2.性能优化的硬件支持技术
UTM需要强劲的处理能力和更大容量的内存来支持,消耗的资源必然是很大的,仅利用通用服务器和网络系统要实现应用层处理往往在性能上达不到要求。只有解决功能与性能的矛盾,UTM才能既实现常规的网络级安全(例如防火墙功能),又能在网络界面高速地处理应用级安全功能(例如病毒与蠕虫扫描)。
要提高UTM的性能,硬件体系结构起着十分关键的作用。目前硬件体系结构正经历从Intelx86架构到ASIC架构再到NPU架构的发展过程。国际市场上多数UTM设备主要采用专用ASIC芯片或依靠软件在一般x86微处理器上完成。专用ASIC芯片集成了硬件扫描引擎、硬件加密和实时内容分析处理能力,提供防火墙、加密/解密,特征匹配和启发式数据包扫描,以及流量整形的加速功能,但由于它的开发周期长、成本高,在需要功能扩充时又缺乏灵活性。依靠软件在一般x86微处理器上完成,虽然解决了前者的弊端,但却以牺牲速度性能为代价。NPU具有出色的可编程能力、编程模型简单、系统灵活性好、处理能力强、功能集成度高、编程接口开放、支持第三方开发环境等特点,因此NPU开始被引入到网络设备处理层面,它结合了RISC处理器的低成本、灵活性以及专用硬件(ASIC芯片)的速度等特性,正成为构建网络设备的基本组件。由NPU取代快速通道上的ASIC,慢速通道上仍可采用通用CPU,是一种行之有效的解决性能优化的UTM硬件支持技术方案。
3.安全可信的专用基础平台技术
专用的基础平台——安全操作系统,能够为系统提供精简的、高性能的在线检测与分析平台。基于硬件加速,加上智能排队和管道管理技术,使各种类型流量的处理时间达到最小,从而给用户提供最好的实时系统,有效地实现防病毒、防火墙、VPN、反垃圾邮件、IDS/IPS等功能。
目前国内外多数UTM安全产品的基础平台是通用非安全操作系统。信息安全领域的一个基本共识是:高可靠性和高可信度安全操作系统是构建信息安全基础架构、防范各类安全威胁、保障关键信息系统安全的关键与核心。可见UTM基础平台的可信度至关重要。因此,UTM设备应该建立在专用安全操作系统平台上,结合可信计算机系统等级保护标准和可信计算等新技术进行自主创新。
4.动态多策略和用户定制支持技术
选择可弹性制定安全策略的UTM产品是一种趋势,因为对用户而言,并非一定得在同一时间开启UTM所有的功能,可根据不同的时间需求弹性制定UTM的功能需求,同时又不影响其网络流量和有效地运用其网络资源。
因此,要对用户需求实现差异化策略部署,并支持定制等新技术研究。比如:针对用户在实际中经常遇到的问题,把用户需求划分为效率保障优先、精细化全面防护、灵活应用控制等三个重点方向,对防火墙、VPN等用户对效率要求高的功能,采用硬件、软件加速方式予以保障,而对反垃圾邮件等功能,用户则更看重提供全面防护和精细化的检测。对灰色流量,则采用深度应用协议检测,加上灵活流量控制,实现按照流量带宽、使用者、使用时间等控制方式。
四、结语
从整体上看,中国网络安全产品及服务市场的用户迫切需要整合更多功能的网络安全整体解决方案,以全面保障正常的网络运行与维护,中国网络安全厂商也正在努力实现从产品提供商到整体解决方案提供商的转变,未来中国安全产品市场上网络安全综合管理系统将是一个亮点,而且也是软件行业新经济增长的一大热点。因此,在国家的大力资助下,中国安全企业应迅速在已有成果和技术基础上拓展UTM系统的研发,不失时机地占领国内外市场,产生良好的社会作用和效益。
