UTM进入多核时代

Web2.0、P2P以及VoIP的应用在为人们带来便捷的同时，也带来了潜在的风险，网络安全已经越来越依赖于利用一种统一威胁管理的思想和管理方法来进行治理。

UTM（统一威胁管理）一直被视为防火墙及入侵检测等单一功能安全设备和解决方案的终结者。但性能和架构一直是阻碍UTM发展的绊脚石，近年来国内外UTM产品在高端环境下表现得不尽如人意。为了能够让UTM突破性能上的瓶颈 ，SonicWall、启明星辰和东软等厂商都将目光逐步转向“多核”方案。

ＵＴＭ的三大阵营

目前的UTM技术平台主要分为三个阵营，第一阵营是采用通用处理器加单独的安全协处理器结构UTM，第二阵营是利用ASIC（专用集成电路）平台作为架构的UTM，第三阵营是多核处理器架构作为基础平台的UTM。

处于第一阵营的通用处理器依赖一个单一CPU来处理全部功能，它们不提供任何类型的安全升级服务，通常情况下，这类处理器需要第三方的安全协处理器为其提供必要的安全方面的硬件操作。因为通用处理器在超高频率下运行时需要附加协处理器，而且一般操作中还将消耗更多的功耗。

第二阵营的ASIC平台具有高速转发包能力，但是它们在网络安全设备中存在固有的设计问题和局限性。一个尤为明显的问题就是，安全企业在处理那些不断变化的安全问题时，ASIC在微代码处理方面能力有限。采用ASIC解决方案，供应商不具备修改微代码的能力，从而给附加的新功能带来麻烦。

在对UTM产品的支持方面，处于第三阵营的多核处理器要优于前两者。它通过降低功耗、联网安全协处理器和增加存储器带宽，从而提高网络吞吐量。

UTM的核心问题就是处理器性能问题，利用通用处理器架构的UTM设备要做到扫描应用层数据来检测病毒和入侵很难，当将反病毒功能打开后，通用处理器架构UTM设备的性能迅速下降，某些甚至下降达70%以上。

相比之下，多核处理器为每一个核提供了额外的安全协处理器，使每个单独的核在芯片上具有额外的安全性硬件加速能力。通过安全协处理器与多核平台的集成，可以明显降低安全协处理中的延迟问题。由于所有安全加速硬件都是基于芯片的，多核架构不受总线频率的限制。

多核ＵＴＭ的真正目的

在网络吞吐量不明显降低的前提下，基础架构的性能对实现实时深度包检测（DPI）至关重要。多核架构与通用处理器和ASIC处理器相比，在性能、可扩展性和节能性方面都更具优势。

传统的解决方案只侧重于扫描数据包的报头，而遗漏了数据包内隐藏的数据威胁，但是精密的恶意攻击可渗入到传统的状态包检测产品中。为了确保基本的网络性能，多核UTM真正需要解决的问题是针对深度包进行实时、全面检测的能力――免重组深度包检测（Re-Assembly-Free Deep Packet Inspection，RFDPI），这与传统的实时深度包检测（DPI）还有一些不同之处。

与所有其他DPI方法不同，RFDPI不需要停机和在内存中储存信息流量。通常，超负荷流在高负荷状态下要么不被检测而被放行，要么形成流量拥堵。另一点区别就是，RFDPI不限制文件的大小，任何一个用户都能下载，也不限制同时保护文件的用户数量。

理想状态下，网络安全解决方案应当能够及时全面地检查每一个数据包内现存的所有内在和外在威胁。采用状态包检测技术的传统解决方案只能检查约2%的防火墙流量，而使用DPI技术的UTM解决方案能够检查将近100%的进出防火墙的流量。但是，并不是所有的DPI方法都是相同的。

SonicWall资深技术工程师蔡永生说，RFDPI技术是为多核硬件而量身打造的，它可以实时扫描处理无限大的文件和无限多的网络连接，也可以实现高速智能检测。