當網路流量進入一個網路設備中,設備內每一個元件都會造成傳輸延遲,這是無可避免的。雖然從實際硬體面來看,整合性的設計多少可以降低流經多台設備所造成的延遲,但如果運算硬體仍然維持在舊式的架構,處理效率不佳的問題還是依然存在。Fortinet台灣區技術顧問劉乙表示,越來越多的廠商進入UTM市場,也不斷使用更高速的CPU、記憶體,來提昇UTM效能的表現,但事實上卻很難改善網路封包的傳遞速度。
硬體架構改良 專屬加速
 |
| ▲Fortinet台灣區技術顧問劉乙表示,CPU製造廠商不會為了封包加速,而對CPU設計做更改,因此才需要特殊設計的網路加速ASIC晶片,來減輕UTM內CPU的封包傳遞負載。 |
「這是由於最初在設計UTM設備時,沒有針對硬體做加速,因此所有封包通過時,都要經過CPU運算。泛用型的CPU製造廠商,當然不會為了加快封包傳遞,而特別對CPU設計做更改,所以才會造成封包傳送延遲。」劉乙表示,CPU的限制在於packets per second-每秒能夠處理多少封包數,封包進來時檢查來源表頭以及目的表頭,再往外送,CPU對每個封包所做的動作都一樣;因此就會造成小封包和大封包造成的超載(Overload)情形相同,但是每秒所處理的大小又不同。再加上防火牆的阻擋規則,以及IPsec VPN的加解密等,都要經過CPU運算,造成UTM內CPU運算的嚴重延遲。
後來有些廠商在UTM中額外設置一顆ASIC晶片,將防火牆規則或VPN加解密等特殊運算,交由ASIC處理,提升了傳輸速度以及硬體的效能。但是由於ASIC晶片沒有封包處理的能力,封包還是必須經過CPU運算,因此也有一些UTM設計的作法,是將一台機器內建置多個CPU來處理封包。然而他指出,如果是使用未經特殊封包處理設計的CPU,只是增加了處理的容量,並不能真正提升效能,因為每一個封包仍然必須由CPU逐一處理。
劉乙指出,Fortinet在其FortiGate系列UTM硬體架構設計上,強調UTM除了對硬體效能做加速,或是增加CPU數量、提高效能之外,還要再增加專門處理封包傳遞的機制。因此,Fortinet在UTM設備前端介面卡上,設置一顆經過封包傳遞調校的ASIC晶片以及專屬記憶體,負責處理乙太網路MAC位址及IP來源位址。劉乙表示,以防火牆功能為例,當第一次傳送封包經過CPU後,會自動將寫入在CPU記憶體的Session Table,抄入ASIC晶片記憶體中,之後再次傳送封包就不會傳送至CPU做運算,由前端ASIC晶片的記憶體判斷Session,小封包直接在前端ASIC晶片進出,不會再造成超載的情形而發生CPU運算延遲;完全以分散式的架構,讓內部硬體運算效能提升,將網通的技術使用在UTM中,加快處理速度。
應用程式管制 廣域網路加速
Fortinet在FortiGate UTM設備上的最新版本資安架構作業系統,已經推出FortiOS 4.0版本,大幅改進軔體升級,整合了更多的功能以及Layer 7的解決方案,包括廣域網路加速(WAN Optimization)、應用程式控管、資料外洩防護(Data Loss Prevention,DLP)以及SSL檢測(SSL Inspection)等。
對於企業分支的小型辦公室而言,最需要廣域網路加速的功能,劉乙表示,因為企業分支據點不比總公司能夠租用大頻寬,因此在有限的頻寬內,要是將廣域網路加速的機制整合在UTM中,對企業小據點來說是相當實用的功能。「目前支援的傳輸協定種類,還無法像專門做WAN加速的廠商提供的那麼多,但是,未來Fortinet會提供越來越完整的傳輸協定支援。」劉乙說。
網路型態的改變,也讓資訊安全設備的功能跟著發生變化。劉乙表示,現在網路應用複雜,針對Web 2.0時代所產生的網頁資訊安全攻擊,也成為主流攻擊手法與漏洞,FortiGate也將應用程式管控的機制內建在UTM中,提供超過1,000種的應用程式分類管制選單,以及E-mail傳輸的控管、DLP規則、Protocol的管制,以及SSL流量的偵測等。
結語
劉乙指出,目前UTM對中小企業吸引力相當大,因為中小企業希望花很少的錢,就能得到更多的服務。因此,UTM未來設計就應該要提供更完整的服務,以及更多對企業實用的功能,「當效能跟產品穩定度達到一定程度後,服務提供就變成關鍵因素,UTM應該要慢慢走向更深入的Layer 7管控,資安需求不會消失,端看服務供應商如何應付接下來UTM市場的變化,持續增加更合適的功能與服務。」,他指出,至於某些研發停步不前的UTM廠牌,未來恐怕只能越賣越便宜,成為類似乙太網路交換器的低階產品。
 |
| ▲Fortinet UTM封包加速晶片圖,以專屬的ASIC晶片加速封包傳遞,不必佔用CPU運算資源,直接經由網路加速ASIC晶片的記憶體處理Session,加快整體運作效能。 |
Fortinet在全球UTM市場擁有相當高的市佔率,除了在硬體效能表現上,達到許多企業客戶的肯定,今年更強調UTM上的網路加速功能,將廣域網路優化解決方案納入UTM的多功能中,以快取(Caching)的方式,提升企業網路頻寬的使用。並於今年上半季推出新版的FortiOS 4.0作業系統,更新應用程式管控、資料外洩防護(DLP)、以及SSL檢測,讓UTM設備擁有更高的投資報酬率,將資訊安全防護、應用程式管制以及網路管理,同時運作,企業建置達到1加1大於2的效果。
 |
| ▲圖為FortiGate-110C,與其他FortiGate高階產品一樣,具有完整的防護機制,同樣採用專門的ASIC處理晶片加速,提供雙WAN埠設計,適合於企業分支辦公室以及分公司使用。 |