御智取亦需防強攻

近些年來，新的攻擊手段不斷涌現，應用層安全成為行業關注的焦點。從SQL注入到Phone-Home，攻擊者利用變幻莫測的技術手段，制造了一起又一起重大安全事件，令所有網絡管理者頭疼不已。但在構思巧妙的“智取”手段外，互聯網用戶遇到更多的仍然是各類基于網絡層的傳統攻擊。它們簡單、粗暴卻有效，一旦攻擊得手，同樣會給用戶造成難以估量的經濟損失。

雖然幾乎所有包含防火墻功能的網關產品都宣稱支持多種抗攻擊特性，卻罕有廠商會提及相關性能指標，因為開啟網絡抗攻擊特性會占用更多的系統資源，對產品性能造成很大的影響。我們早先曾經測試過一款基于x86+ASIC架構的中高端防火墻，當開啟網絡抗攻擊特性后，設備的新建連接數從3萬多直落到6000左右，根本無法與其7種幀長時4Gbps的吞吐量相匹配。如果攻擊導致系統資源消耗殆盡，再高的吞吐量也不過是浮云。所幸的是，隨著軟硬件水平的不斷提升，如今的安全產品在抗攻擊能力方面也有了長足進步，本次我們測試的Hillstone SG-6000-G3150就是一個很好的例證。

SG-6000-G3150是Hillstone推出的多核安全網關中比較有代表性的一款產品，具有8Gbps的防火墻吞吐量。該產品采用模塊化設計，固化有4個千兆電口和8個SPF接口，同時提供了4個通用擴展槽，可支持不同規格的接口擴展模塊、存儲擴展模塊及應用處理擴展模塊，為設備升級和安全管理提供了擴展空間。接口擴展模塊能夠提高設備的連接性，使其避免因為網絡帶寬或應用系統升級而過時；存儲擴展模塊則允許設備實時記錄各種審計日志和審計數據，方便用戶進行安全風險評估，滿足特定政策法規的要求；應用處理擴展模塊則直接為設備帶來性能上的提升，拓展整機的安全業務及連接處理能力。功能方面，SG-6000-G3150既提供了覆蓋網絡層到應用層的多種安全業務，又支持目前用戶非常關注的基于角色管理的訪問控制特性，已經比較全面。

為考察抗攻擊性能，我們使用一臺標準配置的SG-6000-G3150搭建了簡單的測試環境。測試儀的第一個千兆端口上模擬了100個用戶的正常上網行為，發起每秒約1000個HTTP新建連接；第二個千兆端口模擬攻擊行為，生成900Mbps（0.21Mpps）的UDP-Flood、SYN-Flood和ICMP-Flood混合攻擊流量。兩種流量通過一臺千兆交換機匯聚到一個接口，再穿過開啟了各類抗攻擊功能的SG-6000-G3150，回注到測試儀上模擬服務器的千兆端口。我們在設備配置過程中看到，SG-6000-G3150可以執行復合安全檢測模式，即同時啟用SYN-Proxy、SYN-Cookie及最常見的閾值防護功能，用戶可以根據網絡運行的實際情況設定各個模式的啟用條件及檢測行為。

在測試初始階段，我們使用測試儀的第一個千兆端口發送了正常流量，此時所有連接均成功建立，SG-6000-G3150的CPU利用率為1%。然后再通過第二個千兆端口發送混合攻擊流量，此時設備顯示檢測到大量攻擊并執行阻斷動作，CPU占用率上升到14%；測試儀上模擬服務器的千兆端口沒有檢測到任何攻擊報文，仍然只收到正常的HTTP訪問請求，證明SG-6000-G3150成功攔截了所有攻擊流量。我們又換用了真正的Web服務器替代測試儀模擬端口再次進行了驗證，在900Mbps的混合攻擊流量下，Web服務依然訪問順暢，系統日志中也沒有出現任何有關攻擊行為的記錄。從加入混合攻擊流量的CPU占用率的增幅來看，SG-6000-G3150已經擺脫了傳統產品開啟抗攻擊功能時性能下降過大的陰影，對于用戶部署來說有著更多的實際意義。