UTM的平衡曲線——淺析統(tǒng)一威脅管理設(shè)備性能

性能篇
    美國《網(wǎng)絡(luò)世界》和中國《網(wǎng)絡(luò)世界》分別在8月底和9月初進行了各自的UTM產(chǎn)品的測試與用戶調(diào)查，結(jié)果顯示，目前市場上的UTM產(chǎn)品，在全套安全功能都打開的情況下，遭遇到50%至96%的性能損失。
    損失：從50%說起
    UTM的性能損失問題在全世界都不是秘密，根據(jù)美國《網(wǎng)絡(luò)世界》的調(diào)查，幾乎100%的用戶都對UTM性能下降的問題表示關(guān)注，其中有近半數(shù)的用戶對于超過50%的性能下降表示吃驚。
    回到國內(nèi)，情況同樣不能樂觀，一些廠商的100M UTM產(chǎn)品，在單獨打開網(wǎng)關(guān)防毒功能后，性能下降到8M；如果單獨打開IPS功能，性能也接近8M；如果兩項功能全部打開，性能下降到6M。有些產(chǎn)品甚至可以到達96%的性能下降。
    事實上，很多廠商都表示，類似的情況屬于正?，F(xiàn)象，區(qū)別僅僅是下降的幅度而已。深信服的產(chǎn)品經(jīng)理葉宜斌表示說，由于UTM往往肩負防火墻、網(wǎng)關(guān)防病毒、入侵檢測、內(nèi)容過濾等多種功能，因此受制于深度檢測與模式匹配的原理，網(wǎng)絡(luò)層上無法找到流量共性，所以目前市場上主流的UTM產(chǎn)品，大部分都采用X86架構(gòu)，硬件平臺的結(jié)構(gòu)決定了性能下降的必然性。
    Crossbeam的CEO Peter G. George先生此前在接受記者采訪時曾表示，即便是采用FPGA+ASIC+NP架構(gòu)的高端交換式架構(gòu)UTM，一樣會出現(xiàn)性能下降的表現(xiàn)，只不過幅度較小而已。
    Juniper的產(chǎn)品經(jīng)理梁小東表示，目前影響UTM性能最為明顯的，就是網(wǎng)關(guān)防病毒和入侵檢測功能。因為這兩項功能必須涉及到對于第七層協(xié)議的分析，特別是要逐一對數(shù)據(jù)包進行檢測，因此面對一些基于HTTP的病毒，系統(tǒng)的開銷就會相當大。
    另外，受到市場因素的驅(qū)使，很多安全廠家在自身的UTM產(chǎn)品中集成了一些內(nèi)容過濾的功能。對此，Sonicwall的技術(shù)經(jīng)理蔡永生表示，如果僅僅是對URL進行評估，包括從UTM后臺數(shù)據(jù)庫進行評級，看看是阻斷還是放行，這種情況不論是設(shè)備內(nèi)置還是旁路到第三方，對CPU的壓力都很小。但如果是在UTM里面進行一系列的動態(tài)評估，包括對網(wǎng)頁、QQ、MSN的內(nèi)容，那么肯定是相當消耗CPU資源的。
    除此以外，受制于在每一臺UTM里面，主要的系統(tǒng)資源、CPU及存儲都是有限的，WatchGuard公司亞太區(qū)技術(shù)總監(jiān)葉建輝認為，如果在一個繁忙的網(wǎng)絡(luò)里面，使用反垃圾郵件等功能較多的時候，再快的CPU也有極限，同樣將不可避免地拖慢UTM的整體性能。
    總而言之，在UTM各個安全功能中，當需要進行大量特征匹配的工作時（包含內(nèi)容過濾），對性能會有影響。
    解決：軟硬同時開攻
    為了追求UTM性能下降的幅度最小，各家廠商往往會在技術(shù)上進行一定程度的創(chuàng)新。在目前的技術(shù)條件下，想要往UTM的線速上靠攏，主要有兩種方案：第一，依靠軟件的優(yōu)化；第二，依靠硬件平臺與體系結(jié)構(gòu)的更新。
    聯(lián)想網(wǎng)御的產(chǎn)品經(jīng)理王延華表示，目前各家UTM廠商都在進行軟件上的優(yōu)化與算法的更新，力求在做基于內(nèi)容檢測的時候，可以獲得的效能。而神州數(shù)碼網(wǎng)絡(luò)的產(chǎn)品經(jīng)理王景輝認為，單純依靠軟件的提升始終有限，更有效的做法是把UTM上所有的功能模塊進行深度整合。
    其實，針對網(wǎng)關(guān)防病毒所造成的性能下降問題，是有一定的技術(shù)手段可以解決的。像神州數(shù)碼網(wǎng)絡(luò)和WatchGuard都采用了良好的UTM多引擎互嵌整合技術(shù)。因為傳統(tǒng)上如果簡單地把功能模塊堆疊在一起，讓數(shù)據(jù)包經(jīng)過防火墻、VPN、病毒檢測、垃圾郵件處理，這樣一個串行過程會消耗很多資源。合理的方法是把這些功能模塊整合到一起，如果進行垃圾郵件過濾，又要進行郵件查毒，那么就先進行垃圾郵件過濾，然后再進行郵件防毒的工作，從而減少很多垃圾郵件中攜帶病毒對于UTM的性能開銷。另外，像VPN也是如此，先查病毒，后進行VPN隧道加解密。目前廠商已經(jīng)把這種技術(shù)做成一種靈活的規(guī)則，以便減輕UTM的負擔(dān)。
    用戶篇
    面對UTM設(shè)備不可避免的性能損失，以及不同規(guī)模、不同需求的用戶，哪些UTM才是適合的？哪些方案才是可行的？對此，有必要從國內(nèi)的實際情況進行評估與比較，以便找到適合自身特點的安全產(chǎn)品。
    面對損失：從需求出發(fā)
    前面說過，UTM的性能損失不可避免，而且往往還相當巨大，那么在還沒有全線速產(chǎn)品出來的時候，UTM還能不能用？怎么用？這是需要用戶仔細研究的。
    對用戶來說，首先要理解一點，大部分UTM都是面對中小企業(yè)市場的。因此如果一家企業(yè)只有不到50名的員工，那么往往這類用戶的出口帶寬都是2M的企業(yè)ADSL。事實上，對于這類的小型辦公環(huán)境，一款100M以下的UTM完全可以勝任。因為即便在開啟網(wǎng)關(guān)防病毒和入侵檢測的情況下，8M的有效吞吐量仍然可以滿足要求。對于規(guī)模在50人以上，500人以下的企業(yè)用戶，他們很多會申請專線，不過帶寬一般不超過10M。此時，一臺200M的UTM也是綽綽有余的。因為即便是功能全開后的性能下降，有效吞吐率也能維持在40M左右。
    從實際情況看，即便是規(guī)模更大的企業(yè)，其出口帶寬一般也不超過10M，甚至很多企業(yè)內(nèi)網(wǎng)流量也僅在100M左右。對此，蔡永生表示說，企業(yè)的應(yīng)用有別于大學(xué)，其流量本身并不復(fù)雜。而相對于電信和金融用戶的高速度、高獨立、高冗余特點，普通的企業(yè)用戶并非一味求快，而是更加關(guān)注應(yīng)用層安全，而這恰好符合UTM的設(shè)計理念。
    用戶需要明確一點：UTM的設(shè)計思路始終是把安全放在第一位，只有在安全特性之上，才能談性能。而梁小東也建議企業(yè)用戶在選購的時候，可以根據(jù)廠商提供的參照表進行選擇。
    事實上，和其他的企業(yè)級IT產(chǎn)品一樣，UTM的技術(shù)壽命一般就是三年，因此用戶在使用過程中只要保證三年內(nèi)的應(yīng)用滿足就可以了。另外，葉宜斌也提醒說，如果用戶比較關(guān)注網(wǎng)關(guān)防病毒和入侵檢測，那么必須考慮在用戶滿容量的情況下，根據(jù)廠商的推薦配置，需要性能的相應(yīng)提高。
    因為最終的需求取決于用戶本身。王景輝解釋說，用戶如果要保證高速度，同時也要非常高的安全性，那么在選擇UTM的時候，需求是需要放大的。但是用戶如果對于安全的要求高于對速度的要求，則可以選擇性能普通的UTM產(chǎn)品。
    此外，不少UTM廠商會建議用戶在UTM性能達到飽和的時候把產(chǎn)品升級。葉建輝認為，即便是用盡所有UTM安全功能的用戶，亦需要按UTM的性能飽和度，適時地把產(chǎn)品升級。
    四點特殊：用戶關(guān)注
    由于UTM的獨特功能組和，因此造就了其特殊應(yīng)用的一面。對此，企業(yè)用戶必須有一個全面的判斷。
    第一，對于傳統(tǒng)上描述的根據(jù)“并發(fā)用戶連接數(shù)”來判斷UTM的性能并不科學(xué)。對此，王景輝解釋到，市場中一些不規(guī)范的小廠商經(jīng)常用該數(shù)值誤導(dǎo)用戶。事實上，UTM不同于防火墻，后者建立Session后就不再干預(yù)了，可是UTM還要進行深度包檢測。因此從目前網(wǎng)絡(luò)趨勢看，特別是P2P應(yīng)用泛濫的情況下，很可能一個QQ或者Skype用戶就可以產(chǎn)生幾百個甚至一千個連接，因此僅僅標稱支持多少并發(fā)用戶對于UTM是沒有保證的。
    要評審一款UTM的性能，葉建輝覺得比較科學(xué)的方法是以一般用戶對不同應(yīng)用的比例來仿真加壓測試（stress test），如按比例加大Email、HTTP、FTP的流量。但每個用戶的應(yīng)用比例都不一樣，所以這種測試的結(jié)果也不代表對所有用戶有用。
    第二，UTM的單點故障問題。用戶需要注意，UTM部署在網(wǎng)關(guān)的時候，在一定成度上是存在單點故障隱患的。畢竟大量的功能模塊集中在一臺設(shè)備里，一旦出現(xiàn)問題，網(wǎng)絡(luò)很可能癱瘓。目前像神州數(shù)碼網(wǎng)絡(luò)和WatchGuard都采用了遇到性能瓶頸時的bypass策略。通過對UTM系統(tǒng)參數(shù)的監(jiān)控，一旦發(fā)現(xiàn)CPU、內(nèi)存快到臨界點的時候，馬上關(guān)閉一些消耗較大的功能，可以在一定程度上避免單點故障的問題。
    第三，內(nèi)容過濾與內(nèi)網(wǎng)控制。按理說IDC的定義中并為將其列入UTM的支持范圍，不過這兩部分在國內(nèi)用戶中的需求非常高，甚至在一定程度上推動了國產(chǎn)UTM廠商與國外廠商競爭的優(yōu)勢。
    對國內(nèi)用戶的調(diào)查顯示，很多企業(yè)對于內(nèi)網(wǎng)的P2P和IM軟件的應(yīng)用心存余悸，特別是在學(xué)校里尤其明顯。因此以深信服和神州數(shù)碼網(wǎng)絡(luò)為代表的國產(chǎn)UTM廠商，都在自己的產(chǎn)品中加入了接入層多元素綁定技術(shù)，同時開發(fā)了針對QQ、BT、MSN、Skype的帶寬限制、應(yīng)用阻擋功能。此外針對郵件、Web的泄密問題，這些UTM還支持基于控件的內(nèi)容審計、日志記錄和郵件延遲審計功能，實現(xiàn)對所有內(nèi)網(wǎng)監(jiān)控、控制、審計、提供報表、流量管理，確實滿足了國內(nèi)用戶特定的需求。