统一威胁管理 (UTM) 是由国际数据咨询机构(IDC)的Charles Kolodgy于2004年提出的。UTM用来对将诸多安全功能集成在单个机箱中的网络设备进行描述。UTM设备执行传统防火墙的所有功能,并将它们与多个关键任务结合在一起,其中包括:垃圾邮件过虑、防病毒功能、入侵检测(或保护)机制、以及播放网络内容的总体方法。UTM设备的主要目的是提供一个“整个全面的解决方案”、而不是传统防火墙具有的有限“点解决方案”。
然而,UTM设备导致了“安全”和“连通性”之间的一场较量。所有的安全功能都强调大量的系统负载和简单的术语,这样就不可避免的减慢了由于检测过程的复杂性而导致的信息流。减慢过程很明显不是“实时”网络管理的最好方案。这样,理想有效的UTM解决方案必须在不损失网络流量性能的情况下提供全面的保护。对软件算法和数据处理进行优化可显著提高处理速度。但是性能改善最显著的办法可以通过硬件加速来实现。
解决方案
研华一家技术非常领先的网络安全设备客户推出了一种新型UTM设备,称作“USM”(即统一安全管理设备)。这种新的USM产品与其竞争产品相比,最主要的区别就是具有对所有网络活动进行法医分析的功能。USM之所以成为行业中的领先者,是因为它能够对系统工作过程中发生的任何异常情况进行详细的分析。这种创新功能为系统用户提供了更多层的保护,而在此之前则是无法实现的。
将此增强安全设备加入到已有的网络中之后,即使是增加安全签名的数量,系统的总体性能也会得到改善。硬件安全性能增强设备的硬件包括安全加速器、x86处理器或FPGA型处理器,它们能使网络效率得到显著改善。
系统
客户在寻找一种平台,此平台应可以满足不同商业状况的需求,并且易于配置和维护。他们选择了研华的1U机架安装平台FWA-3700,将其用于了自己的USM产品中。新系统采用Intel? Pentium? M处理器系列,通过高速 PCI Express (PCIe) 连通性支持4个GbE端口。即使是在系统由于电源中断而关机时,附带的LAN旁路功能也可确保连续的网络连通性。根据他们的客户特点,此客户的高性能平台选择了 Pentium M 1.73 GHz处理器,主流平台则选择了 Celeron? M 1.5Ghz 处理器。通过不同的系统内存和应用功能,一共可以提供六种平台版本用来满足不同的用户应用。这样一来,由于采用了单个平台,硬件维护和故障排除成本将得到显著降低,并且不同的配置完全兼容。
此外,FWA-3700还带有一个专门的PCIe x4接口,用于未来扩展。研华还提供两类LAN扩展模块,铜模块和光纤模块。对于要求增加额外LAN端口的客户,此客户选择了研华的铜LAN模块,用以打开两个新的端口。LAN扩展模块上可以集成一个加密/解密加速器芯片组。此硬件安全性能增强装置明显提高了总体性能,特别适合于要求严格快速密码检测的情形。
此外,由于在高性能PCIe扩展模块设计方面的优势,有些客户已经开发了定制的安全加速模块,用以满足他们的特有处理需求。显然在安装了FPGA芯片组之后,就获得了一个卸载CPU包处理和检测的有效途径。这种智能化设计显著改上了性能,并消除了由CPU处理和当前可用总线带宽而导致的瓶颈。