信息安全的雙保險——中興網(wǎng)安CTM-A2080評測

在網(wǎng)絡(luò)領(lǐng)域，一直存在著一個非常有意思的現(xiàn)象：數(shù)據(jù)通信產(chǎn)品的規(guī)格特性總是領(lǐng)先用戶需求，信息安全產(chǎn)品則總在追趕用戶的需求。數(shù)據(jù)通信是網(wǎng)絡(luò)基礎(chǔ)架構(gòu)的一部分，是業(yè)務(wù)的承載體，它的進步是業(yè)務(wù)發(fā)展的動力，自然應(yīng)該走在前列；信息安全則與業(yè)務(wù)有著太多的相關(guān)性，而業(yè)務(wù)又在不斷發(fā)展變化，才衍生出各種新的安全需求。所以從因果關(guān)系的角度來看，即便信息安全相關(guān)技術(shù)在高速發(fā)展，其追趕者的地位也是無法改變的。

面對嚴(yán)重的安全威脅，大部分用戶采用的是成熟但并不100%可靠的被動防御解決方案，防火墻、病毒過濾、入侵防御等都在此列。也有個別新產(chǎn)品融入了部分主動防御因素，但此類技術(shù)一來還不成熟，二來與業(yè)務(wù)的相關(guān)性太強，無法得到廣泛應(yīng)用。總之，目前單純以安全防御為目的的產(chǎn)品解決方案，還都不那么完善。

繼往開來的CTM

其實，網(wǎng)絡(luò)社會這一虛擬空間和現(xiàn)實社會一樣，同時存在著治安和秩序兩大問題。被動防御產(chǎn)品實際上解決的是治安問題，對網(wǎng)絡(luò)社會中的突發(fā)事件缺少感知、指揮、記錄和追溯的能力。所以，安全產(chǎn)品除了以被動防御為技術(shù)手段的一大分支，還有一類將關(guān)注重點放在內(nèi)容記錄與取證上，常見的安全審計、上網(wǎng)行為管理都是此類產(chǎn)品的代表。它們會對流經(jīng)網(wǎng)絡(luò)的所有數(shù)據(jù)進行記錄，再根據(jù)功能側(cè)重的不同，做更加細(xì)化的解析挖掘工作，為責(zé)任認(rèn)定、取證等需求提供依據(jù)。這類產(chǎn)品在網(wǎng)絡(luò)中的角色，相當(dāng)于秩序的監(jiān)管者。

長期以來，被動防御類產(chǎn)品和內(nèi)容記錄與取證類產(chǎn)品無論在技術(shù)、功能側(cè)重還是部署思路等方面均無交集，導(dǎo)致網(wǎng)絡(luò)空間中治安與秩序的問題難以統(tǒng)一。但在安全管理理念與重要性逐步被用戶所認(rèn)同的今天，無論從IT維護的復(fù)雜度還是綜合成本的角度考慮，將兩者合二為一的需求都逐漸清晰。北京中興網(wǎng)安科技有限公司（以下簡稱“中興網(wǎng)安”）就是該理念很好的貫徹者，他們推出的CTM（Collaborative Threat Management）一體化協(xié)同安全網(wǎng)關(guān)完全整合了傳統(tǒng)UTM產(chǎn)品與流量記錄/統(tǒng)計功能，為用戶網(wǎng)絡(luò)的安全上了雙保險。

中興網(wǎng)安CTM系列目前擁有4款產(chǎn)品，本次我們測試的是定位于中低端的CTM-A2080。該設(shè)備提供了4個千兆電口與4個千兆SFP接口，部署起來相對靈活。雖然定位于中低端，CTM-A2080在硬件規(guī)格上卻一點都不含糊，至少標(biāo)配的雙冗余電源在平時同規(guī)格產(chǎn)品中比較罕見。由于流量記錄要使用大量的磁盤空間，該系列產(chǎn)品均使用了2U規(guī)格設(shè)計，內(nèi)有多個支持熱插拔的硬盤位。

CTM-A2080提供了多種控制方式，不過從操作的友好度來說，基于https的WebUI顯然是用戶的第一選擇。這是一個設(shè)計得非常人性化的操作界面，它一改多數(shù)安全產(chǎn)品晦澀的、以文字為主的風(fēng)格，使用了全部圖形化的設(shè)計思路，操作起來非常簡單。產(chǎn)品提供的所有功能都以模塊形式出現(xiàn)在側(cè)邊欄中，用戶可以根據(jù)實際需求隨時添加或卸載功能模塊。我們注意到，流量記錄等功能與VPN、病毒過濾、入侵防護、防火墻等被動防御功能融為一體，并不是兩種產(chǎn)品簡單的功能堆疊。WebUI主界面的頂端還提供了一些當(dāng)前系統(tǒng)的運行信息，對于管理人員來說顯得非常實用。

流量記錄功能在CTM中占據(jù)著相當(dāng)重要的位置，我們也進行了仔細(xì)研究。該功能開啟時，設(shè)備可以采集指定接口所收發(fā)的所有流量，并保存在本地。在取證時，可以很方便地根據(jù)IP、時間段等限定因素，回溯當(dāng)時的流量。如果需要，管理員甚至可以以pcap的形式直接提取流量，以便做進一步分析。與此對應(yīng)，如果在流量記錄的基礎(chǔ)上再開啟流量分析功能，管理員就可以得到一份極其詳細(xì)的實時統(tǒng)計報表，完全洞悉網(wǎng)絡(luò)中的所有使用行為。這個功能不但利于管理，更能為其他被動防御功能模塊提供及時的配置建議。

流量記錄：

不以犧牲性能為代價

CTM的實現(xiàn)思路很清晰，即在單一硬件內(nèi)，將以傳統(tǒng)被動防御為代表的UTM功能與流量記錄及回溯的相關(guān)功能進行整合。所以我們在研究產(chǎn)品時，也相應(yīng)地將性能測試方案分為了針對UTM功能模塊和流量記錄模塊的兩大部分。雖然該設(shè)備可以單獨開啟這兩大功能，我們還是盡量從用戶角度出發(fā)，重點測試了它們同時開啟時的性能表現(xiàn)。這個數(shù)據(jù)，可以看做該產(chǎn)品理論上的極限性能，顯然更具實際意義。

我們使用了思博倫通信提供的SmartBits 600網(wǎng)絡(luò)層性能測試儀和Avalanche 2900應(yīng)用層性能測試儀對中興網(wǎng)安CTM-A2080進行了測試。根據(jù)IDC的定義，UTM必須至少集成防火墻、病毒過濾及入侵防御這三個用戶需求度最高的被動防御功能。我們的測試也在這樣的配置下進行，并在開始前將病毒、入侵特征庫升級至最新版本（20110319）。在同時開啟防火墻、病毒過濾和入侵防御功能模塊且使能全部特征的情況下，該產(chǎn)品每秒可新建706個HTTP連接，最大可用帶寬達(dá)到541Mbps。這樣的處理能力，對于CTM-A2080中低端的定位來說可謂相當(dāng)慷慨。

考慮到防火墻的應(yīng)用范疇遠(yuǎn)遠(yuǎn)超過UTM，我們也測試了CTM-A2080單獨開啟防火墻模塊、加載200條訪問控制策略時的性能表現(xiàn)。在雙千兆口、橋模式的配置下，該產(chǎn)品在76Byte幀長時的雙向TCP吞吐量達(dá)到6.4%，1518Byte幀長時則達(dá)到線速。當(dāng)測試幀長小于1280Byte時，轉(zhuǎn)發(fā)的平均延遲均低于50微秒。病毒過濾和入侵防御功能的關(guān)閉也顯著降低了業(yè)務(wù)處理的復(fù)雜度，此時我們測得的CTM-A2080每秒HTTP新建連接數(shù)比先前上升了一倍，HTTP最大可用帶寬也達(dá)到了千兆接口理論上的最大值。最后，我們又模仿大部分用戶的部署模型，將CTM-A2080配置為單向NAT模式進行了測試。此時該產(chǎn)品的整體轉(zhuǎn)發(fā)能力較橋模式略有下降，但因測試使用的是單向流量，設(shè)備在1024Byte幀長時的TCP吞吐量就已達(dá)到線速，平均延遲也比先前有所降低。

在涉及流量記錄功能的性能測試中，雖然在流量記錄與實時分析功能依次開啟后，設(shè)備的吞吐量較只開啟防火墻功能時有所下降，但幅度并不算明顯。可以說，CTM將傳統(tǒng)UTM功能與流量記錄功能整合的效率還是比較高的，用戶可以不必?fù)?dān)心流量記錄給設(shè)備性能帶來的影響。