UTM性能下降的优化方案

    UTM产品全状态运行时性能会有所下降，这是UTM产品的多功能模块线性工作原理所决定的。早在国家“十五”计划期间的一个“863计划”攻关项目中，中科院计算所和国防大学就研究了高级安全功能对系统资源的占用情况。研究结果显示，在报文预处理、应用协议重组、模式匹配、结果重组、报文还原等多个步骤中，模式匹配所占用的系统资源达50%。对于防病毒、入侵防御、内容过滤、垃圾邮件过滤等高级安全功能而言，每种功能都要经过多个报文处理步骤，其中存在多个重复的模式匹配过程，系统资源被重复占用，导致系统资源利用率下降，系统效率下降可达到单一功能产品的50%。 

    目前各家UTM厂商都在进行硬件芯片和软件上的优化与算法的更新，力求在做基于内容检测的时候，可以获得最优的效能。但是，单纯依靠硬件吞吐量和软件算法的提升始终有限，更有效的做法是把UTM上所有的功能模块进行深度整合。 

   其实，针对网关防病毒所造成的性能下降问题，是有一些技术手段可以解决的。像UTM多检测引擎互嵌技术。因为传统上如果简单地把功能模块堆叠在一起，让数据包经过防火墙、VPN、病毒检测、垃圾邮件处理，这样一个串行处理过程会消耗很多资源。合理的方法是把这些功能模块整合到一起，如果进行垃圾邮件过滤，又要进行邮件查毒，那么就先进行垃圾邮件过滤，然后再进行邮件防毒的工作，从而减少很多垃圾邮件中携带病毒对于UTM的性能开销。另外，像VPN也是如此，先查病毒，后进行VPN隧道加解密。目前LanGate、WatchGuard、神码等都采用此技术。LanGate把这种技术做成一种更加灵活的模块整合规则，以便减轻UTM的性能负担。 
 
    此外，为了进一步降低病毒对于UTM的检测消耗，一种称之为“流检测”（Streaming）的技术正在被越来越多的专业UTM研发厂家使用（非国内的OEM产品）。与传统UTM采用代理技术（Proxy）接管整个连接的方式不同。流检测技术专注在第七层。毕竟不管什么样的病毒，只有当数据包完全接收下来以后才会形成病毒。因此当用户使用HTTP下载或者收邮件的时候，UTM设备可以不采取行动，仅仅利用拷贝机制进行数据复制，同时正常转发数据。一旦最终判断出数据包是病毒，则把最后几个发给用户的包阻止即可。 
 
    例如，使用该技术后LanGate UTM可实现过程查毒功能。其区别是，传统的UTM产品会先查毒，后下载，速度很慢；而支持Streaming技术的LanGate UTM设备允许用户直接开始下载，只是到过程中抽样查包（需要进行流数据的有效截取和拆包），UTM开始查毒。 
 
    利用此技术在UTM设备网关防毒功能开启时，可以提升60%的性能，也就是使防毒功能的性能下降率缩小到30%。目前流检测技术利用Segment和序列号来控制三层数据包。 
 
    除了软件以外，不少厂商也开始在硬件上动脑子。像FortiNet采用ASIC芯片（实际上还是使用x86单CPU架构，只是再CPU的基础上加上ASIC单项加速芯片，如Cavium的VPN加速芯片）。其作用在于加快了单个功能的性能，但总线处理方式还是线性处理。优点是对单个应用很有效，如单VPN或单网页过滤功能，但是对多个功能的混合应用及复杂网络环境，如入侵、病毒与DOS结合的混合式攻击而言，其效率提高并不多。 LanGate UTM采用了多总线、多核CPU的技术。经过《网络世界评测实验室》的实地测试，双核对于UTM的提升已经被证实，且着重体现在分析能力方向，包括提升一定的UTM处理能力。对于CPU去拆解协议和基于特征码扫描的工作，有一定的促进，因为可以降低一部分的延时。同时，总线处理是并行方式，能并行处理多功能并发情况。  
 
     LanGate Dore系列千兆UTM设备（LG4060-LG6260）。 采用多核处理架构(Multi-core Processing Architecture)，每个独立内核处理单个功能模块。同时，通过Cavium专用VPN芯片，广泛支持各种加密算法(DES、AES、ARC4;MD5、SHA-1、HMAC-MAD5、HMAC-SHA-1、RSA、Diffie-Hellman)，可达到线速级别。配置Lannic内容过滤卡，支持硬件解压缩，有效加快AV、IPS、IM/P2P应用过滤。一般而言，加速卡的使用能将单个功能的网络速度提高的接近线速（1000M）的水平。但是如上所述，总线处理方式对全状态下的应用性能更有影响力。 
 
    对于百兆系列的UTM设备，我们认为其网络速度的影响在于出口带宽。目前百兆网络的出口方式为DDN专线或ADSL拨号方式，其带宽在10M到512K不等。而百兆UTM设备的桌面的网口为百兆级别，所以百兆网络的性能瓶颈在于出口带宽。需要注意的是，LanGate UTM加载了卡巴斯基杀毒引擎后会造成一定的延时。这是由于卡巴斯基杀毒引擎的工作原理是线性过滤的原因，造成在初次访问网页的客户端会有明显的延迟（通常2秒左右），但UTM的总性能不会下降。延迟现象随着网页访问量的增多会慢慢消失，因为LanGate UTM的网页缓存（Cache）技术将过滤过的页面放入缓存区，加快用户的网页访问速度。