研華一體化統(tǒng)一威脅管理 （UTM） 解決方案—FWA-3700系列

統(tǒng)一威脅管理 （UTM） 是由國際數(shù)據(jù)咨詢機(jī)構(gòu) （IDC） 的 Charles Kolodgy 于 2004 年提出的。 UTM 用來對將諸多安全功能集成在單個機(jī)箱中的網(wǎng)絡(luò)設(shè)備進(jìn)行描述。UTM 設(shè)備執(zhí)行傳統(tǒng)防火墻的所有功能，并將它們與多個關(guān)鍵任務(wù)結(jié)合在一起，其中包括：垃圾郵件過慮、防病毒功能、入侵檢測（或保護(hù)）機(jī)制、以及播放網(wǎng)絡(luò)內(nèi)容的總體方法。UTM 設(shè)備的主要目的是提供一個“整個全面的解決方案”、而不是傳統(tǒng)防火墻具有的有限“點解決方案”。
　　
　　然而，UTM 設(shè)備導(dǎo)致了“安全”和“連通性”之間的一場較量。所有的安全功能都強(qiáng)調(diào)大量的系統(tǒng)負(fù)載和簡單的術(shù)語，這樣就不可避免的減慢了由于檢測過程的復(fù)雜性而導(dǎo)致的信息流。減慢過程很明顯不是“實時”網(wǎng)絡(luò)管理的最好方案。這樣，理想有效的UTM解決方案必須在不損失網(wǎng)絡(luò)流量性能的情況下提供全面的保護(hù)。對軟件算法和數(shù)據(jù)處理進(jìn)行優(yōu)化可顯著提高處理速度。但是性能改善最顯著的辦法可以通過硬件加速來實現(xiàn)。
　　
　　解決方案
　　研華一家技術(shù)非常領(lǐng)先的網(wǎng)絡(luò)安全設(shè)備客戶推出了一種新型的UTM 設(shè)備，稱作“USM”（即統(tǒng)一安全管理設(shè)備）。這種新的 USM 產(chǎn)品與其競爭產(chǎn)品相比，最主要的區(qū)別就是具有對所有網(wǎng)絡(luò)活動進(jìn)行法醫(yī)分析的功能。USM 之所以成為行業(yè)中的領(lǐng)先者，是因為它能夠?qū)ο到y(tǒng)工作過程中發(fā)生的任何異常情況進(jìn)行詳細(xì)的分析。這種創(chuàng)新功能為系統(tǒng)用戶提供了更多層的保護(hù)，而在此之前則是無法實現(xiàn)的。
　　
　　將此增強(qiáng)安全設(shè)備加入到已有的網(wǎng)絡(luò)中之后，即使是增加安全簽名的數(shù)量，系統(tǒng)的總體性能也會得到改善。硬件安全性能增強(qiáng)設(shè)備的硬件包括安全加速器、x86 處理器或 FPGA 型處理器，它們能使網(wǎng)絡(luò)效率得到顯著改善。
　　
　　系統(tǒng)
　　　客戶在尋找一種平臺，此平臺應(yīng)可以滿足不同商業(yè)狀況的需求，并且易于配置和維護(hù)。他們選擇了研華的1U機(jī)架安裝平臺FWA-3700，將其用于了自己的USM產(chǎn)品中。新系統(tǒng)采用Intel® Pentium® M處理器系列，通過高速 PCI Express （PCIe） 連通性支持4個GbE端口。即使是在系統(tǒng)由于電源中斷而關(guān)機(jī)時，附帶的 LAN 旁路功能也可確保連續(xù)的網(wǎng)絡(luò)連通性。根據(jù)他們的客戶特點，此客戶的高性能平臺選擇了 Pentium M 1.73 GHz 處理器，主流平臺則選擇了 Celeron® M 1.5Ghz 處理器。通過不同的系統(tǒng)內(nèi)存和應(yīng)用功能，一共可以提供六種平臺版本用來滿足不同的用戶應(yīng)用。這樣一來，由于采用了單個平臺，硬件維護(hù)和故障排除成本將得到顯著降低，并且不同的配置完全兼容。
　　
　　　此外，F(xiàn)WA-3700 還帶有一個專門的 PCIe x4 接口，用于未來擴(kuò)展。研華還提供兩類 LAN 擴(kuò)展模塊，銅模塊和光纖模塊。對于要求增加額外LAN端口的客戶，此客戶選擇了研華的銅 LAN 模塊，用以打開兩個新的端口。LAN 擴(kuò)展模塊上可以集成一個加密/解密加速器芯片組。此硬件安全性能增強(qiáng)裝置明顯提高了總體性能，特別適合于要求嚴(yán)格快速密碼檢測的情形。
　　
　　　此外，由于在高性能 PCIe 擴(kuò)展模塊設(shè)計方面的優(yōu)勢，有些客戶已經(jīng)開發(fā)了定制的安全加速模塊，用以滿足他們的特有處理需求。顯然在安裝了 FPGA 芯片組之后，就獲得了一個卸載 CPU 包處理和檢測的有效途徑。這種智能化設(shè)計顯著改上了性能，并消除了由 CPU 處理和當(dāng)前可用總線帶寬而導(dǎo)致的瓶頸。