統(tǒng)一威脅管理 (UTM) 是由國際數(shù)據(jù)咨詢機構 (IDC) 的 Charles Kolodgy 于 2004 年提出的。 UTM 用來對將諸多安全功能集成在單個機箱中的網(wǎng)絡設備進行描述����。UTM 設備執(zhí)行傳統(tǒng)防火墻的所有功能,并將它們與多個關鍵任務結(jié)合在一起����,其中包括:垃圾郵件過慮、防病毒功能���、入侵檢測(或保護)機制���、以及播放網(wǎng)絡內(nèi)容的總體方法�。UTM 設備的主要目的是提供一個“整個全面的解決方案”�、而不是傳統(tǒng)防火墻具有的有限“點解決方案”。
然而�,UTM 設備導致了“安全”和“連通性”之間的一場較量。所有的安全功能都強調(diào)大量的系統(tǒng)負載和簡單的術語�����,這樣就不可避免的減慢了由于檢測過程的復雜性而導致的信息流�����。減慢過程很明顯不是“實時”網(wǎng)絡管理的最好方案��。這樣�����,理想有效的UTM解決方案必須在不損失網(wǎng)絡流量性能的情況下提供全面的保護��。對軟件算法和數(shù)據(jù)處理進行優(yōu)化可顯著提高處理速度��。但是性能改善最顯著的辦法可以通過硬件加速來實現(xiàn)���。
解決方案
研華一家技術非常領先的網(wǎng)絡安全設備客戶推出了一種新型的UTM 設備�,稱作“USM”(即統(tǒng)一安全管理設備)��。這種新的 USM 產(chǎn)品與其競爭產(chǎn)品相比��,最主要的區(qū)別就是具有對所有網(wǎng)絡活動進行法醫(yī)分析的功能��。USM 之所以成為行業(yè)中的領先者���,是因為它能夠?qū)ο到y(tǒng)工作過程中發(fā)生的任何異常情況進行詳細的分析���。這種創(chuàng)新功能為系統(tǒng)用戶提供了更多層的保護,而在此之前則是無法實現(xiàn)的��。
將此增強安全設備加入到已有的網(wǎng)絡中之后��,即使是增加安全簽名的數(shù)量�����,系統(tǒng)的總體性能也會得到改善��。硬件安全性能增強設備的硬件包括安全加速器����、x86 處理器或 FPGA 型處理器����,它們能使網(wǎng)絡效率得到顯著改善�����。
系統(tǒng)
客戶在尋找一種平臺�,此平臺應可以滿足不同商業(yè)狀況的需求,并且易于配置和維護����。他們選擇了研華的1U機架安裝平臺FWA-3700,將其用于了自己的USM產(chǎn)品中��。新系統(tǒng)采用Intel® Pentium® M處理器系列�����,通過高速 PCI Express (PCIe) 連通性支持4個GbE端口�����。即使是在系統(tǒng)由于電源中斷而關機時�����,附帶的 LAN 旁路功能也可確保連續(xù)的網(wǎng)絡連通性����。根據(jù)他們的客戶特點,此客戶的高性能平臺選擇了 Pentium M 1.73 GHz 處理器����,主流平臺則選擇了 Celeron® M 1.5Ghz 處理器。通過不同的系統(tǒng)內(nèi)存和應用功能�,一共可以提供六種平臺版本用來滿足不同的用戶應用。這樣一來��,由于采用了單個平臺����,硬件維護和故障排除成本將得到顯著降低,并且不同的配置完全兼容�。
此外,F(xiàn)WA-3700 還帶有一個專門的 PCIe x4 接口���,用于未來擴展�����。研華還提供兩類 LAN 擴展模塊��,銅模塊和光纖模塊�。對于要求增加額外LAN端口的客戶,此客戶選擇了研華的銅 LAN 模塊�����,用以打開兩個新的端口�。LAN 擴展模塊上可以集成一個加密/解密加速器芯片組。此硬件安全性能增強裝置明顯提高了總體性能���,特別適合于要求嚴格快速密碼檢測的情形���。
此外,由于在高性能 PCIe 擴展模塊設計方面的優(yōu)勢����,有些客戶已經(jīng)開發(fā)了定制的安全加速模塊,用以滿足他們的特有處理需求����。顯然在安裝了 FPGA 芯片組之后,就獲得了一個卸載 CPU 包處理和檢測的有效途徑�����。這種智能化設計顯著改上了性能,并消除了由 CPU 處理和當前可用總線帶寬而導致的瓶頸��。
