ASIC芯片驱动综合安全(2)

　　架构二直接整合网络接口插卡和UTM专用ASIC芯片，使得UTM功能完全整合在一个专用的模块化插卡当中，不但实现了性能的高速提升，还能够按照用户需求，提供不同类型、不同接口、不同性能的UTM模块。插上UTM模块，设备就成为了一台高性能UTM网关，取下模块，该设备依旧是一台高性能的防火墙/IPS产品。

　　使用这种架构，也充分体现了模块化的设计理念，为UTM产品的未来发展提供了一个新的思路。在架构二的基础之上，系统可以千兆线速对数据包进行全包过滤(Web页过滤、URL过滤、关键字过滤、病毒特征过滤等)。

　　采用ASIC芯片最大的好处，就是利用其硬件加速的能力，加快对内容的处理。ASIC芯片是高性能的2～7层网络内容全面检查、分流的专用ASIC芯片。它的核心特点是网络全包内容特征的高速查找。ASIC芯片具有软件无法比拟的并行高速检查能力，能够在千兆线速下进行全包内容的检测及过滤，并通过全硬件查找，并行处理查找单元实现千兆字节流量过滤及模式匹配。

　　以深度内容保护和报文检测、智能模式识别技术为例，在进行深度内容保护和报文检测时，利用ASIC芯片进行网络数据包的Data部分的检测和过滤，把网络层的数据还原至应用层进行分析。这种技术实际就是网络数据分析软件所具有的功能(在网络中接收到数据包之后进行内容还原)。由于使用专门的ASIC芯片进行数据还原工作，因此能够大幅度提高数据的处理分析速度，从基础上保证了能够实现千兆流量环境下的内容过滤功能。

　　智能模式识别的核心技术则在于对专用ASIC芯片设计与高速查找算法的技术实现。通过特殊设计的高速查询算法和模式匹配技术，然后将该算法加载至ASIC芯片，从而实现每秒检查上百万个数据包，核对每个包是否匹配上万条安全特征规则。

　　ASIC芯片集网络包处理和内容处理为一身，芯片首先完成流重组，然后直接在网络层匹配规则，并执行动作处理安全事件，需要进一步分析的才送CPU。网络中90%以上的数据在ASIC芯片中直接完成处理。

　　ASIC架构UTM实现了硬件会话处理。通过在平台上采用SynCookie、SynProxy算法，实现了硬件防DDoS攻击。而且，ASIC芯片平台天然支持多端口、高性能。通过对ASIC加速器进行优化，处理性能有大幅的提升。