多核让UTM大面积应用于行业成为可能       【IT168资讯】自从统一威胁管理（United Threat Management, 简称UTM ）诞生之日起，此类产品的适用防范就成为争论的焦点。主要观点之争在于UTM能否满足大型行业用户的需要；甚至一些业内专家直接断言，UTM就是给中小企业用户使用的产品。       实际上无论是中小企业还是大型行业用户在信息安全需求上是没有本质区别的，而哪类用户适合使用UTM的争论只是一个表面现象，这个问题的实质是UTM在多种功能全开的状况下，产品性能能否满足大型行业用户需求，即UTM产品功能多样性与高效能之间的矛盾。       2004年9月IDC将防病毒、入侵检测和防火墙安全设备命名为统一威胁管理它是由硬件、软件和网络技术组成的具有专门用途的设备，它主要提供一项或多项安全功能。 它将多种安全特性集成于一个硬设备里, 构成一个标准的统一管理平台。UTM设备应该具备的基本功能包括网络防火墙、网络入侵检测／防御和网关防病毒功能。从此，引起安全业界的广泛关注。2005年，UTM开始为用户所关注。UTM实际是集成了防火墙、防病毒、入侵检测等多种功能的安全网关设备，是一个基础性安全解决方案。       这几项功能并不一定要同时都得到使用，不过它们应该是UTM设备自身固有的功能。UTM安全设备也可能包括其它特性，例如安全管理、日志、策略管理、服务质量（QoS）、负载均衡、高可用性（HA）和报告带宽管理等。不过，其它特性通常都是为主要的安全功能服务的。       自UTM问世之日起，好像就被业界将其与中小企业用户紧密联系起来，甚至是有种说法：UTM的安全防护的多功能性导致设备效能衰减剧烈，不适用于大型行业用户适用。也正是这种说法致使很多对UTM产品青睐不已的大型用户犹豫观望。       业内还流传着另一种说法——UTM虽然具有多功能性，但仅这种单一设备放置网关处，容易形成单点故障。加之大型企业对信息化依赖性越来越强，因此UTM不适用于此类客户——其实质同前面提到的观点十分类似，只不过更为细化。 UTM仅能用于中小企业吗？       难道UTM真的只能满足中小企业用户需求吗，其产品性能与大型行业用户的需求相差很远吗？“不尽然，”SonicWALL中国区技术经理蔡永生直接对上述观点持否定态度，“就我们从国外市场获取的经验看，很多大型甚至是超大规模企业同样可以享受UTM的服务。与UTM设备相关的软硬件技术发展到今天，完全可以满足众多大型企业在百兆数量级对网络流量的需求。此外，大企业的各个部门之间，如财务部和工程部之间也可以用UTM设备隔离，UTM不仅保护从互联网过来的安区威胁，同样可以防护企业各个部门之间的病毒和入侵的扩散。基于用户范围的广泛性，SonicWALL全系列产品线中的不同产品既可满足几个人的小型办公室，也适用于上万人的大型企业；而且是用户负担得起的UTM解决方案。”       SonicWALL的观点是，UTM在大企业的应用是可行的。原因有二：第一，一般来讲，企业规模可能很大，但是从SonicWALL的经验看，企业用户的业务数据流量并不是很大。与大学不同，大学的网络流量非常的大，什么流量都有，下电影，浏览等等。 企业用户一般很少有超过100Mbps 带宽的，很多规模很大的企业也仅仅是几十兆带宽。在这样的流量下，目前的UTM产品可以满足。第二，随着UTM技术和软硬件的发展，新的UTM产品会出现，UTM产品的性能很快会有质的飞跃。比如，千兆线速的产品即将出现。就某些案例看，目前国内的一些大型企业用户，有数十个分支的，总部和分支都用SOnicWALL UTM设备建立VPN隧道，这个企业有几万人，但是其生产和财务网络的数据流量并不是很大，因此采用中低端的SonicWALL的UTM产品都可以满足，甚至不用SonicWALL的中高端产品。       业内资深安全专家吴海涛先生认为UTM在大企业有以下三个方向的应用： 大企业的分支机构 它的需求特点在于，对功能要求较多，需要的功能会向集团总公司的一样全面；远程连接VPN要求较高；但是相对于性能方面的要求会较低。 关键部门的应用 比如财务部门，对认证的需要。 针对的大企业解决方案 即网关与内网连动。将UTM变成内网的强制认证。       他提出了大UTM的概念。他认为UTM独立完成大企业的负载，在理论上可行的。每个厂家都可以提出自己的技术框架，但是市场上还没有出现成功的完整案例。而以上三个方向的应用已经开始起步。大型企业和行业用户可能不会去购买一个UTM产品的全部功能模块，但完全有可能购买其中一个或几个功能，比如内容过滤、网关防病毒等等模块并在整个企业网范围进行部署。安氏领信最近一个UTM产品案例就是某大型行业用户，跨广域网在总部和各分支机构之间部署了几十套领信UTM产品，并取得良好的安全防护效果，用户对此也很满意。 UTM特性更符合大企业安全需求       IDC在《中国IT安全市场分析与预测，2007》中显示，“统一威胁管理硬件市场在2007 年的增长非常迅猛，全年同比增长87.6%，其中下半年同比增长105.4%，是2007 年下半年增长速度最快的安全子市场。”       去年，Juniper网络公布该公司发起的一项调研结果，中国网络在2005年遭受到的攻击包括：病毒和蠕虫攻击、间谍软件和恶意软件攻击、非预谋内部攻击、黑客攻击、拒绝服务（DoS）和分布式拒绝服务（DDoS）攻击。其中63%被调研的中国企业中有在2005年受到了病毒或蠕虫攻击，而受到了间谍软件和恶意软件攻击的公司达到41%。       预计，针对中国企业网的攻击在近期将不会减弱。超过半数的被调查者都认为今年会有更多的病毒和蠕虫攻击。网络攻击的频率已经上升到每小时数以千万计，静态技术无法提供足够的安全性。UTM一定是将来的发展趋势，安全管理是主要推动要素。UTM的使用简化了安全部署，势必降低企业的维护运营成本。大型企业用户可能先要使用部分功能，以渐进的方式逐渐替代原有单一安全产品。       SonicWALL公司研制生产了从入门级直到最高级的全线防火墙产品，从而使UTM防护能够尽可能广泛地得到应用，同时使所有规模的企业都能够保证业务安全进行。”和凹凸科技的产品定位类似，卫士通的UTM产品也是面向大型企业网络和电信运营商等大型、超大型网络而设计的全千兆线速设备。       一体化的设计简化了产品选择、集成和支持服务的工作量，简单的放置、方便的安装降低了复杂性和管理维护成本。设备的即插即用使安装和维护更加快捷，避免了软件安装工作和服务器的增加。当硬件设备安装在企业没有专业安全管理人员的远程地点，由于设备可以很容易的安装并通过远程遥控来管理它，这种管理方式可以很好的和已安装的大型集中式的软件防火墙协同工作。安全设备的“黑盒子”设计限制了用户危险操作的可能，降低了误操作隐患，提高了安全性。更容易的排错，即使是一个非专业人员也可以很容易的用另外一台设备替换它，使网络尽快恢复正常。这项特性对于那些没有专职技术人员的远程办公室显得尤为重要。 UTM在大企业中的应用，任重而道远       一直以来，“UTM硬件架构的差异化”和“性能衰减与应用匹配”问题已经成为用户关心的热点。根据美国《Network World》的调查，几乎100%的用户都对UTM性能下降的问题表示关注，其中有近半数的用户对于超过50%的性能下降表示吃惊。       美国《网络世界》曾进行了UTM产品的测试与用户调查。结果显示，目前市场上的UTM产品，在全部安全功能都打开的情况下，会遭遇到50%至96%的性能损失。一些厂商的100M UTM产品，在单独打开网关防毒功能后，性能下降到8M；如果单独打开IPS功能，性能也接近8M；如果两项功能全部打开，性能下降到6M。有些产品甚至可以到达96%的性能下降。 网关防病毒和入侵检测功能，这两项功能必须涉及到对于第七层协议的分析，特别是要逐一对数据包进行检测。因此面对一些基于HTTP的病毒，对系统资源的消耗极大，因而对UTM性能的影响最为明显。 为了满足市场对内容过滤的功能的需求，很多安全厂家在自身的UTM产品中集成了一些内容过滤的功能。如果仅仅是对URL进行评估，包括从UTM后台数据库进行评级，看看是阻断还是放行，这种情况不论是设备内置还是旁路到第三方，对CPU的压力都很小。在UTM里面进行一系列的动态评估，包括对网页、QQ、MSN的内容进行审查，那么肯定是相当消耗CPU资源的。 在一个繁忙的网络里面，较多地使用反垃圾邮件等功能的时候，再快的CPU也有极限，同样将不可避免地拖慢UTM的整体性能。       总而言之，由于UTM往往肩负防火墙、网关防病毒、入侵检测、内容过滤等多种功能，因此受制于深度检测与模式匹配的原理，网络层上无法找到流量共性。在UTM各个安全功能中，当需要进行大量特征匹配的工作时（包含内容过滤），对性能会有较大影响。 多核等新技术出现带来新希望       如何最大程度地减少UTM性能下降的幅度呢？大致方法分为两种，一种是软件优化，另一种则是硬件更新。       依靠软件的优化与算法的更新，力求在做基于内容检测的时候，可以获得最优的效能。据某厂商介绍，对网关防病毒环节，UTM采用多检测引擎互嵌技术可提升性能。改变原有的简单地把功能模块堆叠在一起，让数据包经过防火墙、VPN、病毒检测、垃圾邮件处理，这样一个串行处理过程会消耗很多资源。合理的方法是把这些功能模块整合到一起，比如先进行垃圾邮件过滤，然后再进行邮件防毒的工作，从而减少很多垃圾邮件中携带病毒对于UTM的性能开销。先查病毒，后进行VPN隧道加解密。目前厂商已经把这种技术做成一种灵活的规则，以便减轻UTM的性能负担。       通过ILS（智能分层安全）技术，确保UTM将所有功能整合到一个系统里面，可以实现安全应用的优化，从而更加快速地判断哪些数据包需要详细检查，哪些可以简单放过。       为了进一步降低病毒检测对UTM资源的消耗，一种专注在第七层，称之为“流检测”的技术应运而生。毕竟不管什么样的病毒，都是在数据包完全接收下来以后会形成的。支持流检测的UTM设备允许用户直接开始下载，UTM设备可以不采取行动，仅仅利用拷贝机制进行数据复制，同时正常转发数据。只是到最后几个包的时候，UTM开始查毒，一旦最终判断出数据包是病毒，则把最后几个发给用户的包阻止即可。利用此技术在UTM设备网关防毒功能开启时，可以提升90%的性能。目前流检测技术利用Segment和序列号来控制三层数据包，因此实现非常简单。       硬件上采用了多总线、多核CPU的技术对于提升UTM分析能力、处理能力等性能有很大改善。经“网络世界评测实验室”的实地测试，多核对于CPU去拆解协议和基于特征码扫描的工作，可以降低一部分的延时（Juniper和深信服）虽然目前完全发挥出多核平台优势的UTM产品刚刚在市场上出现，特别是现有UTM软件对于多核平台的支持还比较普通，其高速并发处理的特性还有待于进一步挖掘。据悉目前UTM厂商采用的Intel、AMD多核芯片，仅仅用到了其80%的功能，在实际应用上还有提高的潜力。       此外，专业级安全多核新品开始被采用。目前像SonicWALL公司已经推出了相关产品。据该公司蔡永生介绍，“多核处理器的设计和实现也展示了其高效性。例如，在SonicWALL多核产品中，这些处理器集成了大量专用的硬件加速，允许在单个处理器上集成多达16个核，从而可提供最佳的性能。多核处理器技术让SonicWALL能够开发出高性能的网络安全设备，这种设备与使用通用处理器和安全协作处理器的解决方案相比可减少大约30%的功耗，而网速相差无几。SonicWALL多核处理器设备最多可采用16个内核（还为未来的重复利用设计了更多的内核空间），提供高性能并行数据包处理，集成了正常操作过程中具有较低功耗和低时频运行的安全协作处理器。多核技术无疑大大提升了产品的性能，使其产品应用范围相应扩大许多。”       启明星辰注意到，在高校、大企业、电信运营商等行业，用户对UTM也非常感兴趣，从功能的专业性而言完全可以满足这些行业用户的需求，但采购不踊跃，根本原因还是在于性能不足。如例如对于高校用户，校园园区网之间往往是多个千兆甚至10G的链路，实际带宽通常是几个G，很大部分是P2P下载、病毒等流量，需要病毒、P2P控制等高级安全功能，但由于以前的设备不具备如此高的性能，用户只能放弃采用。今年5月28日，启明星辰宣布推出了万兆多核UTM平台，该平台基于Cavium多核技术实现了防火墙和IPS等功能，最高防火墙性能为25.4Gbps，最高IPS性能为11.74Gbps，均达到了万兆的水平。这无疑为大型行业应用打下了坚实的技术基础。 唤醒大象-瞻博J-TECH大会挖掘网络更大价值       2008 J-TECH本该是一次IP领域的技术盛会，但几乎所有的演讲者都是“不讲技术，只谈如何让网络更赚钱”，即便是瞻博(Juniper)网络公司杰出工程师KireetiKompella这样的技术领袖也不例外。       “大家总爱谈论以太网技术，但却往往忽视了为什么要建这样一张网络。”KireetiKompella将网络比喻为大象，在现有的商业模式之下，网络就如同一只沉睡的大象，单凭某种技术很难使其发挥出更大的价值，而惟一能够唤醒它的，就商业模式的创新。作为网络基础设备供应商，瞻博所要做的就是让自己的技术和产品能够服务于新的商业模式。       “通过创新商业模式，深入挖掘网络的价值。”——瞻博在2008J-TECH上向业界传递了这样的声音，并阐述了其围绕这一理念所进行的一系列战略布局，包括在操作系统JONUS中加入开发工具、引入策略控制和身份认证，以及不断改进IP/MPLS技术，降低网络的运维成本等。 创新商业模式让网络更赚钱       “当语音业务已经成为最不重要的业务时，我们应该如何让网络更赚钱？”瞻博全球战略和规划副总裁JudyBeningson女士一开场就提出了这样的质疑。       “在过去很长一段时间内，由于没有清晰的商业模式出现，网络很难发挥出更大的价值。而如果要改变这种现状，一定需要商业模式的创新。”JudyBeningson认为。“运营商必须意识到，内容服务商不是敌人，二者需要合作，开发更多赚钱的业务，实现共赢。”       瞻博将基于网络的商业模式分为三种：一是公用设施模式；二是内容创造、服务及开发模式；三是分布式模式。其中，第二种需要网络提供商和内容服务商合作。例如Google今年第一季度的利润达到30亿美元，而与其合作的AOL等内容供应商分享了其中的三分之一；第三种则是在连接性服务的基础上，提供一些应用。       据介绍，针对新的商业模式，瞻博已经开始与用户合作，在提高产品的安全性和可靠性、降低网络成本，以及灵活提供业务方面进行了大量研究。       JudyBeningson认为，“未来网络需要同时支持不同的商业模式。”为此，瞻博在统一的操作系统JUNOS中加入了开发工具，可以让用户按照自己的想法管理网络，例如，用不同的方式设置路由；此外，瞻博还引入了策略控制和身份认证等管理功能。 好的体验提升网络价值       “网络服务的质量总是跟不上发展的需要，这影响了网络的价值。内容服务商很难让用户享受到高质量的体验，因为在播放视频时总会卡壳。”       瞻博网络公司亚太区首席技术官MattKolon认为，好的体验是网络的价值的关键所在。“低于10毫秒时延的视频会议很有吸引力，也会带来可观的收益，但运营商需要为能够带来高收益的业务提供高质量的服务保障，对于一般的连接性业务要做到尽力而为即可。而要做到这点，网络需要区分不同的业务——知道是什么人在做什么，并为不同的应用提供不同等级的服务质量保证。” 在MattKolon看来，未来的网络应该具备以下四点特征：       首先，网络需要保证连接性。足够的带宽可以给用户带来良好的体验，但P2P应用消耗了大量带宽，因此不能完全依靠带宽解决问题。运营商必须能够区分业务，提供不同的带宽保证。其次，网络需要能够提供差异化的服务，利用身份信息、计费信息创造价值，提供针对性的服务。第三，网络需要能够通过控制策略，实现对不同应用的管理。第四，开放网络层设备的操作系统，以便让更多合作者参与，开发更多的应用。       MattKolon表示，针对以上四点，瞻博做了很多工作。为了让产品适应不断变化的需求，瞻博不但注重提升设备的性能，更坚持开放的原则，与各个领域的领导厂商积极合作，不断丰富设备的功能，其在年初发布的EX系列产品已经能够满足统一通信的要求。       据介绍，瞻博正在推进一项名为“开放服务创作项目”的计划，微软、宝利通、Avaya等厂商都是这个计划中的合作伙伴，其合作领域涉及在线游戏、视频会议及统一通信等方面。 掌握MPLS就是掌握未来       当前，网络正在从TDM技术朝着分组传输的方向发展，所有业务都将统一承载到一个网络层面之上。尽管当前业界对于应该用什么技术实现这个网络层存在多种选择，但在瞻博网络公司杰出工程师KireetiKompella看来，IP/MPLS技术无疑是最佳的选择。       KireetiKompella将承载业务的网络层称之为“魔幻层”(magiclayer)，“在传统的商业模式之下，网络的业务层和传输层是分离的，但在新的商业模式下，业务层和传输层的融合趋势已经非常明显，而最好的方法是采用IP/MPLS技术构建这个‘魔幻层’，统一承载所有业务。”       在他看来，尽管目前除IP/MPLS以外，还涌现了PBT(PBB-TE)、T-MPLS等分组传输技术，业界也提出用这些技术来取代MPLS技术。但实际上，这些技术与MPLS只是实现手段不同，在本质上没有太多的区别。“PBB-TE在控制层面的思想和MPLS是一致的，T-MPLS在数据层面以及OAM层面和MPLS也没有太大区别，而IP/MPLS技术在网络上已经受住了时间的考验。”因此KireetiKompella认为，IP/MPLS技术是最佳的分组传输技术。       针对MPLS技术的复杂性会增加运营商运营网络成本的质疑，KireetiKompella阐述了自己的观点，“人们之所以觉得MPLS技术复杂，往往是因为将业务和传输放在一起考虑，而实际上，传输层面的MPLS技术很简单，业务层面的MPLS应用技术则比较复杂。”为了降低MPLS使用上的复杂度，瞻博开发出即插即用的MPLS技术，这将在很大程度上降低MPLS的运维成本，而KireetiKompella本人就是这项技术的发明者。       “尽管业务与传输融合的趋势已经非常明显，但运营商在使用MPLS技术时，需要将传输人员和业务人员分开，由专门负责业务的人员，针对不同的需求开发产品。”KireetiKompella认为，在需求比较明确的情况下，针对性的使用MPLS技术，会降低网络的部署成本和运维成本。作为MPLS领域的技术领导者，KireetiKompella坚信：“谁能掌握低成本的MPLS技术，谁就拥有未来。” Radware与Juniper缔结联盟 共筑安全       近日，全球领先的智能网络集成应用解决方案供应商Radware（NASDAQ：RDWR）宣布加入Juniper Networks J-Partner方案联盟计划。Radware AppDirector应用交付控制器与Juniper Networks Secure Access SSL VPN及统一存取控制 (United Access Control，简称UAC) 方案的协同性，为客户提供更全面的应用交付方案。       Juniper Networks全球联盟及渠道发展总监Doug Erickson表示：“ Juniper与Radware这样的合作伙伴携手为客户提供所需的高性能网络方案。我们期待为客户及合作伙伴提供具备高可用性、最佳效能及更全面安全性能的解决方案。”       Juniper的高性能架构能够在单一网络中，提供快捷、可靠及安全的服务与应用存取。Radware AppDirector应用交付控制器则为客户提供最有效利用信息科技投资所需的延展性及效能，以确保毋须牺牲生产力。通过结合双方独特的优势，联合方案为客户提供了以应用为本的网络，着重应用可用性、优化终端用户的响应时间与生产力，以及绝对安全的应用交付架构。       Radware环球业务发展副总裁Yossi Vardi表示：“我们很高兴有机会与高性能网络的市场领导者缔结联盟。我们的联合方案可以迎合客户对于可用性、效能表现及安全性能的要求，为客户的未来发展提供了一个延展性及成本效益兼备，且又能全面保障投资的方案。” 华尔街认为EX交换机是Juniper成功的关键       华尔街分析师称，如果要实现盈利预期，Juniper Networks在向企业销售网络设备方面还有一些工作要做。据两家金融公司最近发表的研究报告称，虽然Juniper Networks整体经营很好，但是，投资者期待的这种增长主要取决于销售更多的企业网络设备。考虑到目前的竞争情况，这并不是一个轻松的任务。       Lazard Capital Markets公司发表的一篇报告称，Juniper在企业网络市场的份额与思科的市场份额相比是很小的。思科不仅拥有企业网络市场的大部分份额，而且以广泛的网络产品组合拥有网络生态系统的许多份额。       UBS Warburg的研究报告称，Juniper可以炫耀的产品有企业路由器、网络安全、广域网优化设备以及网络接入控制架构。但是，Juniper关键的产品是它在今年1月份发布的EX企业交换机。       UBS Warburg的报告称，向企业客户销售的成功主要取决于其EX交换机的流行程度。虽然早期需要关键的投资推动EX交换机的大规模应用，但是，从长远看，一个执行良好的交换机战略有助于Juniper保持20%以上的高速增长率和提高经营利润率。       Lazard的报告题目是《企业计划拥有潜力，执行是关键》。这篇报告称，Juniper的企业业务是“勉强盈利的”。要实现利润增长的目标必须要坚持严格的政策。我们认为，Juniper有潜力成为替代思科的一个有意义的厂商，并且能够显著提高在企业市场中的市场份额。       Lazard的报告继续说，Juniper能够在企业市场取得进步。但是，问题是它是否能够显著削弱成功的竞争对手，特别是占企业市场三分之二以上的思科。然而，我们怀疑思科将允许Juniper不经过竞争在其利润丰厚的市场自由漫游。       Juniper不可小看，因为它在1997年创建以来已经成功地夺走了思科三分之一的运营商级路由业务。虽然这个成功已经开始下降，但是，现在看起来似乎再一次增强了。在过去的两年里在核心和边缘路由市场的占有率稍微下降之后，Juniper在重新进行投资和最近推出新产品之后，市场份额已经显示了稳定的迹象。       Lazard和UBS Warburg这两家研究公司都相信Juniper能够巩固向服务提供商的销售，并且在未来的一两年里销售收入继续保持稳定。这种情况本身不能产生投资者希望从目前每股大约28美元的水平继续推高股价所需要的销售收入。UBS Warburg的报告称，我们继续认为Juniper的运营商路由器周期在2008年仍是稳定的。但是，要使Juniper的股票交易价格达到30每元以上，我们认为还须更令人信服地在企业局域网交换机业务方面取得真正的成功。       Lazard的报告指出，Juniper的销售收入有75%来自于运营商业务。Juniper预计能够继续在这个市场取得成功。带宽需求的增长将推动下一代网络的建设。Juniper应该从中受益。       点击此处加入我们，以便能及时获得最新渠道和产品资讯。