網絡安全已變得越來越復雜。網絡通信不再只是簡單依托于存儲轉發應用，例如電子郵件，而是已經擴展到實時協作工具，例如Web 2.0的應用、即時通信、對等應用、VoIP、流媒體和遠程電話會議等。這些新的應用存在著更多的潛在威脅，因此迫切需要實施統一威脅管理(UTM)的方法來解決。

　　為了有效起見，UTM需要進行實時深度包檢測(DPI)。精密的惡意攻擊可滲入到傳統的狀態包檢測產品中，為了確保基本的網絡性能，傳統的解決方案只側重于掃描數據包的包頭，而遺漏了數據包內隱藏的數據威脅。理想狀態下，網絡安全解決方案應當能夠及時全面地檢查每一個數據包內現存的所有內在和外在威脅。由SonicWALL研發的這種針對深度包進行實時、全面檢測的能力，被稱為免重組深度包檢測。

　　在不明顯降低網絡吞吐量的前提下，基礎架構的性能對完成實時DPI至關重要。由于日漸增長的檢測要求，傳統的單核處理器和ASIC(專用集成電路)解決方案不能及時地處理來自網絡內外、不斷演變的復雜攻擊。

　　多核架構是通過實時DPI來實施UTM的平臺。與通用處理器和ASIC處理器相比較而言，多核技術在性能、可擴展性和節能性方面都比當今現有的其它網絡安全平臺更具優勢。多核處理器與免重組深度包檢測兼容的靈活性、經濟性和能效性構成了高性能網絡安全行業的基石。面對愈加復雜的網絡環境，網絡安全越來越依賴于統一威脅管理方法和實時深度包檢查的結合。然而，這些技術要求一個基礎的平臺，例如多核處理器架構，在保證網絡安全的同時不影響網絡吞吐量和企業生產力。統一威脅管理(UTM)

　統一威脅管理(UTM)

　　已成為保護現代網絡的事實標準。面對當今各種威脅，傳統的單一解決方案已不能針對復雜的威脅提供足夠、及時和完全的保護措施。很多惡意攻擊正是利用了包括日益復雜的、無約束的因特網訪問、對等應用、即時通信和多媒體應用在內的商業網絡環境產生的。這種復雜性自然地為間諜軟件、惡意移動代碼、鍵盤記錄、VoIP攻擊、網絡釣魚、欺詐性網站和混合威脅(例如新近的風暴蟲——病毒和蠕蟲聯合帶來的難以琢磨的多元攻擊)提供了潛在攻擊路徑。同時這種復雜性也破壞了IT對網絡的控制，經常導致帶寬降低、生產力下降，企業的網絡被許多不正當訪問或非法的信息流量搞得不堪重負。

　　雖然采用傳統單一的解決方案可以解決一些網絡威脅和生產力問題，但是很難調配、管理和更新，從而增加了操作的復雜性和超額花費。相反，當今機構要求為網絡安全和生產力提供一個結合傳統的單個技術管理的綜合平臺。

　　統一威脅管理(UTM)代表著傳統防火墻進化趨勢已經形成——傳統的防火墻演化成不再僅是防止入侵的工具，而演化成能夠執行內容過濾、數據泄露保護、入侵檢測和反惡意軟件的一種多功能系統。

　UTM使用免重組深度包檢測

　　采用狀態包檢測技術的傳統解決方案只檢查約2％的防火墻流量，而使用深度包檢測(DPI)技術的UTM解決方案被設計成能夠檢查100％的進出防火墻的流量。但是，并不是所有的DPI方法都是相同的。

　　免重組深度包檢測(RFDPI)是由SonicWALL公司提出并實現的，可以實時掃描處理無限大的文件和無限多的網絡連接。RFDPI技術是為多核硬件量身打造的，它可以實現超高速智能檢測，與其它DPI方法相比，它在可擴展性和性能提升方面都更具優勢。

　　與所有其它DPI方法不同，RFDPI不需要停機和在內存中儲存信息流量。通常，系統管理員習慣在高負荷狀態下要么對超負荷流量不檢測而放行，要么形成流量擁堵，這也發生在正常的商業通信中。此外，與其它DPI方法不同，RFDPI不限制文件的大小，任何一個用戶都能下載，也不限制同時保護文件的用戶數量。這使得RFDPI架構成為業內可擴展性強的架構，并成為實現實時的統一威脅管理(UTM)功能強大的解決方案。

　網絡安全架構比較

　　安全供應商開發的下一代安全產品已經在基礎硬件設計上采取了多種方法。SonicWALL選擇了多核處理器架構，其他供應商選擇了通用處理器加單獨的安全協處理器結構，甚至有一些供應商選擇設計并構建ASIC平臺。下面我們探討通用處理器和ASIC處理器的自身局限性，并將這些局限性與多核技術的強大優勢進行比較。

1．通用處理器的局限性

　　通用處理器依賴一個單一CPU來處理全部功能，它們不提供任何類型的安全升級服務。通常情況下，這類處理器需要第三方的安全協處理器為其提供必要的安全方面的硬件操作。因為通用處理器在超高的時頻運轉時需要附加協處理器，而且一般操作中還將消耗更多的功耗。另外，通用處理器和安全協處理器具有不同的總線頻率，這也會限制通用處理器解決方案的性能。通用處理器也可能在存儲器帶寬方面受限制從而導致相對緩慢的數據包處理。總而言之，通用單一處理器設計為UTM檢測提供的硬件平臺并不理想。

2．ASIC處理器的局限性

　ASIC平臺具有高速轉發包能力，但是它們在網絡安全設備中存在固有的設計問題和局限性。

　　一個尤為明顯的問題是，供應商在升級那些不斷變化的處理安全問題時的ASIC微代碼方面的能力有限。采用ASIC解決方案，供應商不具備修改微代碼的能力，從而給附加的、用來處理不斷變化協議的新功能帶來麻煩。由于不能保證這些產品可以升級和滿足用戶未來的安全需求，這就限制了基于ASIC的安全產品的應用范圍。

3．多核處理器的優勢

　　多核處理器對于支持UTM產品有很多優于ASIC處理器和通用處理器的地方。這些優勢包括低功耗、聯網安全協處理器和增加存儲器帶寬從而能提高網絡吞吐量。SonicWALL的多核平臺將硬件加速和自動化集成在更大范圍的數據包處理和特殊應用功能中。借助上述硬件優點，SonicWall的SonicOC固件實現了軟件無法匹敵的性能。

　　與通用處理器相比，應用于SonicWALL新一代安全產品的多核處理器為每一個核提供了額外的安全協處理器，可以使每個單獨的核在芯片上具有額外的安全性硬件加速能力。通過安全協處理器與多核平臺的集成，SonicWALL已經開發出了一種高性能解決方案，可以明顯降低安全協處理中的延遲問題。而且，由于所有安全加速硬件都是芯片上(on-chip)的，SonicWALL多核架構不受總線頻率的限制。考慮到未來的重復利用性，SonicWALL多核平臺的設計可方便地擴展到使每塊芯片擁有更多內核、每塊主板擁有更多芯片、每個機箱擁有更多主板的應用中。

　　為了提高網絡包處理性能，SonicWALL的多核處理器設計比通用處理器有更優越的存儲器帶寬。更大的存儲器帶寬造就了神速的數據包處理平臺，這是因為每個數據包有更多的存儲資源。在通用處理器中，存儲帶寬被限制在86GB／s以內，而多核處理器的存儲帶寬超過100GB／s。多核處理器的設計和實現也展示了其高效性。例如，在SonicWALL多核產品中，高效兼具化的設計使得芯片具有低能耗和小芯片面積的特性。因此，這些處理器集成了大量專用的硬件加速，允許在單個處理器上集成多達16個核，從而可提供的性能，現實生活中的大量應用就是它的證明。多核處理器技術讓SonicWALL能夠開發出高性能的網絡安全設備，這種設備與使用通用處理器和安全協作處理器的解決方案相比可減少大約30％的功耗，而網速相差無幾。SonicWALL多核處理器設備多可采用16個內核，還為未來的重復利用設計了更多的內核空間，提供高性能并行數據包處理，集成了正常操作過程中具有較低功耗和低時頻運行的安全協作處理器。

　　與ASIC解決方案不同，SonicWALL多核安全設備可以全面現場升級，所以能夠與不斷演變的安全威脅并駕齊驅，從而提供行業內廣泛認可的新型網絡安全技術和協議。

　　為了滿足當今的網絡安全需求，SonicWALL采用了具備實時免重組深度包檢測功能的統一威脅管理技術。如此高水準的UTM需要具備性能的基礎硬件架構與之配合。與通用處理器和ASIC解決方案相比，SonicWALL網絡安全設備(NSA)的多核處理器架構明顯優于其它產品。

　　多核架構的基本原理是范圍地提高應用性能和可擴展性，同時將功耗和升級復雜性降至。多核架構結合了專用的硬件加速和高性能多核處理器架構技術。這種的結合方式可以提供數據包、內容及安全處理方面的高性能和高效的解決方案。與其它架構相比，多核架構在低功耗和升級復雜程度小化方面效率更優。用戶大可不必再擔心多余的開銷及操作的復雜程度。

　　通過技術創新、高性能、成本效益及可靠性的完美結合，SonicWALL已經發展成為UTM領域的全球。