论文部分内容阅读
图2 UTM产品的核心竞争力
UTM产品最大的优势就是在单一的产品上融合了多种主流安全技术,这也必然使UTM产品在性能和稳定性上面临很大的挑战,同时也对UTM厂商在防病毒、入侵防御等内容安全方面的技术积累提出了很高的要求。如果能够成功跨越这些门槛,UTM产品无疑是安全网关位置最好的选择。我们将从UTM产品中的核心技术、核心竞争力和硬件平台选择方面来探讨一下如何在技术层面上做好一款真正的UTM产品。
核心技术仍要积累
产品的核心技术决定了产品的定位和品质,UTM产品想要在安全网关市场取得成功,绝不能只是简单地在防火墙上集成防攻击、入侵防御、防病毒和IM/P2P监控等众多安全功能,而是要在技术定位上和多功能防火墙有所区别。和防火墙产品以状态包过滤为核心不同,UTM产品中最核心的应该是入侵防御(IPS)和防病毒两项技术,具体应该体现在如下三个方面:(1)入侵检测能力;(2)应用协议识别能力;(3)病毒检测能力。其他的安全功能都必须以这两个模块的检测结果为基础,这样才能更准确地对网络事件进行响应。同时,只有安全厂商自身掌握了入侵防御和防病毒两种检测引擎的核心技术,才能对程序处理流程进行最大的优化,减少系统内部数据传递过程中的资源消耗,为UTM的整体性能优化提供更大的空间。所以要想开发出成功的UTM产品,安全厂商必须在入侵防御和防病毒方面有足够的技术积累,并具备对事件库和病毒库及时更新的能力。
核心竞争力需提升
UTM产品的核心竞争力应该主要体现在产品的综合性能、实时阻断能力、业务控制能力和产品易用性四个方面,下面分别加以讨论。
1.突破综合性能瓶颈
UTM产品的综合性能是指同时开启入侵防御和防病毒等主要安全模块后的性能表现,所以想要突破UTM产品的性能瓶颈就必须从优化入侵检测引擎和防病毒引擎两部分入手。如果一味地强调功能做一款大而全的产品,而无法满足性能要求,就会使UTM产品的众多安全功能仅仅成为一个摆设,在实际运行环境还是只能够开启防火墙功能,这样也就失去了UTM产品在网关位置的立足之本。
2.提高实时阻断能力
UTM中的入侵防御和防病毒功能基本上是由IDS检测技术和主机防病毒技术发展而来的,但这绝不应该是简单的叠加和集成。随着攻击手段的更新和病毒传播速度的加快,UTM中的防御重点必须由检测向实时阻断方向发展,应该说对入侵和病毒检测技术提出了更精确的要求,这样才能控制威胁的进一步发展。所以实时阻断能力是UTM产品存在的直接价值。
3.增强业务控制能力
安全的范畴如今发生了很大的变化,不仅包含像入侵、病毒、木马和DDOS等传统意义上的威胁,还应该包括网络带宽管理、个人P2P业务、IM即时通信业务的监控、网络视频业务及非法外联业务等的监控和限速管理。这就要求安全网关产品具备高层业务的识别能力和控制能力,而且这些应用协议的识别是防火墙产品或路由交换产品所无法做到的。所以,业务控制能力使UTM产品具备了不可替代性。
4.提高产品易用性
网络安全的发展应该是向着主动安全和自动防御的方向去发展,以减小人为因素造成的疏漏和响应不及时。UTM产品的一个很大的优势就是不需要用户再去单独购买不同厂家的防火墙、VPN网关、防毒墙和IPS等设备,网管员不需要去分别学习不同厂家设备的配置管理方法,从而降低了网络管理成本。提高产品易用性是UTM产品能否成功大范围推广的关键。
硬件平台是关键
硬件平台的选择直接关系到产品的综合性能、技术难度、开发周期和设备成本等因素。通过前面对UTM产品特点的分析,我们看到UTM产品的性能瓶颈和核心竞争力体现在防病毒和入侵防御两个引擎上面,所以UTM硬件平台的选择就需要重点考虑以下两方面因素。
1.是否能够提升防病毒和入侵防御两部分引擎的性能。
2.是否具备良好的可扩展性,以满足安全需求和安全技术的不断更新。
目前市场上可供选择的安全网关硬件平台主要有四种类型。
1.x86架构
x86平台属于通用计算平台,主要由一颗或多颗CPU来处理业务,优点是x86 CPU工艺领先,工作频率高,因此运算能力较强。同时,x86平台的开发效率较高,可扩展性好,成本较低。缺点是x86平台的总体性能受到其PCI总线通信能力和中断处理方式的限制,对小包的转发效率较低,无法实现千兆小包限速。另外,多芯片组方案和总线式通信方案使其整机的吞吐率较低。
2.ASIC架构
和x86架构所有的数据转发都由CPU处理不同,ASIC平台在连接建立、路由信息下发等初始化工作中由CPU处理,其他数据转发的工作都由集成在系统中的ASIC芯片来完成,所以ASIC平台的最大优势是转发效率非常高,可以达到小包千兆限速。ASCI平台的缺点是设计复杂,可扩展性差,开发周期长,比较适合实现一些简单的包过滤等防护墙功能,对于防病毒和入侵防御等复杂功能,在芯片上实现则非常困难。所以ASIC架构的产品比较适合功能比较简单的高端防火墙产品,不适合功能复杂、需求变化很快的UTM产品。
3.网络处理器(NP)架构
NP架构的原理和ASIC类似,转发效率和开发周期介于X86平台和ASIC平台之间。缺点是受芯片的代码空间限制,无法实现复杂业务的设计,而且NP架构使用类似于汇编的微码语言,在安全业务需求不断更新的情况下,NP架构的产品可能也需要不停地重新设计实现。
NP架构同样无法实现防病毒、入侵防御等复杂安全功能在芯片级的加速。
4.多核SoC架构
近两年,陆续有國外厂商推出面向网络安全和智能路由器的多核产品,其特点是在一颗芯片上同时集成了多至16核的网络处理器,多核之间可以组合协同工作,也可以分别应用到不同处理请求。芯片本身也提供VPN,深层包检测加速技术在转发效率和CPU处理能力上都有了很大提升,理论上可以支持防病毒和入侵防御技术在芯片级来实现,在高端UTM解决方案上具备很大的优势。
同时,多核SoC平台使用C语言进行开发,开发难度相对于ASIC和NP有所降低。但多核技术在开发上还是面临着一些技术难题,处于预研阶段,一旦技术成熟,也是UTM较好的选择之一。