【51CTO.com 綜合消息】對(duì)于企業(yè)來(lái)說(shuō)擁有一部?jī)?nèi)網(wǎng)安全網(wǎng)關(guān)能夠很好的解決網(wǎng)絡(luò)安全問(wèn)題，諸如黑客入侵，病毒傳播等行為都可以通過(guò)UTM安全網(wǎng)關(guān)的相關(guān)防護(hù)功能有效解決。不過(guò)很多企業(yè)在使用UTM相關(guān)的IPS與防AV功能時(shí)存在著使用上的誤區(qū)，輕者造成設(shè)備負(fù)載的增加，相關(guān)功能性能的降低；重者直接造成設(shè)備死機(jī)或防護(hù)功能名存實(shí)亡。

UTM市場(chǎng)發(fā)展現(xiàn)狀

從UTM的行業(yè)發(fā)展來(lái)看，起到重要促進(jìn)作用的是政府和企業(yè)。出于安全防御需求、部署實(shí)施和成本預(yù)算的綜合考慮，政府和企業(yè)對(duì)于安全有著“簡(jiǎn)單化”的需求，包括選擇部署簡(jiǎn)單化、策略實(shí)施簡(jiǎn)單化、安全防御簡(jiǎn)單化、管理維護(hù)簡(jiǎn)單化。而在運(yùn)營(yíng)商、金融、電力等行業(yè)，由于網(wǎng)絡(luò)統(tǒng)一規(guī)劃性比較強(qiáng)，對(duì)于UTM抱著觀望態(tài)度，尚沒(méi)有形成大規(guī)模的普遍需求。政府信息化的不斷深入，企業(yè)單位對(duì)信息安全要求的不斷增加，會(huì)推動(dòng)UTM這一安全網(wǎng)關(guān)產(chǎn)品蓬勃發(fā)展。

作為安全網(wǎng)關(guān)產(chǎn)品族中的新秀，UTM產(chǎn)品已經(jīng)顯示了其強(qiáng)有力的競(jìng)爭(zhēng)力。防火墻功能作為UTM中的基本功能之一，在產(chǎn)品表現(xiàn)形式上已經(jīng)非常成熟，若加上防病毒、入侵防御、內(nèi)容過(guò)濾等功能，UTM產(chǎn)品在功能表現(xiàn)上非常有競(jìng)爭(zhēng)力。啟用多種安全能力后的性能是UTM的一個(gè)軟肋，目前市場(chǎng)中的UTM雖然經(jīng)過(guò)了性能上的不斷優(yōu)化，在實(shí)際使用中也可以滿足普通千兆網(wǎng)絡(luò)的需求；但還無(wú)法滿足多個(gè)千兆接口線速要求的運(yùn)營(yíng)級(jí)網(wǎng)絡(luò)需求。因此總的來(lái)看，UTM產(chǎn)品會(huì)不斷在應(yīng)用中取代防火墻產(chǎn)品；但長(zhǎng)期來(lái)看，UTM與防火墻之間的應(yīng)用環(huán)境是不同的，都會(huì)保持各自的空間和用途。

此外，反垃圾郵件網(wǎng)關(guān)、防DOS網(wǎng)關(guān)、VPN網(wǎng)關(guān)等產(chǎn)品與UTM也有著密切的聯(lián)系，但由于在本質(zhì)上存在較大的差別，與UTM產(chǎn)品的關(guān)系各不相同。反垃圾郵件功能越來(lái)越多的被融入到郵件網(wǎng)關(guān)產(chǎn)品中去，作為保護(hù)郵件系統(tǒng)的最直接手段；防DOS網(wǎng)關(guān)則與路由器等網(wǎng)絡(luò)設(shè)備結(jié)合越來(lái)越緊密，用來(lái)保護(hù)路由器自身和其掌控的網(wǎng)絡(luò)資源；VPN網(wǎng)關(guān)在繼續(xù)保持著相對(duì)的獨(dú)立，以單獨(dú)產(chǎn)品的身份存在，但是在一些簡(jiǎn)單VPN需求的場(chǎng)合中也融入到了UTM中。對(duì)UTM產(chǎn)品，其主要目的是對(duì)網(wǎng)絡(luò)資源進(jìn)行保護(hù)，防御威脅，防止網(wǎng)絡(luò)濫用，重點(diǎn)在于控制。

UTM面臨的問(wèn)題

在快速發(fā)展并被越來(lái)越多用戶認(rèn)可的同時(shí)，UTM也面臨著三個(gè)重要挑戰(zhàn)：提高應(yīng)用層檢測(cè)的精度、應(yīng)對(duì)性能下降的挑戰(zhàn)、滿足易用性需求。

深層檢測(cè)是優(yōu)秀UTM的關(guān)鍵和基礎(chǔ)。深層檢測(cè)包括了全面和精確兩個(gè)方面。深層檢測(cè)在部分用戶看來(lái)是網(wǎng)關(guān)防病毒的同義詞，但實(shí)際上，深層檢測(cè)的真正目的，不僅僅是對(duì)病毒的防御，還包括對(duì)溢出攻擊、惡意腳本、SQL注入攻擊、P2P應(yīng)用、網(wǎng)絡(luò)游戲等惡意攻擊和網(wǎng)絡(luò)濫用行為的檢測(cè)及防御。同時(shí)，作為部署在網(wǎng)關(guān)位置的UTM產(chǎn)品，在進(jìn)行深層檢測(cè)時(shí)必須確保不出現(xiàn)誤判，如果深層檢測(cè)出現(xiàn)了誤判，那么依據(jù)錯(cuò)誤檢測(cè)所做的防御措施會(huì)給用戶的正常業(yè)務(wù)帶來(lái)嚴(yán)重影響。充分利用過(guò)去檢測(cè)技術(shù)方面的積累，同時(shí)加強(qiáng)針對(duì)P2P、IM、游戲類軟件的跟蹤和積累UTM解決應(yīng)用層檢測(cè)精度難題最有效的措施。

多數(shù)用戶很是坦然“我們的網(wǎng)管員管理的設(shè)備過(guò)多，對(duì)安全產(chǎn)品的配置也不是很了解，UTM產(chǎn)品把那么多功能集成到一起，我們的網(wǎng)管員搞不清楚其中關(guān)系，希望你們做得簡(jiǎn)單易用，最好把相互關(guān)聯(lián)的功能配置做成模版，我們只要配置模版就行了！”樸實(shí)的話語(yǔ)道出了真正的需求。網(wǎng)關(guān)的易用不只體現(xiàn)在管理、維護(hù)、配置上，還體現(xiàn)在設(shè)備的部署上，對(duì)網(wǎng)絡(luò)的兼容性上。UTM產(chǎn)品確實(shí)需要在產(chǎn)品開(kāi)發(fā)過(guò)程中貫徹“易用”這一原則，使產(chǎn)品能夠具有長(zhǎng)期的生命力。

作為國(guó)內(nèi)信息安全市場(chǎng)的領(lǐng)軍者，啟明星辰認(rèn)為“簡(jiǎn)單”是安全發(fā)展的大勢(shì)所趨。啟明星辰天清漢馬一體化安全網(wǎng)關(guān)在設(shè)備部署、威脅防御、策略實(shí)施、管理維護(hù)等四大用戶最“頭痛”的關(guān)鍵問(wèn)題上實(shí)現(xiàn)了“簡(jiǎn)單”。尤其在管理維護(hù)方面，實(shí)現(xiàn)了“六化”：界面定位快捷化——配置界面三鍵到位率達(dá)90％以上；配置操作簡(jiǎn)單化——任一配置在兩個(gè)界面內(nèi)完成；安全策略模板化——所有安全服務(wù)配置在一個(gè)模板上完成；關(guān)鍵業(yè)務(wù)自動(dòng)化——自動(dòng)升級(jí)、自動(dòng)報(bào)警、自動(dòng)報(bào)表的特點(diǎn)；安全監(jiān)控方便化——定制化報(bào)表、圖形化顯示；集中管理統(tǒng)一化——基于組的集中管理、集中監(jiān)控、一次配置、整體生效。

SOC多核硬件平臺(tái)

隨著啟明星辰本次通過(guò)萬(wàn)兆UTM測(cè)評(píng)，過(guò)去質(zhì)疑UTM高端應(yīng)用性能不足的說(shuō)法已經(jīng)成為歷史。萬(wàn)兆UTM出現(xiàn)，無(wú)疑會(huì)將UTM應(yīng)用帶入嶄新的時(shí)代。那么，萬(wàn)兆UTM究竟如何才能突破性能瓶頸，滿足高端應(yīng)用呢？專家告訴記者，滿足萬(wàn)兆UTM應(yīng)用的關(guān)鍵在于16核多核技術(shù)的運(yùn)用。

UTM產(chǎn)品具有3大技術(shù)特點(diǎn)：吞吐密集、運(yùn)算密集、應(yīng)用層特性匹配密集。這3大特點(diǎn)對(duì)硬件平臺(tái)提出了極大的挑戰(zhàn)，也正是基于此，UTM過(guò)去飽嘗性能瓶頸之苦，如：在X86架構(gòu)下，UTM受制于總線帶寬普遍無(wú)法實(shí)現(xiàn)千兆線速；開(kāi)啟AV、IPS功能后，CPU占用率大幅升高，整機(jī)性能通常下降80％以上。綜合考慮了這些問(wèn)題之后，啟明星辰經(jīng)過(guò)詳細(xì)的技術(shù)調(diào)研、產(chǎn)品預(yù)研，最終選擇了基于Cavium公司16核CPU的硬件平臺(tái)承載萬(wàn)兆UTM應(yīng)用。單就CPU核數(shù)而言，是X86 CPU的4倍以上。并且，Cavium公司OCTEON系列多核芯片，專為UTM等安全產(chǎn)品的應(yīng)用量身內(nèi)置了一系列專用硬件，使得最終構(gòu)建出的產(chǎn)品在性能、穩(wěn)定性上很容易實(shí)現(xiàn)電信級(jí)標(biāo)準(zhǔn)。

據(jù)介紹，Cavium的16核CPU采用了“軟件硬件化”的設(shè)計(jì)理念，在CPU片內(nèi)集成了DFA、包收發(fā)模塊等專用硬件，從而提升硬件平臺(tái)的整體性能。如圖1所示：

圖1

下面我們從帶寬、收發(fā)包模塊、包處理指令集等方面來(lái)分別了解一下這一硬件平臺(tái)。

高總線帶寬：高達(dá)640Gbps的內(nèi)部總線帶寬，是Intel 4核CPU的6倍！就好像一條是雙向六車道的高速公路，而另一條只是單車道的普通公路，在基礎(chǔ)設(shè)施層面便已立分高下。

硬件收發(fā)包模塊：芯片內(nèi)集成了硬件收發(fā)包模塊、千兆/萬(wàn)兆等的線速接口器件，與總線直連，充分保障各業(yè)務(wù)接口的線速性能，并最大限度地減少了CPU在此方面的開(kāi)銷。

集成內(nèi)存控制器：我們知道，傳統(tǒng)X86架構(gòu)除CPU外，尚需額外的北橋芯片、內(nèi)存控制器的配合才能實(shí)現(xiàn)內(nèi)存操作，此部分往往成為整個(gè)平臺(tái)性能提升的瓶頸；而Cavium16核CPU片內(nèi)集成了內(nèi)存控制器，且無(wú)需額外的北橋芯片，避免了內(nèi)存操作成為平臺(tái)性能提升的瓶頸。

壓縮/解壓縮硬件引擎：AV業(yè)務(wù)需對(duì)進(jìn)出網(wǎng)關(guān)的文件進(jìn)行病毒掃描，而很多文件是壓縮的、并且是多級(jí)壓縮。對(duì)此類文件的掃描，必須先將文件解壓縮后再進(jìn)行與病毒庫(kù)文件的匹配運(yùn)算。X86架構(gòu)下，此項(xiàng)運(yùn)算都是由CPU進(jìn)行的，極耗費(fèi)資源，文件壓縮/解壓縮成為導(dǎo)致AV性能瓶頸的重要因素。Cavium 16核CPU內(nèi)置一個(gè)專用壓縮/解壓縮硬件引擎，用于AV文件的壓縮/解壓縮操作，極大提高了AV業(yè)務(wù)的性能，減輕了對(duì)CPU資源的消耗。

專用包處理指令集： AV、IPS、上網(wǎng)行為管理等業(yè)務(wù)主要做的是應(yīng)用層包處理，運(yùn)算量大、運(yùn)算復(fù)雜，并且需要進(jìn)行頻繁的業(yè)務(wù)調(diào)度與切換，只能由CPU進(jìn)行處理，從而使CPU成為性能提升的瓶頸之一。Cavium 16核CPU創(chuàng)新的在每個(gè)CPU核內(nèi)集成了一個(gè)專門針對(duì)包處理應(yīng)用特點(diǎn)而開(kāi)發(fā)的指令集，可通過(guò)指令直接進(jìn)行位域操作、面向字節(jié)的操作等，不必再像X86那樣靠多條指令實(shí)現(xiàn)一個(gè)功能，結(jié)合RISC短指令集的效率優(yōu)勢(shì)，運(yùn)算效率整體提高了3倍。

硬件DFA內(nèi)容匹配引擎：AV、IPS等業(yè)務(wù)也是應(yīng)用層特性密集的業(yè)務(wù)。某種程度上，UTM的性能就取決于產(chǎn)品對(duì)業(yè)務(wù)特征的匹配速度。X86架構(gòu)下，CPU既需要進(jìn)行內(nèi)容匹配運(yùn)算，又需要進(jìn)行設(shè)備的控制操作、業(yè)務(wù)調(diào)度等，CPU負(fù)荷重并且效率低。Cavium16核CPU針對(duì)此應(yīng)用特點(diǎn)，在片內(nèi)集成了一個(gè)硬件DFA內(nèi)容匹配引擎，直接對(duì)特征數(shù)據(jù)匹配進(jìn)行硬件運(yùn)算，將匹配運(yùn)算結(jié)果交由CPU核進(jìn)一步處理，這樣就極大提高了內(nèi)容匹配速度，減輕了對(duì)CPU資源的消耗。CPU從此不再成為AV、IPS等業(yè)務(wù)的處理瓶頸。

多核軟件體系設(shè)計(jì)

在采訪中我們得知，萬(wàn)兆多核的軟件架構(gòu)設(shè)計(jì)與X86架構(gòu)下的設(shè)計(jì)完全不同，無(wú)法進(jìn)行簡(jiǎn)單的代碼移植，必須配合硬件平臺(tái)進(jìn)行針對(duì)性的設(shè)計(jì)與優(yōu)化。啟明星辰為此全新設(shè)計(jì)了UTM專用的64位操作系統(tǒng)，這也是萬(wàn)兆UTM產(chǎn)品化過(guò)程中工作難度最大、工作量最多的部分。

我們首先遇到的難題就是性能不隨核數(shù)增長(zhǎng)而線性增長(zhǎng)的問(wèn)題”，啟明星辰的專家告訴記者。

據(jù)了解，在采用Cavium多核硬件平臺(tái)進(jìn)行了相應(yīng)的軟件開(kāi)發(fā)后，啟明星辰在萬(wàn)兆UTM預(yù)研初期，就實(shí)現(xiàn)了4核情況下3G的防火墻性能，但在隨后進(jìn)一步的研究中，發(fā)現(xiàn)性能提升似乎到了極限，隨著核數(shù)的提升性能并不相應(yīng)的線性增長(zhǎng)。如圖2所示，問(wèn)題出在哪里呢？

   圖2   

 圖3

硬件平臺(tái)多達(dá)16個(gè)CPU核在同時(shí)進(jìn)行并行業(yè)務(wù)處理，對(duì)各CPU核的業(yè)務(wù)調(diào)度與控制尤為重要。在傳統(tǒng)的X86架構(gòu)下的，CPU最多4核，對(duì)CPU核的調(diào)度問(wèn)題并不突出，而在16核情況下，該問(wèn)題便暴露出來(lái)。為攻克此問(wèn)題，啟明星辰集中了研發(fā)體系的所有優(yōu)勢(shì)資源，成立了技術(shù)攻關(guān)小組，并貫穿產(chǎn)品化始終，從挖掘硬件資源、業(yè)務(wù)鎖等多個(gè)方向進(jìn)行優(yōu)化，軟件人員與硬件驅(qū)動(dòng)人員通力配合，共同尋找提高性能的途徑，逐一優(yōu)化，一個(gè)核一個(gè)核的攻。最終，實(shí)現(xiàn)了業(yè)務(wù)性能的線性化增長(zhǎng)。如圖3所示，隨著核數(shù)的增多，性能曲線基本保持線性增長(zhǎng)的態(tài)勢(shì)。

當(dāng)然，在軟件體系架構(gòu)設(shè)計(jì)中遇到的大小問(wèn)題還有很多，如：在持續(xù)引入新的業(yè)務(wù)新特性情況下，如何保證性能不下降？產(chǎn)品的可調(diào)試性等等。最終，啟明星辰依靠研發(fā)技術(shù)優(yōu)勢(shì)，集中攻關(guān)，把這些問(wèn)題逐一解決，實(shí)現(xiàn)了高性能萬(wàn)兆UTM的成功商用。

編者按

就全球應(yīng)用趨勢(shì)來(lái)看，多核UTM已成為客戶在網(wǎng)關(guān)位置安全產(chǎn)品的首要選擇。國(guó)際主流廠家Cisco、Juniper、CheckPoint、WatchGuard、華為等均已全力投入U(xiǎn)TM方向，并且都選擇了Cavium多核作為硬件平臺(tái)，相繼發(fā)布了多核UTM產(chǎn)品。啟明星辰作為中國(guó)UTM市場(chǎng)連續(xù)兩年份額第一的國(guó)內(nèi)廠家，在2007年就選擇了Cavium多核方向投入研發(fā)，并于2008年6月在國(guó)內(nèi)率先發(fā)布了高性能萬(wàn)兆UTM平臺(tái)。截至目前，啟明星辰萬(wàn)兆UTM產(chǎn)品已服務(wù)于多家大型企業(yè)、政府等單位的骨干節(jié)點(diǎn)，為客戶提供高性能的安全業(yè)務(wù)保障。我們看到，隨著啟明星辰天清漢馬萬(wàn)兆UTM的成功應(yīng)用，阻礙UTM發(fā)展的性能瓶頸問(wèn)題已徹底解決，相信中國(guó)UTM市場(chǎng)必將迎來(lái)新一輪的快速增長(zhǎng)。