當(dāng)前位置:工程項(xiàng)目OA系統(tǒng) > 泛普各地 > 遼寧OA系統(tǒng) > 沈陽OA系統(tǒng) > 沈陽OA行業(yè)資訊
統(tǒng)一威脅管理UTM平臺性能提升秘訣
在當(dāng)今局域網(wǎng)和廣域網(wǎng)標(biāo)準(zhǔn)不斷升級的情況下,網(wǎng)絡(luò)安全的性能需求也隨之提升。當(dāng)安全檢測延伸到開放系統(tǒng)互連參考模型(OSI)應(yīng)用層時,系統(tǒng)性能的提升成為瓶頸。在路由器、防火墻發(fā)展的過程中,ASI C技術(shù)證明了可以徹底改善執(zhí)行并發(fā)任務(wù)的進(jìn)程。統(tǒng)一威脅管理(UTM)系統(tǒng)安全平臺在解決功能與性能矛盾時,同樣依靠安全檢測中的硬件加速。本文介紹了典型的高性能UTM系統(tǒng),揭示通過采用ASIC芯片加速實(shí)現(xiàn)線速性能的秘訣。
1 UTM平臺的體系結(jié)構(gòu)
UTM有兩種思路來建造平臺:
第一種是由多個廠商共同搭建的平臺,例如分別為防火墻廠商、入侵防御技術(shù)廠商。每當(dāng)要擴(kuò)充功能時,優(yōu)化性能往往受到限制,難以實(shí)現(xiàn)硬件加速。例如虛擬專網(wǎng)(VPN)、反垃圾郵件和Web過濾,綜合在一起時不可避免會出現(xiàn)多次的數(shù)據(jù)包分解和重組,導(dǎo)致性能上只是復(fù)合的累計(jì)。
第二種是單一廠商的封閉式體系結(jié)構(gòu),它由一個系統(tǒng)從底層往上自然地提供每一種安全功能。這種方法相對難度大,因?yàn)槊恳环N功能必須滿足單獨(dú)的安全產(chǎn)品設(shè)置的標(biāo)準(zhǔn),然而換來的好處也是明顯的:第一,由于廠商擁有自主知識產(chǎn)權(quán)的源代碼,所以在應(yīng)付市場需求而增添新功能時,就取得了性能改善方面的主動權(quán),預(yù)先額外的付出就能得以回報。第二,單一廠家便于集成,便于解決改善性能的問題。影響安全系統(tǒng)升級的癥結(jié)在干性能提升,而性能取決于充分的優(yōu)化,優(yōu)化的方法是減少處理上的冗余,使之避免不必要的分解和重組。第三,用戶希望管理界面是自然統(tǒng)一、便于操作的,而不是將多種軟件的管理界面簡單地羅列在一起。
2 創(chuàng)建高性能的UTM
本文介紹的安全平臺由3個主要部分組成:專用硬件、專用軟件和安全內(nèi)容檢測技術(shù)。通過智能集成,每個單元都要圍繞安全的有效性和性能的可擴(kuò)充性做出貢獻(xiàn)。
2.1專用硬件
專用硬件包括內(nèi)容處理器(CP)和網(wǎng)絡(luò)處理器(NP)。這些處理器與通用處理器(GPU)一起執(zhí)行任務(wù)。
2.1.1內(nèi)容處理器(CP)
內(nèi)容處理器是經(jīng)過定制的處理器,可以實(shí)現(xiàn)將已有的攻擊特征庫與內(nèi)存中的數(shù)據(jù)進(jìn)行匹配。內(nèi)存中目標(biāo)可以是網(wǎng)絡(luò)流量數(shù)據(jù)包,或者是壓縮后文檔中的文件。這些處理器對協(xié)議識別和解析是高度適配的,允許它們從數(shù)據(jù)中快速組合目標(biāo),并對可疑的內(nèi)容進(jìn)行檢測。
為了提供千兆級實(shí)時的應(yīng)用層安全服務(wù)(如防病毒和內(nèi)容過濾)的平臺,專門為網(wǎng)絡(luò)骨干和邊界上高性能內(nèi)容處理設(shè)計(jì)的體系結(jié)構(gòu)是必不可少的。從結(jié)構(gòu)圖可以看出,內(nèi)容處理器并不是設(shè)置在流量中的,當(dāng)通用處理器(GPU)下達(dá)指令時,內(nèi)容處理器自動地執(zhí)行相關(guān)功能。內(nèi)容處理器還能包括加密引擎,在目標(biāo)與“已知”的威脅比對時,能起到加速防病毒和IP技術(shù)。VPN的建立和關(guān)鍵性維持都是系統(tǒng)一個特別重的負(fù)擔(dān),需要大量計(jì)算,內(nèi)容處理器則使GPU免除高密度計(jì)算。
有些人有誤解,以為ASIC是“靜態(tài)”安全檢測,不能適應(yīng)對新產(chǎn)生的威脅的檢測。事實(shí)上,它只是固化掃描邏輯部分。ASIC芯片集成了硬件掃描引擎、硬件加密和實(shí)時內(nèi)容分析處理能力,提供防火墻、加密/解密,特征匹配和啟發(fā)式數(shù)據(jù)包掃描,以及流量整形的加速功能。對付新出現(xiàn)的威脅,只需要升級特征庫文件,這就像軟件解決方案一樣簡單。
2.1.2網(wǎng)絡(luò)處理器(NP)
網(wǎng)絡(luò)處理器是高速執(zhí)行和處理網(wǎng)絡(luò)流量的硬件設(shè)備。它典型地設(shè)置在數(shù)據(jù)通道上(見圖1),自動地處理許多與基于數(shù)據(jù)包通信、一般TCP處理、加密/解密和網(wǎng)絡(luò)地址翻譯(NAT)有關(guān)的任務(wù),以減輕其他系統(tǒng)單元的負(fù)荷。
新一代的網(wǎng)絡(luò)處理器也能執(zhí)行安全檢測并予以處理。如有必要,還可用來調(diào)整數(shù)據(jù)流量。它可以迅速地重組數(shù)據(jù)包,而這個過程是入侵檢測技術(shù)所必需的。某些網(wǎng)絡(luò)處理器還可以編程,以加載當(dāng)前的防火墻和IPS策略來對流量進(jìn)行過濾,在接口級別上實(shí)現(xiàn)過濾異常流量和轉(zhuǎn)發(fā)對延時敏感的數(shù)據(jù)包,卻不需要通用處理器的參與。假如數(shù)據(jù)流直接旁路而沒有經(jīng)過其他模塊的處理,則網(wǎng)絡(luò)處理器需要和通用處理器交互會話表,以維護(hù)系統(tǒng)的信息完整。
由于僅是交互會話信息,而不是實(shí)際的數(shù)據(jù)包,這種處理方式能夠有效地降低系統(tǒng)的負(fù)荷,減少數(shù)據(jù)擁塞,從而提高了設(shè)備的性能。網(wǎng)絡(luò)處理器的目標(biāo)是能線速地處理防火墻吞吐量,在使用任何大小的數(shù)據(jù)包時,使處理流量理想地達(dá)到GB速率,而且對IPSec VPN流量,也同樣能達(dá)到這樣的結(jié)果。
最近,在中檔UTM設(shè)備中也使用上網(wǎng)絡(luò)處理器,是一個引人矚目的趨勢,這體現(xiàn)了技術(shù)儲備和實(shí)力,也是技術(shù)上的一個突破。例如,美國Fortinet公司的新產(chǎn)品FortiGate-310B,它的可貴之處在于中檔產(chǎn)品達(dá)到高端性能,實(shí)現(xiàn)線速防火墻性能。FW/VPN的吞吐性能提高到千兆級水平。其優(yōu)勢還體現(xiàn)在高級別的端口密度,10個千兆以太端口,達(dá)到最低的每端口價格,陡然使性價比上了一大臺階。而此前,ASIC網(wǎng)絡(luò)處理器僅用于高端產(chǎn)品線,即應(yīng)用于大型企業(yè)的高端安全產(chǎn)品,現(xiàn)在卻可以為IT、安全人員比較缺少的中小型企業(yè)擁有,提供整合的網(wǎng)絡(luò)安全服務(wù)一從防火墻、VPN、防病毒直到IPS和安全網(wǎng)絡(luò)分區(qū)。
2.2專用軟件
為了組成一個完整精簡的高性能防火墻和內(nèi)容安全檢測平臺,集成功能離不開專用的強(qiáng)化安全的操作系統(tǒng)?;趦?nèi)容處理模塊的硬件加速,操作系統(tǒng)采用智能排隊(duì)、信息采集共享和管道管理原則,使各種類型流量的處理時間達(dá)到最小,從而給用戶帶來實(shí)時性,有效地實(shí)現(xiàn)了防病毒、防火墻、VPN、反垃圾郵件、IPS等功能。
多重技術(shù)的組合意味著數(shù)據(jù)包或流量處理的冗余操作,所以有必要調(diào)整源代碼。單一廠家的解決方案能夠掌握對整個系統(tǒng)的執(zhí)行過程,避免了大量重復(fù)性工作。比如,如果防火墻模塊保持了狀態(tài)監(jiān)測的信息,那么在IPS模塊里就沒有必要再次重復(fù)類似的工作。另外,大量復(fù)雜的內(nèi)容檢測計(jì)算交給協(xié)處理器處理,通用處理器便可以處理更為有效率的工作,實(shí)現(xiàn)更多的安全功能。
2.3安全內(nèi)容檢測技術(shù)
貫穿于UTM整體的一條主線實(shí)際是高級檢測技術(shù)。先進(jìn)的完全性內(nèi)容保護(hù)(Complete ContentProtection,簡稱CCP)采用了完全內(nèi)容檢測技術(shù),即對0SI網(wǎng)絡(luò)模型所有層次上的網(wǎng)絡(luò)威脅的進(jìn)行實(shí)時保護(hù)。與其他單純檢查包頭或“深度包檢測”的安全技術(shù)不同,它能夠掃描和檢測整個OSI堆棧模型中最新的安全威脅。這種方法比防火墻狀態(tài)檢測(檢查數(shù)據(jù)包頭)和深度包檢測(在狀態(tài)檢測包過濾基礎(chǔ)上提供額外檢查)等技術(shù)先進(jìn)。
CCP的要點(diǎn)是在千兆網(wǎng)絡(luò)環(huán)境中,實(shí)時將網(wǎng)絡(luò)層數(shù)據(jù)負(fù)載重組為應(yīng)用層對象(如文件和文檔),而且重組之后的應(yīng)用層對象可以通過動態(tài)更新病毒和蠕蟲特征來進(jìn)行掃描和分析。采用技術(shù)重組文件和會話信息,需要提供強(qiáng)大的掃描和檢測能力。但只有通過重組,一些最復(fù)雜的混合型威脅才能被發(fā)現(xiàn)。為了補(bǔ)償先進(jìn)檢測技術(shù)帶來的性能延遲,正是使用ASIC芯片,專門為特征掃描、加密/解密和SSL等功能提供硬件加速。C CP可檢測各種威脅,包括不良Web內(nèi)容、垃圾郵件、間諜軟件和網(wǎng)絡(luò)釣魚欺騙等。
3 結(jié)束語
由于網(wǎng)絡(luò)流量和帶寬的增加,安全設(shè)備保持同步發(fā)展變得更為重要。統(tǒng)一威脅管理(UTM)系統(tǒng)安全平臺固然不失為優(yōu)秀的整體解決方案。而在具體實(shí)施辦法中采用ASIC硬件加速,才真正克服了功能與性能的矛盾,為安全系統(tǒng)持續(xù)發(fā)展提供了根本的保障。(萬方數(shù)據(jù))
- 1怎樣在經(jīng)濟(jì)危機(jī)中提升存儲效率?
- 2數(shù)據(jù)歸檔應(yīng)用,一網(wǎng)打盡
- 3首席軟件架構(gòu)師談云端:必須尋找伙伴
- 4存儲虛擬化最佳實(shí)施 路在何方?
- 5數(shù)據(jù)中心冷卻:綠色環(huán)??滩蝗菥?/a>
- 6解讀虛擬世界中的動態(tài)能力規(guī)劃
- 7從IDF2009看服務(wù)器市場風(fēng)云變幻(三)
- 8網(wǎng)絡(luò)安全信息通報實(shí)施辦法6月1日起實(shí)施
- 9從零開始 如何逐步部署數(shù)據(jù)中心虛擬化
- 10現(xiàn)代數(shù)據(jù)中心面臨的四大變革
- 11泛普OA系統(tǒng)各功能運(yùn)行狀況的評估:
- 12OA辦公系統(tǒng)的集成規(guī)劃主要分為工具集成、安全集成
- 13蓋茨預(yù)言成現(xiàn)實(shí):云計(jì)算正改變企業(yè)經(jīng)營方式
- 14如何利用現(xiàn)有設(shè)施部署安全的無線網(wǎng)絡(luò)?
- 15沈陽OA軟件的項(xiàng)目質(zhì)量工期策劃營銷
- 16微軟高管稱開源使其比任何時候都忙?
- 17軟件許可證成為桌面虛擬化發(fā)展瓶頸
- 18企業(yè)建私有云有哪些存儲需求?
- 19數(shù)據(jù)中心設(shè)計(jì)幫助削減IT能源成本
- 20如何提高IT基礎(chǔ)設(shè)施性能
- 21虛擬化HPC:直面七大技術(shù)挑戰(zhàn)
- 22如何利用緩存服務(wù)器來負(fù)載均衡
- 23業(yè)務(wù)為重 BSM重新分配有限的IT資源
- 24企業(yè)信息化:傳統(tǒng)軟件和Saas選那個?
- 25綠色存儲節(jié)能策略 融會貫通的存儲新概念?
- 2630年信息安全發(fā)展歷程的十大里程碑
- 27Web 2.0時代企業(yè)安全風(fēng)險與防治
- 28沈陽OA軟件解決方案帶給客戶的價值?
- 29OA辦公系統(tǒng)在南京XX電子商務(wù)商務(wù)公司得到很好的規(guī)劃和設(shè)計(jì)
- 30刀片服務(wù)器如何走進(jìn)中小企業(yè)應(yīng)用
成都公司:成都市成華區(qū)建設(shè)南路160號1層9號
重慶公司:重慶市江北區(qū)紅旗河溝華創(chuàng)商務(wù)大廈18樓