【51CTO.com 綜合消息】對于企業來說擁有一部內網安全網關能夠很好的解決網絡安全問題，諸如黑客入侵，病毒傳播等行為都可以通過UTM安全網關的相關防護功能有效解決。不過很多企業在使用UTM相關的IPS與防AV功能時存在著使用上的誤區，輕者造成設備負載的增加，相關功能性能的降低；重者直接造成設備死機或防護功能名存實亡。

UTM市場發展現狀

從UTM的行業發展來看，起到重要促進作用的是政府和企業。出于安全防御需求、部署實施和成本預算的綜合考慮，政府和企業對于安全有著“簡單化”的需求，包括選擇部署簡單化、策略實施簡單化、安全防御簡單化、管理維護簡單化。而在運營商、金融、電力等行業，由于網絡統一規劃性比較強，對于UTM抱著觀望態度，尚沒有形成大規模的普遍需求。政府信息化的不斷深入，企業單位對信息安全要求的不斷增加，會推動UTM這一安全網關產品蓬勃發展。

作為安全網關產品族中的新秀，UTM產品已經顯示了其強有力的競爭力。防火墻功能作為UTM中的基本功能之一，在產品表現形式上已經非常成熟，若加上防病毒、入侵防御、內容過濾等功能，UTM產品在功能表現上非常有競爭力。啟用多種安全能力后的性能是UTM的一個軟肋，目前市場中的UTM雖然經過了性能上的不斷優化，在實際使用中也可以滿足普通千兆網絡的需求；但還無法滿足多個千兆接口線速要求的運營級網絡需求。因此總的來看，UTM產品會不斷在應用中取代防火墻產品；但長期來看，UTM與防火墻之間的應用環境是不同的，都會保持各自的空間和用途。

此外，反垃圾郵件網關、防DOS網關、VPN網關等產品與UTM也有著密切的聯系，但由于在本質上存在較大的差別，與UTM產品的關系各不相同。反垃圾郵件功能越來越多的被融入到郵件網關產品中去，作為保護郵件系統的最直接手段；防DOS網關則與路由器等網絡設備結合越來越緊密，用來保護路由器自身和其掌控的網絡資源；VPN網關在繼續保持著相對的獨立，以單獨產品的身份存在，但是在一些簡單VPN需求的場合中也融入到了UTM中。對UTM產品，其主要目的是對網絡資源進行保護，防御威脅，防止網絡濫用，重點在于控制。

UTM面臨的問題

在快速發展并被越來越多用戶認可的同時，UTM也面臨著三個重要挑戰：提高應用層檢測的精度、應對性能下降的挑戰、滿足易用性需求。

深層檢測是優秀UTM的關鍵和基礎。深層檢測包括了全面和精確兩個方面。深層檢測在部分用戶看來是網關防病毒的同義詞，但實際上，深層檢測的真正目的，不僅僅是對病毒的防御，還包括對溢出攻擊、惡意腳本、SQL注入攻擊、P2P應用、網絡游戲等惡意攻擊和網絡濫用行為的檢測及防御。同時，作為部署在網關位置的UTM產品，在進行深層檢測時必須確保不出現誤判，如果深層檢測出現了誤判，那么依據錯誤檢測所做的防御措施會給用戶的正常業務帶來嚴重影響。充分利用過去檢測技術方面的積累，同時加強針對P2P、IM、游戲類軟件的跟蹤和積累UTM解決應用層檢測精度難題最有效的措施。

多數用戶很是坦然“我們的網管員管理的設備過多，對安全產品的配置也不是很了解，UTM產品把那么多功能集成到一起，我們的網管員搞不清楚其中關系，希望你們做得簡單易用，最好把相互關聯的功能配置做成模版，我們只要配置模版就行了！”樸實的話語道出了真正的需求。網關的易用不只體現在管理、維護、配置上，還體現在設備的部署上，對網絡的兼容性上。UTM產品確實需要在產品開發過程中貫徹“易用”這一原則，使產品能夠具有長期的生命力。

作為國內信息安全市場的領軍者，啟明星辰認為“簡單”是安全發展的大勢所趨。啟明星辰天清漢馬一體化安全網關在設備部署、威脅防御、策略實施、管理維護等四大用戶最“頭痛”的關鍵問題上實現了“簡單”。尤其在管理維護方面，實現了“六化”：界面定位快捷化——配置界面三鍵到位率達90％以上；配置操作簡單化——任一配置在兩個界面內完成；安全策略模板化——所有安全服務配置在一個模板上完成；關鍵業務自動化——自動升級、自動報警、自動報表的特點；安全監控方便化——定制化報表、圖形化顯示；集中管理統一化——基于組的集中管理、集中監控、一次配置、整體生效。

SOC多核硬件平臺

隨著啟明星辰本次通過萬兆UTM測評，過去質疑UTM高端應用性能不足的說法已經成為歷史。萬兆UTM出現，無疑會將UTM應用帶入嶄新的時代。那么，萬兆UTM究竟如何才能突破性能瓶頸，滿足高端應用呢？專家告訴記者，滿足萬兆UTM應用的關鍵在于16核多核技術的運用。

UTM產品具有3大技術特點：吞吐密集、運算密集、應用層特性匹配密集。這3大特點對硬件平臺提出了極大的挑戰，也正是基于此，UTM過去飽嘗性能瓶頸之苦，如：在X86架構下，UTM受制于總線帶寬普遍無法實現千兆線速；開啟AV、IPS功能后，CPU占用率大幅升高，整機性能通常下降80％以上。綜合考慮了這些問題之后，啟明星辰經過詳細的技術調研、產品預研，最終選擇了基于Cavium公司16核CPU的硬件平臺承載萬兆UTM應用。單就CPU核數而言，是X86 CPU的4倍以上。并且，Cavium公司OCTEON系列多核芯片，專為UTM等安全產品的應用量身內置了一系列專用硬件，使得最終構建出的產品在性能、穩定性上很容易實現電信級標準。

據介紹，Cavium的16核CPU采用了“軟件硬件化”的設計理念，在CPU片內集成了DFA、包收發模塊等專用硬件，從而提升硬件平臺的整體性能。如圖1所示：

圖1

下面我們從帶寬、收發包模塊、包處理指令集等方面來分別了解一下這一硬件平臺。

高總線帶寬：高達640Gbps的內部總線帶寬，是Intel 4核CPU的6倍！就好像一條是雙向六車道的高速公路，而另一條只是單車道的普通公路，在基礎設施層面便已立分高下。

硬件收發包模塊：芯片內集成了硬件收發包模塊、千兆/萬兆等的線速接口器件，與總線直連，充分保障各業務接口的線速性能，并最大限度地減少了CPU在此方面的開銷。

集成內存控制器：我們知道，傳統X86架構除CPU外，尚需額外的北橋芯片、內存控制器的配合才能實現內存操作，此部分往往成為整個平臺性能提升的瓶頸；而Cavium16核CPU片內集成了內存控制器，且無需額外的北橋芯片，避免了內存操作成為平臺性能提升的瓶頸。

壓縮/解壓縮硬件引擎：AV業務需對進出網關的文件進行病毒掃描，而很多文件是壓縮的、并且是多級壓縮。對此類文件的掃描，必須先將文件解壓縮后再進行與病毒庫文件的匹配運算。X86架構下，此項運算都是由CPU進行的，極耗費資源，文件壓縮/解壓縮成為導致AV性能瓶頸的重要因素。Cavium 16核CPU內置一個專用壓縮/解壓縮硬件引擎，用于AV文件的壓縮/解壓縮操作，極大提高了AV業務的性能，減輕了對CPU資源的消耗。

專用包處理指令集： AV、IPS、上網行為管理等業務主要做的是應用層包處理，運算量大、運算復雜，并且需要進行頻繁的業務調度與切換，只能由CPU進行處理，從而使CPU成為性能提升的瓶頸之一。Cavium 16核CPU創新的在每個CPU核內集成了一個專門針對包處理應用特點而開發的指令集，可通過指令直接進行位域操作、面向字節的操作等，不必再像X86那樣靠多條指令實現一個功能，結合RISC短指令集的效率優勢，運算效率整體提高了3倍。

硬件DFA內容匹配引擎：AV、IPS等業務也是應用層特性密集的業務。某種程度上，UTM的性能就取決于產品對業務特征的匹配速度。X86架構下，CPU既需要進行內容匹配運算，又需要進行設備的控制操作、業務調度等，CPU負荷重并且效率低。Cavium16核CPU針對此應用特點，在片內集成了一個硬件DFA內容匹配引擎，直接對特征數據匹配進行硬件運算，將匹配運算結果交由CPU核進一步處理，這樣就極大提高了內容匹配速度，減輕了對CPU資源的消耗。CPU從此不再成為AV、IPS等業務的處理瓶頸。

多核軟件體系設計

在采訪中我們得知，萬兆多核的軟件架構設計與X86架構下的設計完全不同，無法進行簡單的代碼移植，必須配合硬件平臺進行針對性的設計與優化。啟明星辰為此全新設計了UTM專用的64位操作系統，這也是萬兆UTM產品化過程中工作難度最大、工作量最多的部分。

我們首先遇到的難題就是性能不隨核數增長而線性增長的問題”，啟明星辰的專家告訴記者。

據了解，在采用Cavium多核硬件平臺進行了相應的軟件開發后，啟明星辰在萬兆UTM預研初期，就實現了4核情況下3G的防火墻性能，但在隨后進一步的研究中，發現性能提升似乎到了極限，隨著核數的提升性能并不相應的線性增長。如圖2所示，問題出在哪里呢？

   圖2   

 圖3

硬件平臺多達16個CPU核在同時進行并行業務處理，對各CPU核的業務調度與控制尤為重要。在傳統的X86架構下的，CPU最多4核，對CPU核的調度問題并不突出，而在16核情況下，該問題便暴露出來。為攻克此問題，啟明星辰集中了研發體系的所有優勢資源，成立了技術攻關小組，并貫穿產品化始終，從挖掘硬件資源、業務鎖等多個方向進行優化，軟件人員與硬件驅動人員通力配合，共同尋找提高性能的途徑，逐一優化，一個核一個核的攻。最終，實現了業務性能的線性化增長。如圖3所示，隨著核數的增多，性能曲線基本保持線性增長的態勢。

當然，在軟件體系架構設計中遇到的大小問題還有很多，如：在持續引入新的業務新特性情況下，如何保證性能不下降？產品的可調試性等等。最終，啟明星辰依靠研發技術優勢，集中攻關，把這些問題逐一解決，實現了高性能萬兆UTM的成功商用。

編者按

就全球應用趨勢來看，多核UTM已成為客戶在網關位置安全產品的首要選擇。國際主流廠家Cisco、Juniper、CheckPoint、WatchGuard、華為等均已全力投入UTM方向，并且都選擇了Cavium多核作為硬件平臺，相繼發布了多核UTM產品。啟明星辰作為中國UTM市場連續兩年份額第一的國內廠家，在2007年就選擇了Cavium多核方向投入研發，并于2008年6月在國內率先發布了高性能萬兆UTM平臺。截至目前，啟明星辰萬兆UTM產品已服務于多家大型企業、政府等單位的骨干節點，為客戶提供高性能的安全業務保障。我們看到，隨著啟明星辰天清漢馬萬兆UTM的成功應用，阻礙UTM發展的性能瓶頸問題已徹底解決，相信中國UTM市場必將迎來新一輪的快速增長。