不可避免的。除非是判断出VoIP后直接实施bypass放行策略,做成开关,具体让用户选择。就是遇到性能瓶颈的时候,通过bypass让网络还可以用。而通过对系统参数的监控,cpu、内存,快到了临界点的时候,关闭一些消耗较大的功能,可以避免单点故障的问题。神州数码自己开发的技术。
Sonicwall:VoIP的穿越问题,基本防火墙都支持H.323和SIP。如果大家都基于标准的,肯定不错。但是现在有很多第三方,做的不是标准的,困难。任何数据过VPN都不会有任何影响,就相当于一个路由。VoIP经过UTM、防火墙的时候,不管H.323还是SIP,需要做全状态转换,主要是对信令协议本身内部的东西做翻译,不是NAT翻译包头的问题,因此要求你的UTM需要认识这些H.323或者SIP协议。转换消耗的资源不大,因为呼叫就是几个信令,完了开放端口语音、视频正常传输就可以了。呼叫建立的过程消耗一定资源,建立传输以后会有大量小包,语音包很小,对防火墙性能有影响。但是一个VoIP能有多少个终端经过火墙往外走?一般视频会议一个点也就有一个终端,不会影响太大。
WatchGuard:WatchGuard有着ILS(intelligent layered security)架构的设备,可以对进入网络的package进行分类,判断需要通过哪类安全检查。WatchGuard 的ILS在packet进来的时候,会做一个分类。VoIP有其特色,比如它是UDP packet(封包),而不是TCP packet。对此,我们可以进行优化。对于所有VoIP例行的UDP packet,我们只进行简单扫描,可以放过。例如,anti-spamming、anti-virus等,因为voice数据包里基本没有spam跟virus,所以通过ILS,可以对VoIP和UDP进行和优化,可以只做简单的检查。
