UTM與單功能產(chǎn)品相比，它所提供的安全防護(hù)功能更為豐富。而由于各廠商所運(yùn)用的技術(shù)不同，即使是相同的功能模塊，所包含的內(nèi)容也并不一樣，僅單一功能項(xiàng)所能實(shí)現(xiàn)的防護(hù)效果就有很大差別，更何況是統(tǒng)一威脅管理設(shè)備這樣一個(gè)綜合多種功能的設(shè)備。而且除了功能設(shè)計(jì)外，產(chǎn)品在啟用眾多功能模塊后的性能表現(xiàn)，以及設(shè)備在管理和使用中的易用性等因素都會(huì)對(duì)安全防護(hù)效果造成直接影響。

Cisco ASA 5520

在實(shí)際的多功能威脅防御性能對(duì)比中，Cisco ASA 5520具有最高的連接建立速度，比最接近的同類產(chǎn)品快四倍以上。

思科系統(tǒng)公司邀請(qǐng)Miercom對(duì)Cisco ASA 5520自適應(yīng)安全設(shè)備與多款同類的、競(jìng)爭(zhēng)性的統(tǒng)一威脅管理(UTM)安全設(shè)備(包括Check Point VPN-1 Pro，F(xiàn)ortinet FortiGateTM 1000, Juniper Networks NetScreen-208TM)進(jìn)行了獨(dú)立的對(duì)比測(cè)試?？疾斓男阅茴I(lǐng)域包括：統(tǒng)一防火墻和IPS吞吐率性能，VPN吞吐率性能，IPS威脅防御能力，以及每秒連接性能。

在啟用所有攻擊/病毒簽名時(shí)的防火墻性能(Mbps)，HTTP對(duì)象的尺寸為16K字節(jié)。

圖一

在使用實(shí)際流量和尺寸為16K字節(jié)的對(duì)象并啟用全部威脅簽名時(shí)，Cisco ASA 5520的吞吐率明顯高于其他同類產(chǎn)品。

天清漢馬USG-2000C

在防病毒性能測(cè)試中，天清漢馬USG-2000C成功建立了模擬文件傳輸?shù)牟l(fā)連接數(shù)47900個(gè)，在最大并發(fā)連接壓力下的平均處理速率為2099.01HTTP連接/秒。以每個(gè)網(wǎng)絡(luò)使用者正常網(wǎng)絡(luò)連接需保持20~50條網(wǎng)絡(luò)連接計(jì)算，USG-2000C產(chǎn)品的防病毒能力可以滿足2000個(gè)左右用戶同時(shí)上網(wǎng)的需求。在反垃圾郵件性能測(cè)試中，USG-2000C可同時(shí)接受85769個(gè)用戶的郵件發(fā)送請(qǐng)求，并且每秒可平均對(duì)493.5封郵件進(jìn)行處理，可以滿足企業(yè)用戶海量郵件處理的需求。

圖二

啟明星辰的天清漢馬USG-2000C型“統(tǒng)一威脅管理”(UTM)產(chǎn)品，在網(wǎng)絡(luò)性能測(cè)試過程中，無論是網(wǎng)絡(luò)層的數(shù)據(jù)包吞吐量測(cè)試，還是在應(yīng)用層連接用戶數(shù)及連接處理速率測(cè)試中，其性能均遠(yuǎn)遠(yuǎn)超過其它品牌的產(chǎn)品。

啟明星辰天清漢馬UTM系列產(chǎn)品采用高性能的硬件架構(gòu)和一體化的軟件設(shè)計(jì)，集防火墻、VPN、網(wǎng)關(guān)防病毒、入侵防御(IPS)、抗拒絕服務(wù)攻擊(Anti-DOS)、WEB 內(nèi)容過濾和反垃圾郵件等多種安全技術(shù)于一身，同時(shí)全面支持QoS、負(fù)載均衡、高可用性(HA)、日志審計(jì)等功能，為網(wǎng)絡(luò)邊界提供了全面實(shí)時(shí)的安全防護(hù)。

啟明星辰UTM的IPS入侵防御功能融入了啟明星辰積累10年的檢測(cè)技術(shù)，能夠?qū)Ω黝惞魧?shí)現(xiàn)精確檢測(cè)與阻斷。其防毒技術(shù)可以對(duì)100000種以上的文件感染病毒、宏病毒、腳本病毒、蠕蟲、木馬、惡意軟件、灰色軟件進(jìn)行檢查。此外，實(shí)用的流量監(jiān)控系統(tǒng)NetFlow可以提供歷史帶寬使用趨勢(shì)分析等實(shí)用工具。

山石網(wǎng)科SA-5050

SA-5050的防病毒引擎支持FTP、HTTP、IMAP4、POP3、SMTP五種協(xié)議，可以對(duì)CRYPTFF、GZIP、HTML、JPEG、MAIL、PE、RAR、RIFF、ZIP等類型的文件進(jìn)行過濾。對(duì)于現(xiàn)實(shí)中大量存在的壓縮文件，防病毒引擎也可以做到最多5層還原檢測(cè)，避免病毒從這種途徑混入內(nèi)部網(wǎng)絡(luò)。

本次測(cè)試采用的測(cè)試儀表為思博倫通信的Avalanche2900，采用雙向共8個(gè)千兆電口的配置。SA-5050采用8個(gè)端口進(jìn)行對(duì)接，分為Trust(4口)與Untrust(4口)兩個(gè)安全域，分別連接測(cè)試儀模擬的客戶端與服務(wù)端。為避免性能受到影響，在測(cè)試時(shí)關(guān)閉了所涉及模塊外的一切功能選項(xiàng)，并采用帶外管理的方式監(jiān)控被測(cè)設(shè)備。

在制訂測(cè)試方案時(shí)，我們進(jìn)行了一系列用戶需求調(diào)查。從反饋信息中了解到，電信運(yùn)營(yíng)商對(duì)性能有著特殊的要求，通常會(huì)采用獨(dú)立的設(shè)備構(gòu)建完整的安全防護(hù)體系。而企業(yè)與高校則是最關(guān)注安全網(wǎng)關(guān)應(yīng)用層防護(hù)能力的兩類用戶，它們的需求十分復(fù)雜，甚至拓展到防病毒以外的其他領(lǐng)域。我們根據(jù)這些信息制訂了兩個(gè)測(cè)試用例，著重模擬企業(yè)與高校用戶的使用環(huán)境，對(duì)SA-5050的應(yīng)用層安全性能進(jìn)行測(cè)試。

圖三

第一個(gè)測(cè)試用例是關(guān)于防病毒性能的基準(zhǔn)測(cè)試，考察設(shè)備在1000條防火墻策略、源端口地址轉(zhuǎn)換模式下，模擬每秒40000個(gè)用戶訪問Web頁(yè)面時(shí)SA-5050實(shí)際能夠達(dá)到的性能。測(cè)試的事務(wù)流程取自大多數(shù)用戶通過瀏覽器訪問網(wǎng)站的完整過程：使用客戶端發(fā)起HTTP 1.1訪問請(qǐng)求，從服務(wù)端獲取一個(gè)64KB大小的頁(yè)面文件，完成后即拆除連接。為防止防火墻模塊對(duì)安全策略進(jìn)行合并等預(yù)處理，我們制定了與模擬客戶端、服務(wù)端處于同一廣播域內(nèi)的跳躍式策略，以保證訪問請(qǐng)求在最后命中。在這項(xiàng)測(cè)試中，SA-5050的吞吐量接近1.9Gbps，表現(xiàn)非常強(qiáng)勁。

第二個(gè)測(cè)試用例則在剛才的基礎(chǔ)上，開啟P2P/IM控制與URL過濾模塊，加載屏蔽BT、eMule、QQ、MSN四種常見應(yīng)用和10個(gè)URL關(guān)鍵字的策略，模擬每秒31000個(gè)用戶訪問Web頁(yè)面。從技術(shù)角度看，這兩類應(yīng)用都涉及應(yīng)用層報(bào)文處理，理論上會(huì)對(duì)性能造成比較大的影響，但從調(diào)查結(jié)果來看，這樣的配置非常具有代表性，更加貼近企業(yè)與高校用戶的實(shí)際需求。測(cè)試結(jié)果顯示，SA-5050在這種環(huán)境下的最大可用帶寬超過1.1Gbps，比預(yù)想值高出不少。我們還發(fā)現(xiàn)，產(chǎn)品在達(dá)到性能極限時(shí)，無論是WebUI還是CLI都保持了正常的響應(yīng)速度，不會(huì)出現(xiàn)常見的“假死”情況。

后記

用戶對(duì)于UTM產(chǎn)品的需求，首先源自在網(wǎng)絡(luò)應(yīng)用中對(duì)不同威脅的防御需要，因而產(chǎn)品在功能設(shè)計(jì)上能否真正起到預(yù)期作用就成了首要考察的內(nèi)容。

UTM要提供綜合防御，對(duì)整個(gè)平臺(tái)的處理能力提出了更高要求，尤其是防惡意軟件、垃圾郵件過濾等針對(duì)內(nèi)容的防護(hù)功能，都有較大的資源消耗。UTM在同時(shí)開啟多項(xiàng)功能引擎后，其性能是否會(huì)形成應(yīng)用瓶頸就成了值得關(guān)注的重要因素。