论坛公告:应用容器安全指南(SP800-190)中文版   美国政府宣布禁用卡巴斯基软件   《中华人民共和国网络安全法》讨论帖   新手报到专用帖   【论坛公告】关于本站广告贴泛滥问题的整理通知   

当前时区为 UTC + 8 小时


发表新帖 回复这个主题  [ 4 篇帖子 ] 
作者 内容
 文章标题 : 最近看到的一篇关于UTM性能的媒体稿子,有点意思。
帖子发表于 : 2009-10-26 16:35 
离线
中级用户

注册: 2009-07-03 13:17
最近: 2012-03-04 11:27
拥有: 1,322.00 安全币

奖励: 69 安全币
在线: 435 点
帖子: 75
专家支招:UTM性能提升的秘决
来源:IT168

UTM设备提供综合的功能和安全的性能,降低了复杂度,也降低了成本,适合企业、服务提供商和中小办公用户的网络环境。UTM设备能为用户定制安全策略,提供灵活性。用户既可以使用UTM 的全部功能,也可酌情使用最需要的某一特定功能。UTM设备能提供全面的管理、报告和日志平台,用户可以统一地管理全部安全特性,包括特征库更新和日志报告等。随着性能的提高,大型企业和服务提供商也可以使用UTM作为优化的整体解决方案的一部分。

Juniper和深信服谈提升UTM性能

Juniper和深信服:为了提升UTM的性能,好的方法是:要优化UTM的硬件结构,加入硬件加速。目前产品的X86架构主要是单总线架构,以后可以引入多总线的并行处理,加快处理能力。多总线还可以配合NP使用,包括多核平台的引入。软件方面也可以改进,但是硬件更有优势。对于这种硬件,UTM更新特别快,做成专用硬件是否升级有问题,还需要验证。特别是攻击在比较复杂的时候,是否合适还需要验证。

联想网御谈提升UTM性能

联想网御:目前解决UTM性能的问题,主要有两种:一是软件算法的更新,完全来做基于内容的检测。另一种是通过ASIC芯片或者FPGA芯片来做。后者通过硬件检测来做,内容处理和内容检测的速度会好。ASIC就是一个引擎,就是用来内容匹配。比如HTTP上的文字内容或者病毒样本,都可以转换成正则表达式去匹配,因此ASIC主要通过匹配来检测内容上是否有非法的东西,如攻击、病毒。目前下一代NP芯片还没有产品化,未来可能成为技术的方向,目前ASIC、FPGA都在比对工作。未来在低端上还是通过纯软件来处理。另一个方向是用多核的技术。目前多核平台是在开发初期,真正成熟的多核平台产品还没有出来。多核平台带来最大的变化是整体性能的提高,高速并发处理。目前UTM厂商使用的Intel、AMD提出的多核技术仅仅用到了80%的功能,大部分UTM的软件现在还不支持。

Network World谈提升UTM性能

美国《Network World》:为了应对UTM的性能损失,厂家一般都在向内容处理器上靠拢,也成为CP或者下一代NP。它属于一个可编程的多内核处理器(6个,8个),有点类似NP。CP可以把很多应用协议硬件化,NP只能在网络层,任何条件可以自己编写。但是CP可以把HTTP、FTP等应用条件都用硬件做,包括常见的协议都用硬件做。属于更加高层次的NP,可以提升10倍以上的性能。明天第五代UTM产品。这个也是属于第三方芯片厂家来做的,安全厂商主要开发上层应用。明年会有很多厂商转到这上面来。

神州数码网络谈提升UTM性能

神州数码网络:网关防病毒,一定要采取一些技术来解决。可以采用多检测引擎互嵌技术;还有一个流检测技术。多检测引擎互嵌技术是说,如果简单把模块堆叠在一起的时候,会经过防火墙、VPN认证、检查病毒、垃圾邮件处理,一个串行处理过程。合理的方法是把模块整合到一起,如果进行垃圾邮件过滤,又要进行邮件查毒,那么就先进行垃圾邮件过滤,然后再进行邮件防毒的工作。VPN也是,先查病毒,在进行VPN加解密。可以把这种技术做成一种灵活的规则,减轻UTM负担。流检测是说,当用户使用HTTP下载或者收邮件的时候,不采用代理技术。

传统代理技术要完全接管连接的整个过程,然后在发给客户端。而神州数码从开始的时候直接把包转发给客户端上,但所有的病毒都是在第七层的,只有完全收下来后才会是病毒。因此UTM只需要把最后几个包不转发给客户端就可以了。也就是说,客户端开始收到了一部分包,但是利用UTM的拷贝技术,UTM进行查毒,发现是病毒,则最后几个包拒绝推给用户。这个是神州数码独有的功能。因此在查病毒的时候速度优势非常明显。通过测试,采用流检测技术后,UTM性能下降仅仅有10几个百分点。最明显的,直接打开一个网页点击另存,别人的产品会先查毒,后下载,速度慢;而我们直接开始下载,只是到最后几个包的时候,UTM开始查毒,因此速度会快90%。基于对协议的了解,要求最后几个包的判断准确。所有数据包在三层传的时候,都要分包分段,神州数码网络利用数据包的Segment和序列号来控制,不发给用户。前面包收下来的时候UTM做拷贝,那个时候做检测没有意义,因为第七层检测的时候三层的包不会被认识。

WatchGuard谈提升UTM性能

WatchGuard:安全行业从前多是采用一种ASIC架构的UTM,主要是加快Firewall的功能、IDS的功能。但是普通的电脑功能,如anti-virus、anti-spamming等,不可以用ASIC来加快,对此,ASIC是没有用处的。WatchGuard设计UTM时,将成本更多投放到general-purpose CPU上,而不是放到ASIC上,这就是我们的general-purpose CPU的UTM架构方向。WatchGuard取General-purpose CPU作为发展UTM的架构,对UTM功能如Gateway Anti-virus, IDS, Anti-Spamming, Anti-Spyware及URL Filtering来说,用General Purpose CPU来架构会比以ASIC能提更有效与更灵活地达成。

后记

UTM是对传统防护手段的整合和升华,是建立在原有安全网关设备基础之上的,拥有防火墙、入侵防御(IPS)、防病毒(AV)、VPN、内容过滤、反垃圾邮件等多种功能,这些技术处理方式仍然是UTM的基础,但这些处理方式不再各自为战,需要在统一的安全策略下相互配合,协同工作。

当然,对于众多的功能,有必备功能和增值功能之分。一般而言,防火墙、VPN、入侵防御、防病毒是必备的功能模块,缺少任何一个不能称之为UTM。其余是增值功能,用户可以根据自身需求进行选择。

站在用户角度,面对的是整个网络、所有业务的安全,整体的安全策略实施是非常重要的。统一的策略实施是使多种安全功能形成合力的关键,各自为战是不能实现整体安全策略的。因此在UTM处理方式中,需要特别考虑策略的协调性、一致性。


回到顶部
 奖励本帖 用户资料  
 
 文章标题 :
帖子发表于 : 2009-10-26 16:40 
离线
中级用户

注册: 2009-07-03 13:17
最近: 2012-03-04 11:27
拥有: 1,322.00 安全币

奖励: 69 安全币
在线: 435 点
帖子: 75
简单整理一下:

Juniper、深信服、联想:硬件加速、多核

神州数码:个人感觉就不是技术人员说的东西。

WatchGuard:“general-purpose CPU的UTM架构方向”是指的坚定不移的走X86之路么?


总的来说,明显这个稿子里面各家估计都不是特别专业的技术人员接受的采访,要么就是记者或者编辑自己发挥了,不少明显的破绽啊。大家来捉虫子玩吧。


回到顶部
 奖励本帖 用户资料  
 
 文章标题 :
帖子发表于 : 2009-10-29 20:35 
离线
超级用户

注册: 2008-09-01 12:50
最近: 2013-04-28 13:28
拥有: 1,314.20 安全币

奖励: 587 安全币
在线: 1742 点
帖子: 400
一切都是浮云~看淡一点,呵呵!
现在的国内厂商提高产品性能的手段就是靠胆量!你敢说你有10Gbps,我就敢吹20Gbps......


--------本帖迄今已累计获得17安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 :
帖子发表于 : 2009-10-30 10:20 
离线
顶级用户

注册: 2007-09-24 12:46
最近: 2015-07-18 17:29
拥有: 4,927.20 安全币

奖励: 2704 安全币
在线: 6552 点
帖子: 707
地址: Beijing,China
媒体或者有些评测机构,只要给钱,啥都敢干。


回到顶部
 奖励本帖 用户资料  
 
显示帖子 :  排序  
发表新帖 回复这个主题  [ 4 篇帖子 ] 

当前时区为 UTC + 8 小时


在线用户

正在浏览此版面的用户:没有注册用户 和 1 位游客


不能 在这个版面发表主题
不能 在这个版面回复主题
不能 在这个版面编辑帖子
不能 在这个版面删除帖子
不能 在这个版面提交附件

前往 :  
cron
华安信达(CISPS.org) ©2003 - 2012