UTM的平衡曲线——浅析统一威胁管理设备性能

　　美国《网络世界》和中国《网络世界》分别在8月底和9月初进行了各自的UTM产品的测试与用户调查，结果显示，目前市场上的UTM产品，在全套安全功能都打开的情况下，遭遇到50%至96%的性能损失。
　　损失：从50%说起
　　UTM的性能损失问题在全世界都不是秘密，根据美国《网络世界》的调查，几乎100%的用户都对UTM性能下降的问题表示关注，其中有近半数的用户对于超过50%的性能下降表示吃惊。
　　回到国内，情况同样不能乐观，一些厂商的100M UTM产品，在单独打开网关防毒功能后，性能下降到8M；如果单独打开IPS功能，性能也接近8M；如果两项功能全部打开，性能下降到6M。有些产品甚至可以到达96%的性能下降。
　　事实上，很多厂商都表示，类似的情况属于正常现象，区别仅仅是下降的幅度而已。深信服的产品经理叶宜斌表示说，由于UTM往往肩负防火墙、网关防病毒、入侵检测、内容过滤等多种功能，因此受制于深度检测与模式匹配的原理，网络层上无法找到流量共性，所以目前市场上主流的UTM产品，大部分都采用X86架构，硬件平台的结构决定了性能下降的必然性。
　　Crossbeam的CEO Peter G. George先生此前在接受记者采访时曾表示，即便是采用FPGA+ASIC+NP架构的高端交换式架构UTM，一样会出现性能下降的表现，只不过幅度较小而已。
　　Juniper的产品经理梁小东表示，目前影响UTM性能最为明显的，就是网关防病毒和入侵检测功能。因为这两项功能必须涉及到对于第七层协议的分析，特别是要逐一对数据包进行检测，因此面对一些基于HTTP的病毒，系统的开销就会相当大。
　　另外，受到市场因素的驱使，很多安全厂家在自身的UTM产品中集成了一些内容过滤的功能。对此，Sonicwall的技术经理蔡永生表示，如果仅仅是对URL进行评估，包括从UTM后台数据库进行评级，看看是阻断还是放行，这种情况不论是设备内置还是旁路到第三方，对CPU的压力都很小。但如果是在UTM里面进行一系列的动态评估，包括对网页、QQ、MSN的内容，那么肯定是相当消耗CPU资源的。
　　除此以外，受制于在每一台UTM里面，主要的系统资源、CPU及存储都是有限的，WatchGuard公司亚太区技术总监叶建辉认为，如果在一个繁忙的网络里面，使用反垃圾邮件等功能较多的时候，再快的CPU也有极限，同样将不可避免地拖慢UTM的整体性能。
　　总而言之，在UTM各个安全功能中，当需要进行大量特征匹配的工作时（包含内容过滤），对性能会有影响。
　　解决：软硬同时开攻
　　为了追求UTM性能下降的幅度最小，各家厂商往往会在技术上进行一定程度的创新。在目前的技术条件下，想要往UTM的线速上靠拢，主要有两种方案：第一，依靠软件的优化；第二，依靠硬件平台与体系结构的更新。
　　联想网御的产品经理王延华表示，目前各家UTM厂商都在进行软件上的优化与算法的更新，力求在做基于内容检测的时候，可以获得的效能。而神州数码网络的产品经理王景辉认为，单纯依靠软件的提升始终有限，更有效的做法是把UTM上所有的功能模块进行深度整合。
　　其实，针对网关防病毒所造成的性能下降问题，是有一定的技术手段可以解决的。像神州数码网络和WatchGuard都采用了良好的UTM多引擎互嵌整合技术。因为传统上如果简单地把功能模块堆叠在一起，让数据包经过防火墙、VPN、病毒检测、垃圾邮件处理，这样一个串行过程会消耗很多资源。合理的方法是把这些功能模块整合到一起，如果进行垃圾邮件过滤，又要进行邮件查毒，那么就先进行垃圾邮件过滤，然后再进行邮件防毒的工作，从而减少很多垃圾邮件中携带病毒对于UTM的性能开销。另外，像VPN也是如此，先查病毒，后进行VPN隧道加解密。目前厂商已经把这种技术做成一种灵活的规则，以便减轻UTM的负担。

　　用户篇

　　面对UTM设备不可避免的性能损失，以及不同规模、不同需求的用户，哪些UTM才是适合的？哪些方案才是可行的？对此，有必要从国内的实际情况进行评估与比较，以便找到适合自身特点的安全产品。
　　面对损失：从需求出发
　　前面说过，UTM的性能损失不可避免，而且往往还相当巨大，那么在还没有全线速产品出来的时候，UTM还能不能用？怎么用？这是需要用户仔细研究的。
　　对用户来说，首先要理解一点，大部分UTM都是面对中小企业市场的。因此如果一家企业只有不到50名的员工，那么往往这类用户的出口带宽都是2M的企业ADSL。事实上，对于这类的小型办公环境，一款100M以下的UTM完全可以胜任。因为即便在开启网关防病毒和入侵检测的情况下，8M的有效吞吐量仍然可以满足要求。对于规模在50人以上，500人以下的企业用户，他们很多会申请专线，不过带宽一般不超过10M。此时，一台200M的UTM也是绰绰有余的。因为即便是功能全开后的性能下降，有效吞吐率也能维持在40M左右。
　　从实际情况看，即便是规模更大的企业，其出口带宽一般也不超过10M，甚至很多企业内网流量也仅在100M左右。对此，蔡永生表示说，企业的应用有别于大学，其流量本身并不复杂。而相对于电信和金融用户的高速度、高独立、高冗余特点，普通的企业用户并非一味求快，而是更加关注应用层安全，而这恰好符合UTM的设计理念。
　　用户需要明确一点：UTM的设计思路始终是把安全放在第一位，只有在安全特性之上，才能谈性能。而梁小东也建议企业用户在选购的时候，可以根据厂商提供的参照表进行选择。
　　事实上，和其他的企业级IT产品一样，UTM的技术寿命一般就是三年，因此用户在使用过程中只要保证三年内的应用满足就可以了。另外，叶宜斌也提醒说，如果用户比较关注网关防病毒和入侵检测，那么必须考虑在用户满容量的情况下，根据厂商的推荐配置，需要性能的相应提高。
　　因为最终的需求取决于用户本身。王景辉解释说，用户如果要保证高速度，同时也要非常高的安全性，那么在选择UTM的时候，需求是需要放大的。但是用户如果对于安全的要求高于对速度的要求，则可以选择性能普通的UTM产品。
　　此外，不少UTM厂商会建议用户在UTM性能达到饱和的时候把产品升级。叶建辉认为，即便是用尽所有UTM安全功能的用户，亦需要按UTM的性能饱和度，适时地把产品升级。
　　四点特殊：用户关注
　　由于UTM的独特功能组和，因此造就了其特殊应用的一面。对此，企业用户必须有一个全面的判断。
　　第一，对于传统上描述的根据“并发用户连接数”来判断UTM的性能并不科学。对此，王景辉解释到，市场中一些不规范的小厂商经常用该数值误导用户。事实上，UTM不同于防火墙，后者建立Session后就不再干预了，可是UTM还要进行深度包检测。因此从目前网络趋势看，特别是P2P应用泛滥的情况下，很可能一个QQ或者Skype用户就可以产生几百个甚至一千个连接，因此仅仅标称支持多少并发用户对于UTM是没有保证的。
　　要评审一款UTM的性能，叶建辉觉得比较科学的方法是以一般用户对不同应用的比例来仿真加压测试（stress test），如按比例加大Email、HTTP、FTP的流量。但每个用户的应用比例都不一样，所以这种测试的结果也不代表对所有用户有用。
　　第二，UTM的单点故障问题。用户需要注意，UTM部署在网关的时候，在一定成度上是存在单点故障隐患的。毕竟大量的功能模块集中在一台设备里，一旦出现问题，网络很可能瘫痪。目前像神州数码网络和WatchGuard都采用了遇到性能瓶颈时的bypass策略。通过对UTM系统参数的监控，一旦发现CPU、内存快到临界点的时候，马上关闭一些消耗较大的功能，可以在一定程度上避免单点故障的问题。
　　第三，内容过滤与内网控制。按理说IDC的定义中并为将其列入UTM的支持范围，不过这两部分在国内用户中的需求非常高，甚至在一定程度上推动了国产UTM厂商与国外厂商竞争的优势。
　　对国内用户的调查显示，很多企业对于内网的P2P和IM软件的应用心存余悸，特别是在学校里尤其明显。因此以深信服和神州数码网络为代表的国产UTM厂商，都在自己的产品中加入了接入层多元素绑定技术，同时开发了针对QQ、BT、MSN、Skype的带宽限制、应用阻挡功能。此外针对邮件、Web的泄密问题，这些UTM还支持基于控件的内容审计、日志记录和邮件延迟审计功能，实现对所有内网监控、控制、审计、提供报表、流量管理，确实满足了国内用户特定的需求。