亚洲成精品动漫久久精久,九九在线精品视频播放,黄色成人免费观看,三级成人影院,久碰久,四虎成人欧美精品在永久在线

掃一掃
關注微信公眾號

業界廠商談UTM在企業安全中性能的提升
2010-07-13   網絡

UTM設備提供綜合的功能和安全的性能,降低了復雜度,也降低了成本,適合企業、服務提供商和中小辦公用戶的網絡 環境。UTM設備能為用戶定制安全策略,提供靈活性。用戶既可以使用UTM 的全部功能,也可酌情使用最需要的某一特定功能。UTM設備能提供全面的管理、報告和日志平臺,用戶可以統一地管理全部安全特性,包括特征庫更新和日志報 告等。隨著性能的提高,大型企業和服務提供商也可以使用UTM作為優化的整體解決方案的一部分。    

Juniper和深信服談提升UTM性能

Juniper和深信服:為了提升UTM的性能,好的方法是:要優化UTM的硬件結構,加入硬件加速。目前產品的 X86架構主要是單總線架構,以后可以引入多總線的并行處理,加快處理能力。多總線還可以配合NP使用,包括多核平臺的引入。軟件方面也可以改進,但是硬 件更有優勢。對于這種硬件,UTM更新特別快,做成專用硬件是否升級有問題,還需要驗證。特別是攻擊在比較復雜的時候,是否合適還需要驗證。

聯想網御談提升UTM性能

聯想網御:目前解決UTM性能的問題,主要有兩種:一是軟件算法的更新,完全來做基于內容的檢測。另一種是通過 ASIC芯片或者FPGA芯片來做。后者通過硬件檢測來做,內容處理和內容檢測的速度會好。ASIC就是一個引擎,就是用來內容匹配。比如HTTP上的文 字內容或者病毒樣本,都可以轉換成正則表達式去匹配,因此ASIC主要通過匹配來檢測內容上是否有非法的東西,如攻擊、病毒。目前下一代NP芯片還沒有產 品化,未來可能成為技術的方向,目前ASIC、FPGA都在比對工作。未來在低端上還是通過純軟件來處理。另一個方向是用多核的技術。目前多核平臺是在開 發初期,真正成熟的多核平臺產品還沒有出來。多核平臺帶來最大的變化是整體性能的提高,高速并發處理。目前UTM廠商使用的Intel、AMD提出的多核 技術僅僅用到了80%的功能,大部分UTM的軟件現在還不支持。

Network World談提升UTM性能

美國《Network World》:為了應對UTM的性能損失,廠家一般都在向內容處理器上靠攏,也成為CP或者下一代NP。它屬于一個可編程的多內核處理器(6個,8個), 有點類似NP。CP可以把很多應用協議硬件化,NP只能在網絡層,任何條件可以自己編寫。但是CP可以把HTTP、FTP等應用條件都用硬件做,包括常見 的協議都用硬件做。屬于更加高層次的NP,可以提升10倍以上的性能。明天第五代UTM產品。這個也是屬于第三方芯片廠家來做的,安全廠商主要開發上層應 用。明年會有很多廠商轉到這上面來。

神州數碼網絡談提升UTM性能

神州數碼網絡:網關防病毒,一定要采取一些技術來解決。可以采用多檢測引擎互嵌技術;還有一個流檢測技術。多檢測 引擎互嵌技術是說,如果簡單把模塊堆疊在一起的時候,會經過防火墻、VPN認證、檢查病毒、垃圾郵件處理,一個串行處理過程。合理的方法是把模塊整合到一 起,如果進行垃圾郵件過濾,又要進行郵件查毒,那么就先進行垃圾郵件過濾,然后再進行郵件防毒的工作。VPN也是,先查病毒,在進行VPN加解密。可以把 這種技術做成一種靈活的規則,減輕UTM負擔。流檢測是說,當用戶使用HTTP下載或者收郵件的時候,不采用代理技術。

傳統代理技術要完全接管連接的整個過程,然后在發給客戶端。而神州數碼從開始的時候直接把包轉發給客戶端上,但所 有的病毒都是在第七層的,只有完全收下來后才會是病毒。因此UTM只需要把最后幾個包不轉發給客戶端就可以了。也就是說,客戶端開始收到了一部分包,但是 利用UTM的拷貝技術,UTM進行查毒,發現是病毒,則最后幾個包拒絕推給用戶。這個是神州數碼獨有的功能。因此在查病毒的時候速度優勢非常明顯。通過測 試,采用流檢測技術后,UTM性能下降僅僅有10幾個百分點。最明顯的,直接打開一個網頁點擊另存,別人的產品會先查毒,后下載,速度慢;而我們直接開始 下載,只是到最后幾個包的時候,UTM開始查毒,因此速度會快90%。基于對協議的了解,要求最后幾個包的判斷準確。所有數據包在三層傳的時候,都要分包 分段,神州數碼網絡利用數據包的Segment和序列號來控制,不發給用戶。前面包收下來的時候UTM做拷貝,那個時候做檢測沒有意義,因為第七層檢測的 時候三層的包不會被認識。

WatchGuard談提升UTM性能

WatchGuard:安全行業從前多是采用一種ASIC架構的UTM,主要是加快Firewall的功能、 IDS的功能。但是普通的電腦功能,如anti-virus、anti-spamming等,不可以用ASIC來加快,對此,ASIC是沒有用處的。 WatchGuard設計UTM時,將成本更多投放到general-purpose CPU上,而不是放到ASIC上,這就是我們的general-purpose CPU的UTM架構方向。WatchGuard取General-purpose CPU作為發展UTM的架構,對UTM功能如Gateway Anti-virus, IDS, Anti-Spamming, Anti-Spyware及URL Filtering來說,用General Purpose CPU來架構會比以ASIC能提更有效與更靈活地達成。

后記

UTM是對傳統防護手段的整合和升華,是建立在原有安全網關設備基礎之上的,擁有防火墻、入侵防御(IPS)、防 病毒(AV)、VPN、內容過濾、反垃圾郵件等多種功能,這些技術處理方式仍然是UTM的基礎,但這些處理方式不再各自為戰,需要在統一的安全策略下相互 配合,協同工作。

當然,對于眾多的功能,有必備功能和增值功能之分。一般而言,防火墻、VPN、入侵防御、防病毒是必備的功能模塊,缺少任何一個不能稱之為UTM。其余是增值功能,用戶可以根據自身需求進行選擇。

站在用戶角度,面對的是整個網絡、所有業務的安全,整體的安全策略實施是非常重要的。統一的策略實施是使多種安全功能形成合力的關鍵,各自為戰是不能實現整體安全策略的。因此在UTM處理方式中,需要特別考慮策略的協調性、一致性。

熱詞搜索:

上一篇:拒絕黑客攻擊 防范Linux安全11條措施
下一篇:微軟Outlook2010將植入Facebook功能

分享到: 收藏