硬體閘道防毒設備採購特輯─防毒閘道效能改善術

如果沒有良好的效能，功能再完善的防毒閘道也無用武之地

硬體閘道防毒與郵件相關的通訊協定較少發生問題，不過，一旦啟用HTTP過濾，網路就很非常容易壅塞，因為HTTP需要多道連線程序來確認每一個網頁的開啟，屬於比較慢速的通訊協定，不像SMTP或POP3的反應速度較快，如果要再檢查HTTP的傳輸內容，對於任何一個設備都是很大的負擔。能夠克服HTTP掃毒的產品，代表它的效能的確不錯。硬體強化

除了Fortinet採用ASIC晶片硬體，其他閘道防毒設備都是以個人電腦硬體為基礎的伺服器，但是這些設備幾乎都是採用專屬的硬體元件，我們很難直接更換閘道內的硬體元件，更不用說是改善處理效能。

換機：這是最簡單的升級法，也就是換另一部規格更高，當然價格也更昂貴的機種。如果還是無法負荷流量，就可能要考慮負載平衡與負載分享機制。有些廠商甚至提供舊機換新機服務，只要補差價就可以升級到更高階的機型。

負載平衡機制：如果公司的網路使用人數很多，或考量到未來流量成長等因素，最好選擇內建「防毒處理負載平衡」的硬體閘道防毒設備。但要注意的是，一般的負載平衡管理設備，如果未整合防毒處理功能，屆時仍然幫不上忙。

存取程序：比對病毒資料庫的存取程序，也會影響到效能。如果是直接在記憶體掃描流量，速度會比較快；但若是先從快取記憶體傳送到實體記憶體，之後儲存在硬碟，然後再讀取檔案置放在實體記憶體，利用快取記憶體掃描，從接受流量到掃描，繞了一大圈，必然影響整體處理效能。

外掛硬體加速：許多家廠商都在發展硬體加速元件，例如McAfee即將發表的HTTP硬體加速卡；奕瑞科技近期將為Fortinet用戶推出一款比煙盒還要小的防毒牆，直接把Kaspersky的防毒引擎寫在晶片內，假如企業已經購買Fortinet產品，卻不滿意內建的防毒功能，就可以USB埠連結方式外掛在防火牆上，而且產品同樣做到完全透通，不設IP也能提供HTTP、SMTP、POP3和FTP等通訊協定的防毒。此外，奕瑞還會發表工業電腦用的防毒牆，利用主機板上的多個PCI插槽做到叢集功能，適合需要大量輸出的企業。

有些PC架構的硬體設備，仍有升級硬體的空間，可以透過設備內的監控機制，記錄設備系統資源的消耗，例如記憶體、處理器使用率、硬碟I/O，找出資源消耗的原因，然後換更好的硬體，桓基ViruSherlock屬於這種類型。多執行緒防毒引擎與串流掃毒

幾乎所有的病毒掃描引擎，包括開放原始碼的Clam防毒，都採用多執行緒（multi-thread），能夠同時掃瞄多個檔案，以提升病毒掃描與過濾效能。

去年開始崛起的CP Secure在提升防毒引擎效能上，強調自行研發的串流掃毒技術（Stream Based Scaning）。串流掃毒以封包為主，當一個封包進入閘道後，會暫存在佇列內，等到累積到特定大小後再掃描，確認無毒後，再接續傳送到內部網路；由於一開始傳輸時，就已經陸續後送網路封包，等到所有的封包掃描完，檔案也等於同時後送到個人端電腦上了，CP Secure認為串流掃毒會比傳統掃毒快上3倍。王智暉說，如果病毒藏在檔案最尾端，或僅使用電子郵件掃毒時，速度和傳統掃毒相差無幾，但是，使用者瀏覽網頁時，感受則較明顯。

企業越來越需要HTTP掃毒，傳統掃毒方式要做到即時反應，硬體規格等級要很高，才能處理更大量的資料。如果防毒引擎可以提升處理效能，就無須耗費硬體成本去升級，如此也能夠達到高效能。資料緩移

McAfee Webshield 3000系列新增加資料緩移（Data Trickling）技術，提升HTTP 下載大型檔案時的效率。當Webshield從外部網路接收到整個檔案掃毒前，會先將下載檔案分割為多個特定大小的資料區塊，然後再傳送到個人端電腦上，和CP Secure的串流掃毒有異曲同工之妙。不過，McAfee也警告啟用這項功能，可能會暴露網路弱點。效能問題應正本清源

「一次掃完再後送」及「邊掃描邊後送」，前者會發生一些延遲，但是較安全，能夠完整的判斷封包，降低風險；後者雖然不會察覺延遲，但是漏洞比較多。對使用者而言，接收到完整檔案的總時間事實上是一樣，差別只在於傳輸過程中使用者的感覺。選擇哪一項對使用者的結果相同，最後傳輸完成的時間點仍然沒有差異。

李國政認為，最理想的方式應兼顧完整掃描和處理效能，將影響使用者的程度盡量降低。重點應回歸到硬體閘道防毒產品對封包處理的能力。邊掃邊送不見得可以達到完整掃描後送的效益。

除了網路封包分割傳輸，能夠提升HTTP掃毒效能，SonicWall的閘道防毒，利用IPS-Deep Packet Inspection v2.0深層封包檢測引擎，不須重組封包也能掃毒。此外，ServGate透過Proxy網頁快取，也可以提升網頁防毒過濾效能。文⊙李宗翰