NGFW单次解析架构 满足网络高性能

很多用户对UTM的抱怨是，如果对集成的多种功能同时开启，性能显著下降，从而无法兑现其标称的性能指标。打个比方，UTM产品架构类似于我们经常在城镇郊区看到的自建房，因为一开始没有统筹规划，在扩建上只能在原来的平房的基础上加盖，但你很少见到加盖的层数超过4层。因为这样，地基、承重墙都无法负担。这就是目前UTM的架构。

　　“这实际上是由于UTM产品软硬件架构设计原理瓶颈所致，” 迈克菲中国区网关安全产品总监郭伟说到，NGFW在设计之前就已经考虑到未来安全的需求变化，软硬件架构采用了分离栈的设计思路，不同的应用防护，不同的功能集成项分别设置分离的TCP/IP栈结构，充分利用了目前硬件的多CPU、多喝的硬件体系，所以在全部功能加载运行后不会像UTM产品那样，虽然功能比较全，但实际应用场景中性能指标无法满足，而最终导致很多UTM功能成为摆设。

　　深信服市场行销部技术总监殷浩告诉记者，NGAF采用单次解析架构，结合多核并行处理技术，将所有内容扫描功能混合在一个模块完成，由于所有数据流只会有一次扫描，性能就得到了大幅提升，相对于多数UTM仅有几百兆到1G的应用层性能来说，NGAF实现10G应用层吞吐能力更能满足用户对高性能场景的需求。梭子鱼梭子鱼产品经理潘渊表示，“性能差异是UTM设备和NGFW设备最根本的区别，这是由于完全不同的功能实现机制导致的。梭子鱼下一代NGFW特有的ACPF防火墙引擎技术，通过一次性的解包，并行处理所有识别、扫描、过滤与控制，大大提升数据处理效率。”

　　NGFW的重要特点就是开启多重安全功能后性能不会出现明显下降，绿盟科技产品市场经理段继平解释到，NGFW相对于原有的UTM产品最大的创新在于软件方面，比如软件架构采用统一引擎架构，将原有的安全功能的堆叠变为安全功能的融合，基于Web 2.0 的可视化等。

　　传统UTM设备仅仅将FW、IPS、AV进行简单的整合，开启多个模块时是串行处理机制，一个数据包先过一个模块处理一遍，再重新过另一个模块处理，一个数据要经过多次拆包，多次分析，导致降低了包的处理传输效率。这是我们采访时听到的最多的答案。NGFW由于实现在一次拆包中的并行处理，山石网科技术市场经理任磊强调到，“在设备本身硬件架构方面势必要采用具备并行处理能力的多核处理芯片，而在当前众多安全厂商的多核产品中以采用多核网络专用架构的解决方案更适用于当前复杂应用控制、安全防护的网络。”

未经允许不得转载：DOIT » NGFW单次解析架构 满足网络高性能