1.如何看待目前市场上的UTM产品,在全套安全功能投入使用后,遭遇到的50%的性能损失。
深信服:20%-30%的损失。X86架构,小包不好。ASIC会好一点。UTM很少用ASIC来做。CROSSBEAM全冗余,采用FPGA+ASIC+NP,不是给企业用的。产品的外壳都是很特别的。即便是高端的UTM产品,全功能打开,也会有性能下降的问题。其实目前基于X86和双核,可以克服很多类似的问题。从测试的情况看,双核对于UTM的提升主要在于分析能力方向,可以提升一定的UTM处理能力。包括IPS、内容过滤方面,规则很多,需要匹配占用CPU资源,包括两方面:一方面是CPU去拆协议,另一方面基于特征码,IPS也要用到。协议分析最多,还有UTM多功能的处理速度延迟不能过大。
Sonicwall:目前市面上的UTM产品,全功能开启后,从50%--96%的性能损失。这并不令人感到意外。小UTM的OFFICE产品,性能90M,开网关防毒8M,开IPS也是8M,两个同时开变成6M。这种产品面对的就是30-50人的小办公环境,这些办公室往往是2M的企业ADSL,一个月2千元。6M对于2M的AD线路来说是合适的。目前UTM的市场定位还是企业,很少有运营商使用。电信骨干路由、交换,都是追求快,不管跑病毒还是跑数据。但是企业关注应用层安全。金融部分往往是分开的,每个功能都需要独立的设备。因此从市场上看,UTM还是一些企业的办公机构的用户群。因此UTM的核心在于一个产品只要能够满足用户的应用环境就可以了。2040产品200M火墙,开网关防毒后变成40M,开IPS也成为40M,这个是面对100个人的用户。这种企业即便是申请专线,往往也不超过10M的带宽。开启UTM也是够用的。有些企业购买了1000M的UTM,但是实际带宽就10M。因为企业有别于大学,后者的带宽会非常非常大。Sonicwall 5060 2.4G的UTM,网关防毒打开还可以到340M,开IPS 300M,同时开200M。相反的,Fortinet公司的FortiGate 3000是2.25G,网关防毒打开130M。
Juniper:UTM的设计思路是把安全放在第一位,只有在安全特性之上,才能谈性能。公司的SSG产品,也是在满足企业用户需求的情况下降低,用户在选购的时候,可以根据参照表进行选择。在设计产品的时候已经考虑到这个思路,用户可以根据这个思路来做。目前我们千兆UTM开启IPS的时候,700M左右。网关防毒没有打开,所有功能全打开的情况下,损失会大一些,但是企业可以接受。因为企业的出口带宽很小,10M已经算是有一定规模的企业了。
联想网御:遭遇到的性能损失的说法,不是很准确,这个是一种概念,在UTM设备没有启用一些功能的时候是一种状态,启用的时候,是另一种状态。衡量防火墙的性能有标准,衡量UTM则是另外一种标准。你需要衡量单独的串联防火墙、IPS、网关防病毒的整体的系统的性能,UTM的性能会比系统的性能要高很多。不论从延迟还是吞吐率,UTM网关都是在同一个硬件设备上做传递,用多个设备串联所有设备都要处理三次,因此UTM网关性能要高。
神州数码:UTM存在性能下降是正常的,因为三层上没有办法找到流量共性,因此速度损失是无法避免的。从目前来看,如果没有更好的硬件平台出现,大型网络中网关处不方面使用的。但通过系统的串联比较,一般是不科学的。防火墙传IPS传反病毒,这些难以称之为方案,本身IPS就覆盖了防火墙,否则性能会下降很大,而且功能发挥不出来。当一个出口传多个设备,必然有些设备当NAT来用,有些做纯粹的2层桥,安全的意义没有了。
WatchGuard:由于现今的Unified Threat Management(UTM)的功能如Anti-Spamming, Anti-Spyware及URL Filtering 都会消耗系统资源,如CPU及内存等,所以使用越多的安全功能,将不可避免地拖慢UTM的整体性能。因为在UTM每一台机器里面,主要的系统资源、CPU及存储都是有限的。但是如果在一个繁忙的网络里面,使用anti-spamming、anti-virus这类功能较多的时候,再快的CPU也有极限,将不可避免地拖慢UTM的整体性能。
【相关文章】
责编:
微信扫一扫实时了解行业动态
微信扫一扫分享本文给好友 
微信扫一扫实时了解行业动态
资深技术经理:无线网络设备导致信..
网上邻居九招特殊的应用.doc
