新聞中心

公司新聞

  • Web安全閘道採購指南——性能篇

    企業求生指南: 延伸觀點

    Web安全閘道採購指南——性能篇
     
    導讀:即時的網路應用資料掃描過濾一直以來都存在性能低和高延遲等問題;因此,企業往往都儘量避免在網路閘道部署內容掃描的深度過濾防護閘道產品。Anchiva web安全閘道是多種技術結合的產物,高性能的三大主要秘密是:可擴充的多核心體平臺、ASIC硬體加速內容掃描技術及多引擎並行處理;使得Anchiva安全閘道打破了內容過濾性能瓶頸。
     
        隨著網路技術的飛速發展與網路應用的不斷拓展,單一功能的閘道設備已經無法符合網路應用所帶來的問題與挑戰。於是有了集多種功能於一身的UTM產品,有多廠商最近不斷推出的下一代安全閘道,更有目前逐漸成為企業閘道應用安全新寵的Web安全閘道(Secure webGateway)無論是UTM和下一代安全閘道,還是Web安全閘道設備,它們都具備了Internet應用安全防禦和管控能力。然而面對種類繁多的應用安全閘道,如何選購?成為使用者的謎團。
     
        我們應該注意到,目前在金融、電信、醫療、大型製造業等行業,使用者對多功能應用安全閘道非常感興趣,從功能的專業性而言無論是UTM和下一代安全閘道還是Web安全閘道設備都能一定程度上滿足這些行業使用者的需求,但做為合格的企業級多功能應用安全閘道,除了具有全面的功能外,開啟所有功能後的性能也是不容忽視的,也是使用者選擇多功能安全閘道時需要多方面評估的重要指標。這就需要使用者不僅對各個功能模組的應用技術與原理進行深入研究以判斷安全防禦和管控功能的同時,也需要判斷設備架構、作業系統以及掃描處理演算法,甚至功能實現技術所帶來的性能差異。功能再全面,如果有良好的性能,那也只能是花架子。
     
        本篇主要向大家介紹web安全閘道最重要的選購指標之一:性能。Web 安全閘道( Secure webGateway)是Gartner在2008年的報告中所重點提及的應用安全閘道。其主要功能包括病毒防護、URL過濾、Internet應用控制和頻寬管理等。下面,我們將對Web安全閘道的相關性能指標進行一一地分析解讀,希望對廣大消費者選購Web安全閘道提供一個幫助。
     
    一、防病毒處理能力
     
        閘道病毒防護主要針對HTTP/HTTPS、FTP、SMTP、POP3等協定流量進行雙向的過濾掃描,來達到對企業網使用者和伺服器的保護,並防止網已感染病毒的使用者和伺服器對外擴散病毒。隨著Internet,尤其是HTTP應用的日益普及發展,使得越來越多的企業應用轉為了B/S構架,借助HTTP協定的方便和簡易使用提高企業效率。同時Internet上無窮無盡的各類資源、擬社區、Web遊戲等等使得網使用者訪問Internet的需求在不斷增加,Web應用已經成為客的最主要流量;而安全閘道做為外網之間的唯一資料通道,如果吞吐量太小,就會成為網路瓶頸,給整個網路的傳輸效率帶來負面影響。因此,考量閘道的HTTP吞吐能力將有助於我們更好的評價其性能,這裡需要注意的是對網路閘道病毒防護關鍵性能是HTTP的吞吐量,而不是UDP的吞吐量,企業在選購產品時一定要搞清楚二個吞吐量的差,UDP吞吐量代表的是整個設備的封包轉發能力,而閘道病毒防護針對的是具體應用協定和資料容的掃描與檢測性能,因此對於閘道病毒防護產品來U D P 的吞吐量參考意義不大,UDP的吞吐量高,並不一定容檢測性能就高。在企業的Internet應用協定流量中通常HTTP流量所占的比重最大,因此HTTP協定的檢測性能才是閘道病毒防護的關鍵性能指標。為了提升病毒檢測的性能,目前主流解決方案主要有兩種:一種是串流掃描技術;一種是借助ASIC加速卡將由代理暫存下來的整個檔做深度容掃描檢測與特徵匹配。客觀的講,這兩種掃描技術各有所長,但是對於企業而言,找尋性能和檢測率、誤判之間的平衡,將成為企業病毒防護成敗的關鍵。串流掃描方案由於優先考慮使用者的網路使用習慣,不得不簡化病毒掃描流程,對一些較複雜的檔案不能進行深入的檢測,會造成病毒的漏判;另外當網路流量較大時,很多掃描不能在檔傳輸之前完成,這就造成實際上的病毒掃描功能失效。2005年市面上採用串流病毒掃描技術的閘道產品較多,但很快發現漏判漏查的問題無法避免,所以為了解決漏判及漏查問題,Web安全閘道廠商Anchiva在2006毅然開串流掃描的做法,堅持要用深度容檢測的方式提高病毒檢測率,於是Ancvhia利用1年多的時間開發了基於ASIC晶片的深度容檢測與特徵匹配引擎,成功的解決了掃描性能問題,並且提高了病毒檢測率。
     
    二、Internet應用程式控制和頻寬管理處理能力
     
        Interne應用程式控制和頻寬管理,通常是通過對應用資料包進行分析,通過識匹配協定或應用特徵進行的4-7層的應用管控。僅僅靠識埠是不行的,因為當前網路上的大部分應用會採用隱藏或假冒埠號的方式躲避檢測和管控,也常常通過動態協商埠等方式仿冒合法應用的資料流程來侵蝕著網路,因此對於應用管控還需要識出協定或應用中特定的字串以便更準確地進行應用的識與管控。當然,對於應用程式管控不需要對所有的應用資料封包進行一一的檢測過
    濾,僅僅需要對應用流量中開始的1個或幾個資料封包進行特徵分析與匹配。因此,對於Internet應用程式控管,其性能的關鍵在於閘道的封包轉發能力。使用者在選購產品時,需要考量的是設備對資料包的吞吐量。為了提高吞吐量,市面上有ASIC加速技術也有多核心技術,二者的目的一致,都是為了提高性能。支援多核心並不難,普通的Linux就可以支援,但如果有良好的並行多核心控制技術,既使再多的核心也不能完全發揮出多核心的硬體優勢。因此,這就需要具備並行多核心優化控制技術來保證多核心CPU快速均衡的回應不同的網路應用。Anchiva並行多核心控制技術採用資料封包動態均衡分發處理機制,實現流量在多核心間的負載均衡,極大的提升了系統的運算效率。並且一般的多核心控制技術是通過CPU的其中一個核心來完成流量的均衡分發,而Anchiva為了充分利用硬體資源,使性能達到最佳化,不是佔用CPU的一個核心來完成流量的均衡分發,而是通過專門編寫的控制技術利用網卡中的晶片完成流量在不同CPU間的均衡分配,這樣使相同的多核心CPU的處理能力更進一步發揮出來。另外在多核心上實現的應用調度處理也很重要,應用調度處理一般有並行和串列兩種模式。顯然,為了實現對多核心資源的充分利用,並行應用調度處理方式也是必須的,為此Anchiva專門編寫了自己的並行應用處理引擎,以便充分的利用多核心資源。
     
    三、URL過濾處理能力
     
        URL過濾機制是將使用者端請求的URL與閘道中的URL過濾政策進行匹配,從而達到過濾控制的目的。對於這部分功能,Web安全閘道僅僅需要對HTTP header中的URL進行掃描處理,不需要對HTTP請求的容進行掃描以一個3 2 K H T T P 請求為例,HTTP header部分只有幾百個位元組不到1K。於是可以看出對於URL過濾需要考量的重要性能指標是HTTP的同時連接數和每秒新建連接數這就需要一個強大的HTTP處理引擎。各廠家也都在HTTP的處理性能上下功夫通常使用最多的還是多核心技術, Anchiva認為良好的HTTP 處理引擎不僅跟CPU是單核心還是多核心有關係即使有多核心技術如果有優化KernelTCP協定對於上層應用代理的處理能力也會受限於傳統TCP協定的限制。目前很少有廠商願意花費時間來攻破這一難題。攻破TCP協定的束縛將成就更快的Web安全閘道。Anchiva公司在成立之初就決定優化重寫TCP協定,在兼顧安全性的基礎上,開發了跨系統核心層和系統應用層的TCP協定,同時將TCP協定與應用進程並行結合,打破了通用作業系統基於核心的TCP協定的限制及系統應用層與系統核層分離的制約,實現了轉發層面和應用層面的平行處理,也使AnchivaWeb安全閘道的性能隨著硬體配置的提升,能做到近似線性增長。
     
        當然,單獨的吞吐量、同時連接數和每秒新建連接數的資料毫無意義,一定要明這個資料是用什麼方法測試出來的才有用,同類產品相互性能的比較一定要在同樣的測試環境和方法下以及相同的策略條件下進行才公平和有意義。最好的方法是對同類產品用相同的測試儀器通過相同的測試環境和測試參數測試出來的性能才具有可比性和參考價值。對於防火牆、路由器等設備, 測試標準通常要遵從R F C2544/1242;但是對於應用閘道,目前有規定的測試標準,各家都有各家的方法,這裡就需要企業在選購時一定要清楚各家的性能參數是如何得到的。除此之外,對於Web安全閘道而言應用層的處理能力是需要使用者考量的關鍵點。成就高性能的應用層面處理能力,首先需要克服的是轉發層面和協定層面甚至硬體架構等等更底層的處理瓶頸或處理技術。因此認清其對多核心和ASIC的支援能力、TCP協定以及上層應用處理引擎的平行處理能力和掃描檢測演算法的優化能力,這些都是web安全閘道性能達到最優的核心技術。克服這些核心技術,不僅能成就高性能的防毒閘道器,對於URL過濾和應用程式管控的性能提高僅僅是順帶手就能做到的。相信認清市場上種類繁多的Web安全閘道器的真正優勢後,企業選擇一款真正適合自己的Web安全閘道設備並不難。
Copyright © 2005-2009 Anchiva Systems Ltd. All rights reserved worldwide.