论文部分内容阅读
在网络领域,一直存在着一个非常有意思的现象:数据通信产品的规格特性总是领先用户需求,信息安全产品则总在追赶用户的需求。数据通信是网络基础架构的一部分,是业务的承载体,它的进步是业务发展的动力,自然应该走在前列;信息安全则与业务有着太多的相关性,而业务又在不断发展变化,才衍生出各种新的安全需求。所以从因果关系的角度来看,即便信息安全相关技术在高速发展,其追赶者的地位也是无法改变的。
面对严重的安全威胁,大部分用户采用的是成熟但并不100%可靠的被动防御解决方案,防火墙、病毒过滤、入侵防御等都在此列。也有个别新产品融入了部分主动防御因素,但此类技术一来还不成熟,二来与业务的相关性太强,无法得到广泛应用。总之,目前单纯以安全防御为目的的产品解决方案,还都不那么完善。
继往开来的CTM
其实,网络社会这一虚拟空间和现实社会一样,同时存在着治安和秩序两大问题。被动防御产品实际上解决的是治安问题,对网络社会中的突发事件缺少感知、指挥、记录和追溯的能力。所以,安全产品除了以被动防御为技术手段的一大分支,还有一类将关注重点放在内容记录与取证上,常见的安全审计、上网行为管理都是此类产品的代表。它们会对流经网络的所有数据进行记录,再根据功能侧重的不同,做更加细化的解析挖掘工作,为责任认定、取证等需求提供依据。这类产品在网络中的角色,相当于秩序的监管者。
长期以来,被动防御类产品和内容记录与取证类产品无论在技术、功能侧重还是部署思路等方面均无交集,导致网络空间中治安与秩序的问题难以统一。但在安全管理理念与重要性逐步被用户所认同的今天,无论从IT维护的复杂度还是综合成本的角度考虑,将两者合二为一的需求都逐渐清晰。北京中兴网安科技有限公司(以下简称“中兴网安”)就是该理念很好的贯彻者,他们推出的CTM(Collaborative Threat Management)一体化协同安全网关完全整合了传统UTM产品与流量记录/统计功能,为用户网络的安全上了双保险。
中兴网安CTM系列目前拥有4款产品,本次我们测试的是定位于中低端的CTM-A2080。该设备提供了4个千兆电口与4个千兆SFP接口,部署起来相对灵活。虽然定位于中低端,CTM-A2080在硬件规格上却一点都不含糊,至少标配的双冗余电源在平时同规格产品中比较罕见。由于流量记录要使用大量的磁盘空间,该系列产品均使用了2U规格设计,内有多个支持热插拔的硬盘位。
CTM-A2080提供了多种控制方式,不过从操作的友好度来说,基于https的WebUI显然是用户的第一选择。这是一个设计得非常人性化的操作界面,它一改多数安全产品晦涩的、以文字为主的风格,使用了全部图形化的设计思路,操作起来非常简单。产品提供的所有功能都以模块形式出现在侧边栏中,用户可以根据实际需求随时添加或卸载功能模块。我们注意到,流量记录等功能与VPN、病毒过滤、入侵防护、防火墙等被动防御功能融为一体,并不是两种产品简单的功能堆叠。WebUI主界面的顶端还提供了一些当前系统的运行信息,对于管理人员来说显得非常实用。
流量记录功能在CTM中占据着相当重要的位置,我们也进行了仔细研究。该功能开启时,设备可以采集指定接口所收发的所有流量,并保存在本地。在取证时,可以很方便地根据IP、时间段等限定因素,回溯当时的流量。如果需要,管理员甚至可以以pcap的形式直接提取流量,以便做进一步分析。与此对应,如果在流量记录的基础上再开启流量分析功能,管理员就可以得到一份极其详细的实时统计报表,完全洞悉网络中的所有使用行为。这个功能不但利于管理,更能为其他被动防御功能模块提供及时的配置建议。
流量记录:
不以牺牲性能为代价
CTM的实现思路很清晰,即在单一硬件内,将以传统被动防御为代表的UTM功能与流量记录及回溯的相关功能进行整合。所以我们在研究产品时,也相应地将性能测试方案分为了针对UTM功能模块和流量记录模块的两大部分。虽然该设备可以单独开启这两大功能,我们还是尽量从用户角度出发,重点测试了它们同时开启时的性能表现。这个数据,可以看做该产品理论上的极限性能,显然更具实际意义。
我们使用了思博伦通信提供的SmartBits 600网络层性能测试仪和Avalanche 2900应用层性能测试仪对中兴网安CTM-A2080进行了测试。根据IDC的定义,UTM必须至少集成防火墙、病毒过滤及入侵防御这三个用户需求度最高的被动防御功能。我们的测试也在这样的配置下进行,并在开始前将病毒、入侵特征库升级至最新版本(20110319)。在同时开启防火墙、病毒过滤和入侵防御功能模块且使能全部特征的情况下,该产品每秒可新建706个HTTP连接,最大可用带宽达到541Mbps。这样的处理能力,对于CTM-A2080中低端的定位来说可谓相当慷慨。
考虑到防火墙的应用范畴远远超过UTM,我们也测试了CTM-A2080单独开启防火墙模块、加载200条访问控制策略时的性能表现。在双千兆口、桥模式的配置下,该产品在76Byte帧长时的双向TCP吞吐量达到6.4%,1518Byte帧长时则达到线速。当测试帧长小于1280Byte时,转发的平均延迟均低于50微秒。病毒过滤和入侵防御功能的关闭也显著降低了业务处理的复杂度,此时我们测得的CTM-A2080每秒HTTP新建连接数比先前上升了一倍,HTTP最大可用带宽也达到了千兆接口理论上的最大值。最后,我们又模仿大部分用户的部署模型,将CTM-A2080配置为单向NAT模式进行了测试。此时该产品的整体转发能力较桥模式略有下降,但因测试使用的是单向流量,设备在1024Byte帧长时的TCP吞吐量就已达到线速,平均延迟也比先前有所降低。
在涉及流量记录功能的性能测试中,虽然在流量记录与实时分析功能依次开启后,设备的吞吐量较只开启防火墙功能时有所下降,但幅度并不算明显。可以说,CTM将传统UTM功能与流量记录功能整合的效率还是比较高的,用户可以不必担心流量记录给设备性能带来的影响。
面对严重的安全威胁,大部分用户采用的是成熟但并不100%可靠的被动防御解决方案,防火墙、病毒过滤、入侵防御等都在此列。也有个别新产品融入了部分主动防御因素,但此类技术一来还不成熟,二来与业务的相关性太强,无法得到广泛应用。总之,目前单纯以安全防御为目的的产品解决方案,还都不那么完善。
继往开来的CTM
其实,网络社会这一虚拟空间和现实社会一样,同时存在着治安和秩序两大问题。被动防御产品实际上解决的是治安问题,对网络社会中的突发事件缺少感知、指挥、记录和追溯的能力。所以,安全产品除了以被动防御为技术手段的一大分支,还有一类将关注重点放在内容记录与取证上,常见的安全审计、上网行为管理都是此类产品的代表。它们会对流经网络的所有数据进行记录,再根据功能侧重的不同,做更加细化的解析挖掘工作,为责任认定、取证等需求提供依据。这类产品在网络中的角色,相当于秩序的监管者。
长期以来,被动防御类产品和内容记录与取证类产品无论在技术、功能侧重还是部署思路等方面均无交集,导致网络空间中治安与秩序的问题难以统一。但在安全管理理念与重要性逐步被用户所认同的今天,无论从IT维护的复杂度还是综合成本的角度考虑,将两者合二为一的需求都逐渐清晰。北京中兴网安科技有限公司(以下简称“中兴网安”)就是该理念很好的贯彻者,他们推出的CTM(Collaborative Threat Management)一体化协同安全网关完全整合了传统UTM产品与流量记录/统计功能,为用户网络的安全上了双保险。
中兴网安CTM系列目前拥有4款产品,本次我们测试的是定位于中低端的CTM-A2080。该设备提供了4个千兆电口与4个千兆SFP接口,部署起来相对灵活。虽然定位于中低端,CTM-A2080在硬件规格上却一点都不含糊,至少标配的双冗余电源在平时同规格产品中比较罕见。由于流量记录要使用大量的磁盘空间,该系列产品均使用了2U规格设计,内有多个支持热插拔的硬盘位。
CTM-A2080提供了多种控制方式,不过从操作的友好度来说,基于https的WebUI显然是用户的第一选择。这是一个设计得非常人性化的操作界面,它一改多数安全产品晦涩的、以文字为主的风格,使用了全部图形化的设计思路,操作起来非常简单。产品提供的所有功能都以模块形式出现在侧边栏中,用户可以根据实际需求随时添加或卸载功能模块。我们注意到,流量记录等功能与VPN、病毒过滤、入侵防护、防火墙等被动防御功能融为一体,并不是两种产品简单的功能堆叠。WebUI主界面的顶端还提供了一些当前系统的运行信息,对于管理人员来说显得非常实用。
流量记录功能在CTM中占据着相当重要的位置,我们也进行了仔细研究。该功能开启时,设备可以采集指定接口所收发的所有流量,并保存在本地。在取证时,可以很方便地根据IP、时间段等限定因素,回溯当时的流量。如果需要,管理员甚至可以以pcap的形式直接提取流量,以便做进一步分析。与此对应,如果在流量记录的基础上再开启流量分析功能,管理员就可以得到一份极其详细的实时统计报表,完全洞悉网络中的所有使用行为。这个功能不但利于管理,更能为其他被动防御功能模块提供及时的配置建议。
流量记录:
不以牺牲性能为代价
CTM的实现思路很清晰,即在单一硬件内,将以传统被动防御为代表的UTM功能与流量记录及回溯的相关功能进行整合。所以我们在研究产品时,也相应地将性能测试方案分为了针对UTM功能模块和流量记录模块的两大部分。虽然该设备可以单独开启这两大功能,我们还是尽量从用户角度出发,重点测试了它们同时开启时的性能表现。这个数据,可以看做该产品理论上的极限性能,显然更具实际意义。
我们使用了思博伦通信提供的SmartBits 600网络层性能测试仪和Avalanche 2900应用层性能测试仪对中兴网安CTM-A2080进行了测试。根据IDC的定义,UTM必须至少集成防火墙、病毒过滤及入侵防御这三个用户需求度最高的被动防御功能。我们的测试也在这样的配置下进行,并在开始前将病毒、入侵特征库升级至最新版本(20110319)。在同时开启防火墙、病毒过滤和入侵防御功能模块且使能全部特征的情况下,该产品每秒可新建706个HTTP连接,最大可用带宽达到541Mbps。这样的处理能力,对于CTM-A2080中低端的定位来说可谓相当慷慨。
考虑到防火墙的应用范畴远远超过UTM,我们也测试了CTM-A2080单独开启防火墙模块、加载200条访问控制策略时的性能表现。在双千兆口、桥模式的配置下,该产品在76Byte帧长时的双向TCP吞吐量达到6.4%,1518Byte帧长时则达到线速。当测试帧长小于1280Byte时,转发的平均延迟均低于50微秒。病毒过滤和入侵防御功能的关闭也显著降低了业务处理的复杂度,此时我们测得的CTM-A2080每秒HTTP新建连接数比先前上升了一倍,HTTP最大可用带宽也达到了千兆接口理论上的最大值。最后,我们又模仿大部分用户的部署模型,将CTM-A2080配置为单向NAT模式进行了测试。此时该产品的整体转发能力较桥模式略有下降,但因测试使用的是单向流量,设备在1024Byte帧长时的TCP吞吐量就已达到线速,平均延迟也比先前有所降低。
在涉及流量记录功能的性能测试中,虽然在流量记录与实时分析功能依次开启后,设备的吞吐量较只开启防火墙功能时有所下降,但幅度并不算明显。可以说,CTM将传统UTM功能与流量记录功能整合的效率还是比较高的,用户可以不必担心流量记录给设备性能带来的影响。