Utm10问
1.如何看待目前市场上的UTM产品,在全套安全功能投入使用后,遭遇到的50%的性能损失。
深信服:20%-30%的损失。X86架构,小包不好。ASIC会好一点。UTM很少用ASIC来做。CROSSBEAM全冗余,采用FPGA+ASIC+NP,不是给企业用的。产品的外壳都是很特别的。即便是高端的UTM产品,全功能打开,也会有性能下降的问题。其实目前基于X86和双核,可以克服很多类似的问题。从测试的情况看,双核对于UTM的提升主要在于分析能力方向,可以提升一定的UTM处理能力。包括IPS、内容过滤方面,规则很多,需要匹配占用CPU资源,包括两方面:一方面是CPU去拆协议,另一方面基于特征码,IPS也要用到。协议分析最多,还有UTM多功能的处理速度延迟不能过大。
Juniper:UTM的设计思路是把安全放在第一位,只有在安全特性之上,才能谈性能。公司的SSG产品,也是在满足企业用户需求的情况下降低,用户在选购的时候,可以根据参照表进行选择。在设计产品的时候已经考虑到这个思路,用户可以根据这个思路来做。目前我们千兆UTM开启IPS的时候,700M左右。网关防毒没有打开,所有功能全打开的情况下,损失会大一些,但是企业可以接受。因为企业的出口带宽很小,10M已经算是有一定规模的企业了。
联想网御:遭遇到的性能损失的说法,不是很准确,这个是一种概念,在UTM设备没有启用一些功能的时候是一种状态,启用的时候,是另一种状态。衡量防火墙的性能有标准,衡量UTM则是另外一种标准。你需要衡量单独的串联防火墙、IPS、网关防病毒的整体的系统的性能,UTM的性能会比系统的性能要高很多。不论从延迟还是吞吐率,UTM网关都是在同一个硬件设备上做传递,用多个设备串联所有设备都要处理三次,因此UTM网关性能要高。
神州数码:UTM存在性能下降是正常的,因为三层上没有办法找到流量共性,因此速度损失是无法避免的。从目前来看,如果没有更好的硬件平台出现,大型网络中网关处不方面使用的。但通过系统的串联比较,一般是不科学的。防火墙传IPS传反病毒,这些难以称之为方案,本身IPS就覆盖了防火墙,否则性能会下降很大,而且功能发挥不出来。当一个出口传多个设备,必然有些设备当NAT来用,有些做纯粹的2层桥,安全的意义没有了。
WatchGuard:由于现今的Unified Threat
Management(UTM)的功能如Anti-Spamming, Anti-Spyware及URL Filtering 都会消耗系统资源,如CPU及内存等,所以使用越多的安全功能,将不可避免地拖慢UTM的整体性能。因为在UTM每一台机器里面,主要的系统资源、CPU及存储都是有限的。但是如果在一个繁忙的网络里面,使用anti-spamming、anti-virus这类功能较多的时候,再快的CPU也有极限,将不可避免地拖慢UTM的整体性能。
2.高端产品是否一样有此问题(目前最大到48G)?提高吞吐率是否是解决问题的好办法?用户是否需要?
Crossbeam:采用大型硬件平台,上面运行了Checkpoint的UTM软件,属于极其高端的防火墙,定位就是电信骨干。不过即使如此,功能全开也容易造成性能的下降。
联想网御:完全取决于用户的需求,用户如果要保证速度,同时也要非常高的安全性,只能这样。但是用户如果对于安全的要求高于速度,可以选择性能普通的产品。
深信服:需要看用户的实际应用。如果用户关注的部分,比如比较关注IPS,开启这么多功能,必须考虑在用户满容量的情况下,根据厂商的推荐配置,需要性能相应的提高。如果用户不关注某一部分,那么普通的产品也可以使用。
神州数码网络:选择UTM的时候,需求是需要放大的。
WatchGuard:UTM功能如Anti-Spamming,
Anti-Spyware及URL Filtering皆是非常消耗系统资源的程序。再高端的产品在非常繁忙的时间开启所有安全功能都有可能会影响整体性能。我们都会建议用户在UTM性能达到饱和的时候巴产品升级。用尽所有UTM安全功能的用户亦需要按UTM的性能饱和度适时把产品升级。
3.在UTM产品中,用户最需要的功能是什幺?哪些功能对于性能的影响最为明显?
Juniper:IPS和网关防病毒。目前还有防垃圾邮件,目前不是很关注,邮件晚收几分钟不是很厉害。邮件的防病毒也是一样。但是对于HTTP的防病毒,要求就很高。入侵防御访问网站的时候,每个包都要去检查。UTM做防垃圾邮件会比专用设备差。但是垃圾邮件也有自身特点,有一个自身的判断问题,所以对于防垃圾邮件的做法,做到大部分就可以了。UTM做可能不是特别复杂,适合中小企业就可以。大企业的垃圾邮件几乎做不了,开销太大。
联想网御和神州数码网络:内容检测的问题,都会造成设备统一性能的影响,包括网关防病毒和IPS。
深信服:内容过滤,分析内网用户的协议和行为,会消耗很大性能。如果一旦处于细致,比如通过URL、端口封堵,都会消耗资源。我们独到的功能在于内网安全部分。很多国外厂商关注外网,但国内很多用户在内网的需求更多。比如流行的对于内网的控制。内网管理大多不支持,比如对于BT、QQ的封堵,很多国外厂商不支持。(Juniper在今年7月份才将QQ封堵列入研发计划)说可以封堵,但是实际效果不一定达到,用户抱怨较多。内网会有比较大的特色,国内用户关注,包括多元素绑定。不过路由没有,但是NAT和反向NAT做了。目前采用7层协议分析,记录所有用户访问过的行为,还对QQ聊天内容、邮件内容进行审计,包括对邮件的延迟审计,实现对所有内网监控、控制、审计、提供报表、流量管理,非常消耗资源。目前高端用户,已经有高端的防火墙和IPS,但是缺乏内网的控制与管理,网关部署了强大的设备,但是内网出现的病毒、泄密等问题,还是难以管理。他们一般把UTM放在企业网里面,东风汽车。内部安全开始没有关注,后来越来越严重,后来部署UTM就用内网控制,其他没有用;低端用户:追求性价比,对于性能要求不高,但是功能要求全。
Sonicwall:内容过滤目前消耗资源,不过实现有两种,一种是设备内置,一种是旁路到第三方。本身对设备本身没有太大影响,比如扫描一个网页,并非对网页作内容评估,而是对URL进行评估,从后台数据库进行评级,看看是阻断还是放行,这种CPU负担很小。如果是在设备里面做网页的动态评估,那么肯定是消耗CPU资源的。一般的UTM设备里没有放这部分内容。MSN、QQ聊天内容不纪录,但是中间有病毒可以检查。其余需要内网安全工具来做,这并非UTM的必备功能,主要是防病毒和入侵。
WatchGuard:安全产品一向以Firewall功能为基础。而UTM产品的功能亦以网络层次的保护如Firewall,IDS及Gateway Anti-virus最为用户需要。另外,在UTM各个安全功能中,以需要大量pattern-matching 的IDS/GAV/content-filtering对性能会有最大影响。
4.哪些技术手段可以提升UTM的性能?
Juniper和深信服:为了提升UTM的性能,好的方法是:要优化UTM的硬件结构,加入硬件加速。目前产品的X86架构主要是单总线架构,以后可以引入多总线的并行处理,加快处理能力。多总线还可以配合NP使用,包括多核平台的引入。软件方面也可以改进,但是硬件更有优势。对于这种硬件,UTM更新特别快,做成专用硬件是否升级有问题,还需要验证。特别是攻击在比较复杂的时候,是否合适还需要验证。
联想网御:目前解决UTM性能的问题,主要有两种:一是软件算法的更新,完全来做基于内容的检测。另一种是通过ASIC芯片或者FPGA芯片来做。后者通过硬件检测来做,内容处理和内容检测的速度会好。ASIC就是一个引擎,就是用来内容匹配。比如HTTP上的文字内容或者病毒样本,都可以转换成正则表达式去匹配,因此ASIC主要通过匹配来检测内容上是否有非法的东西,如攻击、病毒。目前下一代NP芯片还没有产品化,未来可能成为技术的方向,目前ASIC、FPGA都在比对工作。未来在低端上还是通过纯软件来处理。另一个方向是用多核的技术。目前多核平台是在开发初期,真正成熟的多核平台产品还没有出来。多核平台带来最大的变化是整体性能的提高,高速并发处理。目前UTM厂商使用的Intel、AMD提出的多核技术仅仅用到了80%的功能,大部分UTM的软件现在还不支持。 美国《Network World》:为了应对UTM的性能损失,厂家一般都在向内容处理器上靠拢,也成为CP或者下一代NP。它属于一个可编程的多内核处理器(6个,8个),有点类似NP。CP可以把很多应用协议硬件化,NP只能在网络层,任何条件可以自己编写。但是CP可以把HTTP、FTP等应用条件都用硬件做,包括常见的协议都用硬件做。属于更加高层次的NP,可以提升10倍以上的性能。明天第五代UTM产品。这个也是属于第三方芯片厂家来做的,安全厂商主要开发上层应用。明年会有很多厂商转到这上面来。
神州数码网络:网关防病毒,一定要采取一些技术来解决。可以采用多检测引擎互嵌技术;还有一个流检测技术。多检测引擎互嵌技术是说,如果简单把模块堆叠在一起的时候,会经过防火墙、VPN认证、检查病毒、垃圾邮件处理,一个串行处理过程。合理的方法是把模块整合到一起,如果进行垃圾邮件过滤,又要进行邮件查毒,那么就先进行垃圾邮件过滤,然后再进行邮件防毒的工作。VPN也是,先查病毒,在进行VPN加解密。可以把这种技术做成一种灵活的规则,减轻UTM负担。流检测是说,当用户使用HTTP下载或者收邮件的时候,不采用代理技术。传统代理技术要完全接管连接的整个过程,然后在发给客户端。而神州数码从开始的时候直接把包转发给客户端上,但所有的病毒都是在第七层的,只有完全收下来后才会是病毒。因此UTM只需要把最后几个包不转发给客户端就可以了。也就是说,客户端开始收到了一部分包,但是利用UTM的拷贝技术,UTM进行查毒,发现是病毒,则最后几个包拒绝推给用户。这个是神州数码独有的功能。因此在查病毒的时候速度优势非常明显。通过测试,采用流检测技术后,UTM性能下降仅仅有10几个百分点。最明显的,直接打开一个网页点击另存,别人的产品会先查毒,后下载,速度慢;而我们直接开始下载,只是到最后几个包的时候,UTM开始查毒,因此速度会快90%。基于对协议的了解,要求最后几个包的判断准确。所有数据包在三层传的时候,都要分包分段,神州数码网络利用数据包的Segment和序列号来控制,不发给用户。前面包收下来的时候UTM做拷贝,那个时候做检测没有意义,因为第七层检测的时候三层的包不会被认识。
WatchGuard:安全行业从前多是采用一种ASIC架构的UTM,主要是加快Firewall的功能、IDS的功能。但是普通的电脑功能,如anti-virus、anti-spamming等,不可以用ASIC来加快,对此,ASIC是没有用处的。WatchGuard设计UTM时,将成本更多投放到general-purpose CPU上,而不是放到ASIC上,这就是我们的general-purpose CPU的UTM架构方向。WatchGuard取General-purpose
CPU作为发展UTM的架构,对UTM功能如Gateway Anti-virus, IDS, Anti-Spamming, Anti-Spyware及URL Filtering来说,用General Purpose CPU来架构会比以ASIC能提更有效与更灵活地达成。
5.您觉得如何评价一款UTM的性能?用“并发用户支持数”评价是否科学?
深信服:不好。首先要看功能,因为UTM厂商没有统一的标准,各家有各自的配置与功能差异。不能依靠传统判断防火墙的标准来看待UTM。
联想网御:不科学。RFC测试防火墙软件中的一个标准,仅仅是衡量普通防火墙能处理多少链接,这个并不能代表该设备有很高的同时处理并发用户数的能力,关键在于吞吐量。
神州数码网络:不合适了。从目前网络趋势看,特别是P2P应用,你要看UTM支持50个用户,没有办法具体判断。比如用QQ直播或者SKYPE,可能每一个IP都会产生几百个,最多一千个连接,过去按照并发连接算出来的用户数量难以保证。即有可能50人的应用大于200人的应用。
WatchGuard:要评审一款UTM的性能,我个人觉得比较科学的方法是以一般用户对不同应用的比例来仿真加压测试(stress test),如按比例加大email,http,ftp的traffic。但每个用户的应用比例都不一样,所以这种测试的结果也不代表对某一用户有用。
6.UTM厂商采用与业内知名安全公司联合开发功能模块的做法,是否可以在一定程度上保证性能?
Juniper:有一定道理。作为一个UTM来说,对于面对中小企业需求,能够满足需求是第一位的,不同性能差别的产品,同时满足了用户的需求,难以判断更多,够用就可以了,特别是未来两三年之内够用就可以。
联想网御:不一定。像卡巴斯基防病毒引擎,在自己的平台上性能比较高,另外的平台不一定。同一个操作系统支撑5-6个模块,能否整合好是另外一个问题。关键是看对那个东西做优化。联想2001年就开始做防病毒、IDS、防火墙。
深信服:客观来说,每个厂商有各自的优势,我们网络杀毒集成了FPROT,经过VB100%认证。集成业界领先的技术会是一个比较好的趋势。但厂商肯定也有自己的优势,比如我们的内容、内网关注最突出。
神州数码网络:软件功能模块使用其他引擎,也是一个趋势。CISCO使用卡巴斯基和趋势,我们使用了SOPHES,都是做后台的OEM。内容过滤P2P和IM是神州数码自主开发,包括对于流氓软件的防护,具体让用户作决定,对于VoIP也是测试了SKYPE。
Sonicwall:与业内主要厂商联合开发模块,有可能保证性能,但也不一定。关键是看UTM的硬件平台怎么做的。涉及到一个产品的完整的硬件、软件架构设计,而且双方还需要配合起来才可以。
WatchGuard:我们也跟 Surf Control 共同开发 URL filtering,及 Commtouch开发 Ant-Spamming。跟业内的领导者合作,性能及安全性当然会有保证。
7.除了在网关处配置以外,在内网中部署多台UTM是否可以弥补性能下降带来的损失?
Juniper:有好的,也有不好的。关键还是看用户的需求,结论不能下。有些时候,企业中传的设备越多,对流量影响很大,有些时候把UTM放在内部,确实可以减少一定压力。需要根据客户需求来讨论方案。
联想网御:这种方案有意义,但仅仅是解决问题的一种方法,但性假比不高。有些厂商的高端产品价格很高。子网里边放多台好,难说。我相信如在不同的网段打开必须的功能,在其它地方适当地减少,可以带来更高的性能。
深信服:高端用户一般不会去考虑这方面的需要。电信等客户,大多对UTM感觉不好,有足够的预算,还是去买单独的产品。多台UTM产品,用的比较少。UTM看重功能与降低部署成本,一个设备一个人管理。如果单台UTM,考虑单点故障,多台冗余怎么做?
神州数码网络:网络中病毒爆发与传播的速度越来越快。从漏洞到病毒爆发已经缩短到不到10天。短周期导致了病毒的方法,以及通过利用防病毒工具、通过利用深度检测是最重要的。传统上用户来不及对所有的客户端进行升级,虽然部署了防病毒,也难以保证每个客户端都及时升级或者安装了。而UTM的高实时性,可以很大的满足这种用户需求。而UTM与3D-SMP的配合,分布式部署UTM可以很大程度上解决性能问题。不过兼顾到用户的投资,一般建议用户在服务器群的前面可以配置UTM。
Sonicwall:全网安全的问题,属于性能达不到没有办法。目前的东西放在网络的总出口,下面10个部门都上互联网,都走病毒过滤、IPS,处理不过来,就开始分布式部署。总的大的火墙进来仅仅检查规则,完了财务部门、技术部门等逐个依靠UTM检查应用层安全。
WatchGuard:现在,有些客户也用WatchGuard的产品实现这种架构。我们公司有很多不同的内网,不同的内网受到的攻击不一样,这个防火墙的功能全部要开通。但是例如,有一些内网是不需要email service的,所以在这些内网中,可以把anti-virus和anti-spamming的功能关掉,有email service的内网再来开通这种服务。这样,不需要太快的UTM也可以满足网络要求。
8.不少用户对于在企业中能否信赖UTM有疑问,有趣的是,大企业的用户比较多,厂商如何说服他们放弃对于性能问题的担忧?或者有什幺好的方案可以解决?
Juniper:中国的大型企业在传统的防火墙和vpn中的投入很多,他们喜欢专品专用。UTM主要是中小企业,几万人的企业用UTM确实困难,因为毕竟有50%以上的下降。对于大型企业来说,SSG系列都是在一些稍微小一点规模的大型企业中用。几万人企业流量不一定大,100M,但是做的事情太多。防火墙是Session建立以后,内容就不检查了;而IPS是在Session建立以后,过来的每一个包都要看。URL链接也要去看,相当消耗资源。大型防火墙都是ASIC强调转发,内网在放安全设备。而且他们资金上也比较突出。Crossbeam把ISS、C和Checkpoint等插槽放进来,价格昂贵。一万人左右的。放在大型企业中用没有问题,但中小企业中更合适。虽然SSG已经是这种多总线产品了,但目前的处理能力还做不到在大型网关上使用全功能。
联想网御:一般用户会有这种担忧,好的方式是把设备直接架在用户的网络上试用,根据用户的需求,如果用户用的没有问题,疑虑自然可以打消。电力行业有成功应用。电信行业有用过。不过用法不一样。有些电信行业是给用户作增值业务,为很多中小企业服务。要求不一样,根据级别收费。
深信服:国内的中、高端用户也是这样,一个是性能,一个是单点故障问题。性能要求配置高端,另外需要UTM支持全冗余,支持备份。
神州数码网络:福建兴业银行已经认可了神州数码的UTM产品。总行级别的客户,一次采购很多,每一个支行就一套。包括四川交警总队也在做,一个支队一台,保护整个局域网。大企业已经开始用了。高端用户,特别是运营商不适合使用UTM。从目前来看,硬件方案较少,软件提升很有限。对于下一代NP硬件,已经预留了不少接口,将来可以升级。
Sonicwall:说服大企业用户,分析企业的流量,出口带宽多少,有多少人上网,出口流量多少,选择能够承受的设备。很多企业规模大,但是网络流量不大。企业业务数据多,但是上网的人少,BTQQ少,很多企业都是在100M左右。
WatchGuard:目前市场上,WatchGuard公司的产品广受成长型企业的欢迎。从前,安全的设定一般都是single-purpose,如firewall就是firewall,anti-spamming就是anti-spamming。从前,大的机构偏向使用Single-purpose
management。而UTM方案目前看来,则更多地受到中型企业和小型公司的欢迎,可以很好地满足其对安全防御的需求。对于小型企业,WatchGuard的经济性UTM方案可以良好适用于他们的网络流量。对于中型企业,随着其公司规模不断发展扩大,如果相应地对其安全平台提出更高要求,也可以灵活方便地升级之前安装的WatchGuard设备和方案,以此降低性能损失,并保护投资。WatchGuard性能最高的产品是Peak系列X8500。
9.UTM设备是否需要性能的主打方向(主要性能强,其它的较弱),比如有些公司强调反垃圾,有些强调入侵检测,这样是否更好?
Juniper:主要是做安全的,有一定道理,在防火墙和IPS做得好,其他的一般。本公司安全起家,会进行合作。
联想网御:更加平均一些更好,平衡的选择可以帮助用户结合自己的特点来作判断。对UTM来说,所有的功能都是最重要的。
深信服:现在大家都在说多功能,各家都有自己的特色,有人会去突出某一点。我们内网更加强一点。
神州数码网络:UTM是一个多功能的硬件盒子,与防火墙的区别就是防病毒与内容过滤,如果强调某一个地方,则还不如改名。有些产品仅属于应用层网关,不属于UTM。应该还是在应用上功能越多,才更符合UTM的特质。虽然消耗性能但是对于企业客户有吸引力,特别是解决了用户部署防毒困难。另外对于P2P应用的控制问题,特别是在教育行业,基于策略的P2P结合QoS的流量整形策略一起,并不是一刀切,而是限制EMAIL或者BT的带宽。
Sonicwall:有主打方向的产品要看需求。一般反垃圾邮件一般都是专用设备,因为太消耗资源。因为企业的邮件量往往较大。像中外运上万个用户在频繁使用邮件,UTM做不了。UTM最关键的一个是入侵,一个是防病毒。2003年提出UTM概念的时候,就是防火墙、网关防毒、IPS。这些是客户直接会感受到的,今后可能把间谍软件拿进来做,特别是放在IPS中更加合适。防止下载间谍软件插件、邮件间谍软件、往外发包也可以阻断。
WatchGuard:这个是厂商的习惯。用户希望获得一个工具、一个保障。用户不一定需要所有的UTM功能,那么,针对客户端、中型企业、小型公司所需的UTM功能,WatchGuard会有相应开发适用的合理性能。我们的产品对于目标客户群都会提供合理的适用的功能,以满足其UTM需求。
10.对于越来越热的VoIP穿越UTM的问题(大量的更加细小的数据包),是否会成为新的性能杀手?
深信服:国内遇到类似问题比较少。因为国内VoIP大部分用VPN来传。国外的情况,VoIP部署的非常广泛。国内还没有用起来。国内主要的需求是用VPN来实现VoIP传输。其实在SSL VPN中传VoIP都几乎没有,大部分还是在IPSec VPN中使用。国内用户目前还没有用到这块内容。
Juniper:VoIP目前本身流量不是很大,每一个线路都是小包传输,对于UTM来说,不论是H.323还是SIP,本身都有漏洞,都不是安全的。而UTM刚好可以给VoIP提供一层额外的安全保护,特别是UTM可以检测出IPSec VPN隧道中的内容,而不会造成性能的影响。如果用在内网,比如在服务器前面,有时候需要考虑更高性能的产品。
联想网御:不会影响。因为VoIP的应用已经跑过了,测试看起来没有问题,包括SIP和H.323。上述协议本身的漏洞,UTM可以做一个弥补。有人开发代码攻击,UTM可以检测并阻断。UTM可以扫描VPN隧道内容。
神州数码网络:小包资源消耗问题,非常小几个字节,有可能会是一种性能杀手。要是在VPN里面,对于性能影响不大。神州数码的UTM先查毒在进VPN,可以保护VoIP的安全。不过从测试来看,还是有一定的性能影响。因为采用X86平台,小包的系统消耗是不可避免的。除非是判断出VoIP后直接实施bypass放行策略,做成开关,具体让用户选择。就是遇到性能瓶颈的时候,通过bypass让网络还可以用。而通过对系统参数的监控,cpu、内存,快到了临界点的时候,关闭一些消耗较大的功能,可以避免单点故障的问题。神州数码自己开发的技术。
Sonicwall:VoIP的穿越问题,基本防火墙都支持H.323和SIP。如果大家都基于标准的,肯定不错。但是现在有很多第三方,做的不是标准的,困难。任何数据过VPN都不会有任何影响,就相当于一个路由。VoIP经过UTM、防火墙的时候,不管H.323还是SIP,需要做全状态转换,主要是对信令协议本身内部的东西做翻译,不是NAT翻译包头的问题,因此要求你的UTM需要认识这些H.323或者SIP协议。转换消耗的资源不大,因为呼叫就是几个信令,完了开放端口语音、视频正常传输就可以了。呼叫建立的过程消耗一定资源,建立传输以后会有大量小包,语音包很小,对防火墙性能有影响。但是一个VoIP能有多少个终端经过火墙往外走?一般视频会议一个点也就有一个终端,不会影响太大。
WatchGuard:WatchGuard有着ILS(intelligent layered security)架构的设备,可以对进入网络的package进行分类,判断需要通过哪类安全检查。WatchGuard 的ILS在packet进来的时候,会做一个分类。VoIP有其特色,比如它是UDP packet(封包),而不是TCP packet。对此,我们可以进行优化。对于所有VoIP例行的UDP packet,我们只进行简单扫描,可以放过。例如,anti-spamming、anti-virus等,因为voice数据包里基本没有spam跟virus,所以通过ILS,可以对VoIP和UDP进行和优化,可以只做简单的检查.
