UTM革命——将诸多安全功能发挥到极致

ZDNet软件频道 时间:2009-11-04 作者: | 比特网 我要评论()
本文关键词:防火墙 UTM Windows
随着市场和技术的发展,很多用户发现自己采购的UTM产品很象是瑞士军刀——仅限于单功能使用时才好用。所有功能模块全部启用,UTM设备的性能将大大下降,可用性较差。某些品牌的UTM产品,标称性能只是单项功能打开时的测试数据。一旦功能全开,性能可能会下降一半以上。因此,厂商工程师在实施时善意的建议用户先只开某个功能,以后再逐步打开其他功能的场景屡见不鲜。同时,用户担心性能不够也不敢把全部功能打开使用,最终导致UTM只是名义上作为多功能安全产品购买,实际上只作为单一功能产品使用。

  随着市场和技术的发展,很多用户发现自己采购的UTM产品很象是瑞士军刀——仅限于单功能使用时才好用。所有功能模块全部启用,UTM设备的性能将大大下降,可用性较差。某些品牌的UTM产品,标称性能只是单项功能打开时的测试数据。一旦功能全开,性能可能会下降一半以上。因此,厂商工程师在实施时善意的建议用户先只开某个功能,以后再逐步打开其他功能的场景屡见不鲜。同时,用户担心性能不够也不敢把全部功能打开使用,最终导致UTM只是名义上作为多功能安全产品购买,实际上只作为单一功能产品使用。

  这种情况出现的原因在于,对于第一代出现在市场上的UTM产品而言,集成的防火墙、VPN、防病毒、入侵防护、甚至终端防护等功能实际上只是在设备中做了简单的叠加,一旦开启多功能时,各种功能模块对计算资源的抢夺就直接导致了整体性能的急剧下降。尽管很多厂商也采取了诸如提高硬件配置,甚至采用ASIC硬件加速某些功能的手段,但收效并不显著。

  而另一方面,UTM的用户经过多年的市场洗礼,对于UTM的要求已经日趋理性。目前很多的成熟用户,已经不再全盘接受厂商提供的各项性能参数。而是根据自己的网络需求,搭建测试环境,然后使用标准测试仪对各家的产品进行衡量。最常见的一种情况就是,无视厂商产品标称的连接数、吞吐量等数据,而是在环境中测试产品至少将防火墙+入侵检测+防病毒功能同时打开时的HTTP页面吞吐、FTP吞吐等数据作为选型依据。这样的测试,更符合用户的实用情况,再加上采用Avalanche、IXIA等标准测试设备带来的相对公平,其结果更值得信赖。

  面对着新的市场环境,越来越多的厂商在技术上持续改进,以力求推出满足用户性能使用需求的新一代UTM产品。特别是采用了融合引擎+PSE预检技术+优化匹配技术的新一代UTM产品很好的解决了综合性能问题。

  融合引擎,即在UTM产品内部,不再存在独立的防火墙、入侵防护、防病毒等检测引擎,而是被一个完整的UTM综合检测引擎所取代。事实上,现在防火墙、入侵防护、病毒防护等主要网关防护技术上,是有很大重叠的。采用融合引擎而不是多引擎独立甚至串联工作,可以有效的减少重复检测带来的性能浪费。引擎的融合也必然带来特征库的融合,由此带来的性能提升实际上也相当可观。当然,厂商能够采用融合引擎的前提条件是,厂商对于防火墙、入侵防护、防病毒、VPN以及其他附加功能都有足够的技术投入和积累,特征库可以外购,但是引擎必需自研,或者有源码级的合作伙伴。只有在此基础上,才可能实现完成融合引擎的研发工作。

  在使用融合引擎的前提下,UTM产品还可以通过PSE预检技术和优化匹配技术获得进一步的性能飞跃。

  数据在进入设备后,除协议异常的流量流向异常检测模块外。主要的流量都交给PSE预检引擎。PSE预检引擎能够极高速的分离出清白流量和可疑流量,再将可疑流量交由特征优化匹配引擎进行进一步处理。

  PSE预检技术时一种将现有特征库进行数据抽象,形成体积远小于原特征的PSE库,然后利用这个PSE库的预检来加速网络处理的技术。PSE预检技术利用经过抽象处理的PSE库,所需检测时间不到常规的10%。当网络中可疑流量只占到20%时(这在实际中已经很高了),采用PSE预检处理可以将性能提升高达70%。

  在PSE预检完成后,对于可疑流量再进一步的交给特征优化匹配引擎进行处理。这种优化匹配的技术原理是不断根据处理过的数据包进行状态置位,当这个状态位被置于某个事先定好的值时,则触发相应处理。

  可以类比于警察在高速公路上对过往车辆进行检查,每查完一辆就放行一辆。而匪徒将枪支拆成零件分散在若干辆车中带入。当警察看到某一个零件时,由于无法确定,并不立刻扣留车辆,以免造成交通堵塞,而只是在心里做了个记录。直到检查到后面某辆车的零件时,跟心里的记录比对,发现这些零件能够组合成枪支,才对这辆车予以扣留。尽管前面已经放过了部分零件,但是由于零件不齐,最终无法组合枪支造成破坏。

  比特网采访报道,联想网御采用了融合引擎+PSE预检技术和优化匹配技术后的新一代UTM产品,已经可以做到防火墙+入侵防护+防病毒功能全开,其性能对比单项性能时,下降10%~20%的程度,可以在用户的网络实用过程中,真正的打开全部功能,为用户提供真正的综合防护。

用户评论
用户名
评论内容
发表时间
ZDNet网友
2011-03-18 14:57:01
ZDNet网友
2010-05-21 00:49:14
ZDNet网友
2010-05-21 00:48:00
ZDNet网友
微软应该对自己的用户负责,如果用户完全使用xp升级微软win7,为什么要付出这样麻烦的代价?都是微软出品软件,且都是利用该软件获取信息以及处理文字、多媒体功能,微软应该尽可能方便用户!虽然有时候这样的请求也许跟不上时代技术发展的脚步,但是微软不要以此为借口,认为一切都理所应当,就不可以方便用户。还是要尽力,所谓拿人手短吃人嘴软,商业不正是讲求有商道吗!至少做人需诚实守信,尽可能帮助用户顺利、安全转换操作系统、各种必须软件功能尽可能兼容以及信息尽可能的少丢失!虽然这很大程度仅仅取决于微软等计算机专家、工程师的自我自律约束,我们普通用户恐怕很难知道微软究竟仅了多大力量为用户考虑,但是我相信真相会有被发现的一天,无论多久远。 微软从某种意义上来说,就是一个类似“掌握魔方”操作特别出神入化的公司。几乎奠定了电脑主要的“规则”,但是,我却相信不久将来我们会发现,电脑依然是非常有限的一个小系统而已!随着我们新的关键材料认知突破,电脑系统会真正被另一个革命性新电脑系统所取代,不要以为我这样的说法是无稽之谈不可实现,我却认为很有可能,只看这样的情况发生究竟是快还是慢,是早还是迟!变成历史的小玩具之后的电脑系统,微软会留下良好的历史声名吗?我们拭目以待! 网友::我爱佛祖
2010-02-03 13:52:55
- 发表评论 -
匿名
注册用户

百度大联盟认证黄金会员Copyright© 1997- CNET Networks 版权所有。 ZDNet 是CNET Networks公司注册服务商标。
中华人民共和国电信与信息服务业务经营许可证编号:京ICP证010391号 京ICP备09041801号-159
京公网安备:1101082134