信息安全的雙保險——中興網安CTM-A2080評測

在網絡領域，一直存在著一個非常有意思的現象：數據通信產品的規格特性總是領先用戶需求，信息安全產品則總在追趕用戶的需求。數據通信是網絡基礎架構的一部分，是業務的承載體，它的進步是業務發展的動力，自然應該走在前列；信息安全則與業務有著太多的相關性，而業務又在不斷發展變化，才衍生出各種新的安全需求。所以從因果關系的角度來看，即便信息安全相關技術在高速發展，其追趕者的地位也是無法改變的。

面對嚴重的安全威脅，大部分用戶采用的是成熟但并不100%可靠的被動防御解決方案，防火墻、病毒過濾、入侵防御等都在此列。也有個別新產品融入了部分主動防御因素，但此類技術一來還不成熟，二來與業務的相關性太強，無法得到廣泛應用。總之，目前單純以安全防御為目的的產品解決方案，還都不那么完善。

繼往開來的CTM

其實，網絡社會這一虛擬空間和現實社會一樣，同時存在著治安和秩序兩大問題。被動防御產品實際上解決的是治安問題，對網絡社會中的突發事件缺少感知、指揮、記錄和追溯的能力。所以，安全產品除了以被動防御為技術手段的一大分支，還有一類將關注重點放在內容記錄與取證上，常見的安全審計、上網行為管理都是此類產品的代表。它們會對流經網絡的所有數據進行記錄，再根據功能側重的不同，做更加細化的解析挖掘工作，為責任認定、取證等需求提供依據。這類產品在網絡中的角色，相當于秩序的監管者。

長期以來，被動防御類產品和內容記錄與取證類產品無論在技術、功能側重還是部署思路等方面均無交集，導致網絡空間中治安與秩序的問題難以統一。但在安全管理理念與重要性逐步被用戶所認同的今天，無論從IT維護的復雜度還是綜合成本的角度考慮，將兩者合二為一的需求都逐漸清晰。北京中興網安科技有限公司（以下簡稱“中興網安”）就是該理念很好的貫徹者，他們推出的CTM（Collaborative Threat Management）一體化協同安全網關完全整合了傳統UTM產品與流量記錄/統計功能，為用戶網絡的安全上了雙保險。

中興網安CTM系列目前擁有4款產品，本次我們測試的是定位于中低端的CTM-A2080。該設備提供了4個千兆電口與4個千兆SFP接口，部署起來相對靈活。雖然定位于中低端，CTM-A2080在硬件規格上卻一點都不含糊，至少標配的雙冗余電源在平時同規格產品中比較罕見。由于流量記錄要使用大量的磁盤空間，該系列產品均使用了2U規格設計，內有多個支持熱插拔的硬盤位。

CTM-A2080提供了多種控制方式，不過從操作的友好度來說，基于https的WebUI顯然是用戶的第一選擇。這是一個設計得非常人性化的操作界面，它一改多數安全產品晦澀的、以文字為主的風格，使用了全部圖形化的設計思路，操作起來非常簡單。產品提供的所有功能都以模塊形式出現在側邊欄中，用戶可以根據實際需求隨時添加或卸載功能模塊。我們注意到，流量記錄等功能與VPN、病毒過濾、入侵防護、防火墻等被動防御功能融為一體，并不是兩種產品簡單的功能堆疊。WebUI主界面的頂端還提供了一些當前系統的運行信息，對于管理人員來說顯得非常實用。

流量記錄功能在CTM中占據著相當重要的位置，我們也進行了仔細研究。該功能開啟時，設備可以采集指定接口所收發的所有流量，并保存在本地。在取證時，可以很方便地根據IP、時間段等限定因素，回溯當時的流量。如果需要，管理員甚至可以以pcap的形式直接提取流量，以便做進一步分析。與此對應，如果在流量記錄的基礎上再開啟流量分析功能，管理員就可以得到一份極其詳細的實時統計報表，完全洞悉網絡中的所有使用行為。這個功能不但利于管理，更能為其他被動防御功能模塊提供及時的配置建議。

流量記錄：

不以犧牲性能為代價

CTM的實現思路很清晰，即在單一硬件內，將以傳統被動防御為代表的UTM功能與流量記錄及回溯的相關功能進行整合。所以我們在研究產品時，也相應地將性能測試方案分為了針對UTM功能模塊和流量記錄模塊的兩大部分。雖然該設備可以單獨開啟這兩大功能，我們還是盡量從用戶角度出發，重點測試了它們同時開啟時的性能表現。這個數據，可以看做該產品理論上的極限性能，顯然更具實際意義。

我們使用了思博倫通信提供的SmartBits 600網絡層性能測試儀和Avalanche 2900應用層性能測試儀對中興網安CTM-A2080進行了測試。根據IDC的定義，UTM必須至少集成防火墻、病毒過濾及入侵防御這三個用戶需求度最高的被動防御功能。我們的測試也在這樣的配置下進行，并在開始前將病毒、入侵特征庫升級至最新版本（20110319）。在同時開啟防火墻、病毒過濾和入侵防御功能模塊且使能全部特征的情況下，該產品每秒可新建706個HTTP連接，最大可用帶寬達到541Mbps。這樣的處理能力，對于CTM-A2080中低端的定位來說可謂相當慷慨。

考慮到防火墻的應用范疇遠遠超過UTM，我們也測試了CTM-A2080單獨開啟防火墻模塊、加載200條訪問控制策略時的性能表現。在雙千兆口、橋模式的配置下，該產品在76Byte幀長時的雙向TCP吞吐量達到6.4%，1518Byte幀長時則達到線速。當測試幀長小于1280Byte時，轉發的平均延遲均低于50微秒。病毒過濾和入侵防御功能的關閉也顯著降低了業務處理的復雜度，此時我們測得的CTM-A2080每秒HTTP新建連接數比先前上升了一倍，HTTP最大可用帶寬也達到了千兆接口理論上的最大值。最后，我們又模仿大部分用戶的部署模型，將CTM-A2080配置為單向NAT模式進行了測試。此時該產品的整體轉發能力較橋模式略有下降，但因測試使用的是單向流量，設備在1024Byte幀長時的TCP吞吐量就已達到線速，平均延遲也比先前有所降低。

在涉及流量記錄功能的性能測試中，雖然在流量記錄與實時分析功能依次開啟后，設備的吞吐量較只開啟防火墻功能時有所下降，但幅度并不算明顯。可以說，CTM將傳統UTM功能與流量記錄功能整合的效率還是比較高的，用戶可以不必擔心流量記錄給設備性能帶來的影響。