【文章內容簡介】 者。 當公司配置多臺過濾設備時，可允許過濾設備之間建立主從關系，同步集中控制管理所有過濾設備。當主要的過濾設備有任何改變時，附屬機上也會體現(xiàn)出來。這 項功能在多臺過濾設備環(huán)境下非常有幫助，管理員可以免除手動一一變更設定的作法。 既然我們了解了分層管理的功能，那么分層管理在實際的工作中有哪些用途呢？不妨以案例來說明。舉例，一個有 5 所小學、 3 所中學和 2 所高中的學區(qū)辦公室擁有 T3互聯(lián)網入口，利用 T1 連接每所學校。所有互聯(lián)網接入必須通過學區(qū)辦公室的端口連接互聯(lián)網。學區(qū)有可接受使用策略，所有學生和學區(qū)員工均不得訪問被分類為色情、 R級、賭博、非教育性在線游戲、基于互聯(lián)網的電子郵件、暴力和歧視、酒、違禁藥品、邪教和駭客相關的所有網站。然而，可接受使用策略中有一個 例外：若經校長同意，學區(qū)里學校的心理輔導師以及顧問為了提升學生品質以研究為目的，可以訪問被限制的網站 Web 安全網關采購指南之性能篇 隨著網絡技術的飛速發(fā)展與網絡應用的不斷拓展，單一功能的網關設備已經無法應對網絡應用所帶來的問題與挑戰(zhàn)。于是有了集多種功能于一身的 UTM 產品，有了眾多廠家最近不斷推出的下一代安全網關，更有目前逐漸成為企業(yè)邊界應用新寵的 web 安全網關 (Secure web Gateway)。無論是 UTM、下一代安全網關還是 web 安全網關，它們都具備了 Inter應用安全防御和管控能力。 面對種類繁多的應用安全網關，如何選購成為困擾用戶的謎團。 我們應該注意到，目前在金融、電信、醫(yī)療、大企業(yè)等行業(yè)，用戶對多功能應用安全網關非常感興趣，從功能的專業(yè)性而言無論是 UTM、下一代安全網關還是 web安全網關都能一定程度上滿足這些行業(yè)用戶的需求，但作為合格的企業(yè)級多功能應用安全網關，除了具有全面的功能外，開啟所有功能后的性能也是不容忽視的，也是用戶選擇多功能安全網關時需要多方面評測的重要指標之一。這就需要用戶不僅對各個功能模塊的實現(xiàn)技術與原理進行深入研究以辨明安全防御和管控功能的同時，也需要辨明設 備架構、操作系統(tǒng)以及掃描處理算法，甚至功能實現(xiàn)技術所帶來的性能差異。功能再全面，如果沒有良好的性能，那也只能是花架子。本篇主要向大家介紹 web安全網關最重要的選購指標之一：性能。 Web 安全網關是 Gartner 在其 2021 年的報告中所重點提及的邊界應用安全網關。其主要功能包括防病毒、 URL過濾、 Inter 應用控制和帶寬管理等。下面，我們將對 web安全網關的相關性能指標進行一一分析解讀，希望能對廣大消費者選購 web 安全網關提供一個幫助。 一、防病毒處理能力 網關防病毒主要針對 HTTP/HTTPS、 FTP、 SMTP、 POP3 等協(xié)議流量進行雙向的過濾掃描，來達到對企業(yè)內網用戶和服務器的保護，并防止內網已感染病毒的客戶端和服務器對外擴散病毒。隨著 Inter，尤其是 Http 應用的日益普及發(fā)展，使得越來越多的企業(yè)應用轉為了B/S 構架，借助 HTTP 協(xié)議的方便和易用提高企業(yè)效率。同時 Inter 上無窮無盡的各類資源、虛擬社區(qū)、 Web游戲等等使得內網用戶訪問 Inter 的需求在不斷增加， Web應用已經成為客戶的最主要流量 。而安全網關作為內外網之間的唯一數據通道，如果吞吐量太小，就會成為網絡瓶 頸，給整個網絡的傳輸效率帶來負面影響。因此，考察網關的 HTTP吞吐能力將有助于我們更好的評價其性能，這里需要注意的是網關防病毒關鍵性能是 HTTP 的吞吐量，而不是 UDP 的吞吐量，企業(yè)在選購產品時一定要搞清楚這兩個吞吐量的差別。 UDP 吞吐量代表的是整個設備的包轉發(fā)能力，而網關防病毒針對的是具體應用協(xié)議和數據內容的掃描與檢測性能，因此對于網關防病毒產品來說 UDP 的吞吐量參考意義不大， UDP 的吞吐量高，并不一定內容檢測性能就高。在企業(yè)的 inter 應用協(xié)議流量中通常 流量所占的比重最大，因此 HTTP 協(xié)議 的檢測性能才是網關防病毒的關鍵性能指標。為了提升病毒檢測的性能，目前主流解決方案主要有兩種：一種是串流掃描技術 。一種是借助 ASIC 加速卡將由代理緩存下來的整個文件做深度內容掃描檢測與特征匹配?？陀^的講，這兩種掃描技術各有所長，但是對于企業(yè)而言，找尋性能和檢測率、漏判之間的平衡，將成為企業(yè)防病毒成敗的關鍵。串流掃描方案由于優(yōu)先考慮用戶的網絡使用體驗，不得不簡化病毒掃描流程，對一些較復雜的文件不能進行深入的檢測，會造成病毒的漏判 。另外當網絡流量較大時，很多掃描不能在文件傳輸之前完成，這就造成實際上的病毒掃描功能 失效。 2021 年市面上采用串流病毒掃描技術的網關產品較多，但很快發(fā)現(xiàn)漏判漏查的問題無法避免，所以為了解決漏判漏查問題，web安全網關廠商 Anchiva(安啟華 )在 2021 毅然拋開串流掃描的做法，堅持要用深度內容檢測的方式提高病毒檢測率，于是 Anchiva(安啟華 )利用 1 年多的時間開發(fā)了基于 ASIC 芯片的深度內容檢測與特征匹配引擎，成功的解決了掃描性能問題，并且提高了病毒檢測率。Anchiva(安啟華 )通過測試對比發(fā)現(xiàn)， ASIC 硬件掃描引擎在相同測試條件下的 Http 吞吐量是純軟件掃描引擎的 45 倍。當然，網絡 流量中需要掃描殺毒的文件類型很多，有 txt 文本文件，有二進制文件，有可執(zhí)行的 pe 文件等，因此企業(yè)在選購產品時還需要重點考察防病毒網關產品對這三類主要文件類型進行掃描殺毒的 吞吐量。 除了 吞吐量外， 的并發(fā)連接數也是網關防病毒的關鍵性能指標，這里同樣需要注意的是 的并發(fā)連接數，并不是 TCP 并發(fā)連接數。 TCP 并發(fā)連接數是指設備能夠同時處理的點對點 TCP 連接的最大數目，主要反映的是防火墻、路由器等設備對多個 TCP連接的訪問控制能力和連接狀態(tài)跟蹤能力。對網關防病毒來說，因為需要針對某 個具體的應用協(xié)議進行掃描過濾， TCP并發(fā)連接數并不能完全反映設備的訪問控制能力和連接狀態(tài)跟蹤能力，并發(fā)連接數才是真正反映網關防病毒能支持的最大信息點數的性能指標。一般廠家會通過增加內存的方式來提高 并發(fā)連接數，但是 Anchiva(安啟華 )公司總架構師賀先生說：“ 并發(fā)連接數跟內存大小有直接的關系，但是沒有很好的掃描處理算法來降低每一個連接的開銷，即使內存大小一樣， 并發(fā)連接數也是有明顯差別的 。另外還有關鍵的一點是傳統(tǒng)的 TCP 協(xié)議棧在透明代理情況下會受限于端口數目 65535 的限制， ”。從這一點可以看出如果是傳統(tǒng)的 TCP 協(xié)議棧，即使內存再大， HTTP 并發(fā)連接數也不可能超過 65535，否則就是欺騙。除非像 Anchiva(安啟華 )公司那樣經過優(yōu)化改寫過的 TCP 協(xié)議棧才有可能并發(fā)連接數突破 65535 個。 二、 Inter 應用控制和帶寬管理處理能力 Inter 應用控制和帶寬管理，通常是通過對應用數據包進行分析，通過識別匹配協(xié)議或應用特征進行的 47層的應用管控。僅僅靠識別端口是不行的，因為當前網絡上的大部分應用會采用隱藏或假冒端口號的方式躲避檢測和管控，也常常通過動態(tài)協(xié)商端 口等方式仿冒合法應用的數據流來侵蝕著網絡，因此對于應用管控還需要識別出協(xié)議或應用中特定的字符串以便更準確地進行應用的識別與管控。當然，對于應用管控不需要對所有的應用數據包進行一一的檢測過濾，僅僅需要對應用流量中開始的 1 個或幾個數據包進行特征分析與匹配。因此，對于 Inter應用控管，其性能的關鍵在于網關的包轉發(fā)能力。用戶在選購產品時，需要考察的是設備對數據包的吞吐量。為了提高吞吐量，市面上有 ASIC 加速技術也有多核技術，二者的目的一致，都是為了提高性能。支持多核并不難，普通的 Linux 就可以支持，但如果 沒有良好的并行多核控制技術，既使再多的核也不能完全發(fā)揮出多核的硬件優(yōu)勢。因此，這就需要具備并行多核優(yōu)化控制技術來保證多核 CPU 快速均衡的響應不同的網絡應用。Anchiva(安啟華 )并行多核控制技術采用數據包動態(tài)均衡分發(fā)處理機制，實現(xiàn)流量在多核間的負載均衡，極大的提升了系統(tǒng)的運算效率。并且一般的多核控制技術是通過 CPU 的其中一個核來完成流量的均衡分發(fā)，而 Anchiva(安啟華 )為了充分利用硬件資源，使性能達到最優(yōu)，不是占用 CPU 的一個核來完成流量的均衡分發(fā)，而是通過專門編寫的控制技術利用網卡中的芯片完成流量在 不同 CPU 間的均衡分發(fā)，這樣使相同的多核 CPU 的處理能力更進一步發(fā)揮出來。另外在多核上實現(xiàn)的應用調度處理也很重要，應用調度處理一般有并行和串行兩種模式。顯然，為了實現(xiàn)對多核資源的充分挖掘和利用，并行應用調度處理方式也是必須的，為此 Anchiva(安啟華 )專門編寫了自己的并行應用處理引擎，以便充分的利用多核資源。 三、 URL 過濾處理能力 URL 過濾的實現(xiàn)機制是將客戶端請求的 URL 與網關中的 URL 過濾策略進行匹配，從而達到過濾控制的目的。對于這部分功能， web安全網關僅僅需要對 header 中 的 URL 進行掃描處理，不需要對 請求的內容進行掃描，以一個 32K的 請求為例， 的 header部分只有幾百個字節(jié)，不到 1K。于是可以看出，對于 URL 過濾，需要考察的重要性能指標是 的并發(fā)連結數和每秒新建連接數，這就需要一個強大的 處理引擎。各廠家也都在 的處理性能上下功夫，通常使用最多的還是多核技術， Anchiva(安啟華 )認為，良好的 HTTP 處理引擎不僅跟 CPU 是單核還是多核有關系，即使有多核技術，如果沒有優(yōu)化基于 kernel 的 TCP 協(xié)議棧，對于上層應用代理的處理 能力也會受限于傳統(tǒng) TCP 協(xié)議棧共享鎖的限制。目前很少有廠商愿意花費時間來攻破這一難題。攻破 TCP 協(xié)議棧的束縛將成就更快的 Web 安全網關。 Anchiva(安啟華 )公司在成立之初就決定優(yōu)化重寫 TCP 協(xié)議棧，在兼顧安全性的基礎上，開發(fā)了橫跨系統(tǒng)內核層和系統(tǒng)應用層的 TCP 協(xié)議棧，同時將 TCP協(xié)議棧與應用進程并行結合，打破了通用操作系統(tǒng)基于內核的 TCP協(xié)議棧共享鎖的限制及系統(tǒng)應用層與系統(tǒng)內核層分離的制約，實現(xiàn)了轉發(fā)層面和應用層面的并行處理，也使 Anchiva Web 安全網關的性能隨著硬件配置的提升，能夠做到近似線 性增長。 當然，單獨的吞吐量、并發(fā)連接數和每秒新建連接數的數據毫無意義，一定要說明這個數據是用什么方法測試出來的才有用，同類產品相互性能的比較一定要在同樣的測試環(huán)境和方法下以及相同的策略條件下進行才公平和有意義。最好的方法是對同類產品用相同的測試儀器通過相同的測試環(huán)境和測試參數測試出來的性能才具有可比性和參考價值。對于防火墻、路由器等設備，測試標準通常要遵從 RFC 2544/1242。但是對于應用網關，目前沒有成型的測試標準，各家都有各家的方法，這里就需要企業(yè)在選購時一定要清楚各家的性能參數是如何得到 的。 除此之外，對于 web 安全網關而言應用層的處理能力是需要用戶考察的關鍵點。成就高性能的應用層面處理能力，首先需要克服的是轉發(fā)層面和協(xié)議層面甚至硬件架構等等更底層的處理瓶頸或處理技術。因此認清其對多核和 ASIC 的支持能力、 TCP 協(xié)議棧以及上層應用處理引擎的并行處理能力和掃描檢測算法的優(yōu)化能力，這些都是 web 安全網關性能能否達到最優(yōu)的核心技術。攻克這些核心技術，不僅能成就高性能的網關殺毒，對于 URL 過濾和應用管控的性能提高僅僅是順帶手就能夠做到的。相信認清市場上種類繁多的 web 安全網關的真正優(yōu)勢后，企 業(yè)選擇一款真正適合自己的邊界 web安全網關設備并不難 VoIP 在基于 MPLS 集成模型中 QoS 技術 1 引言 VoIP（ Voice over IP）是指利用 IP網絡進行語音通信的技術。由于 IP技術是一種面向無連接的技術， IP 網絡的初衷只是提供一種稱之為 “盡力而為 ”（ Best Effort）的服務，這對于只要求準確率而對時延沒有嚴格要求的數據業(yè)務來說是合適的，而對于話音、視頻等實時通信業(yè)務，它們的服務質量（ Quality of Service, QoS）是難以保障的。 VoIP的服務主要歸結為承載網絡問題 ，而目前的網絡帶寬限制是造成時延過大、擁塞的主要原因。另外，在一個網絡中同時提供語音和數據應用，就必須特別考慮語音應用的服務質量。 為保證 IP網絡上的 QoS， IETF 首先提出用 RSVP 發(fā)送信號協(xié)議的綜合業(yè)務模型（ Intserv）[1]，在發(fā)送數據前對接收端建立路徑和預留資源，通過接納控制、策略控制、分類調度控制等機制實現(xiàn)端到端的 QoS。由于要在每個節(jié)點上為每一個流進行資源預留，并且要建立和拆除路徑，這就要求每個節(jié)點都要支持 RSVP，都要維護路由和資源的 “軟狀態(tài) ”信息，這樣它的可擴展性及魯棒性差，在現(xiàn)有的網 絡上特別對大型廣域網實現(xiàn)起來比較困難。這就促使LETF 去發(fā)展區(qū)分業(yè)務模型（ Diffserv） [2]，它是在網絡邊緣將業(yè)務流解成很小數據量的聚集流（類），由 IP分組頭標的 DSCP （ Diffserv Code Point，區(qū)分業(yè)務碼）來標識，在網絡邊緣結點實施分類、標記、管理等功能，在網絡的核心節(jié)點僅僅根據 DSCP 相關的 PHB（ perhop behavior）轉發(fā)分組，這簡化了網絡內部節(jié)點的結構，這比綜合服務可擴展性要大的多。但Diffserv 仍采用了逐跳路由的分組轉發(fā)方式，對端到端的 QoS 支持顯得不足。 對 VoIP來說， Inter必須具有提供 QoS保證以