隨著云計(jì)算概念的深入人心，以及云計(jì)算應(yīng)用的日益落地，人們對云計(jì)算不再陌生，開始更加關(guān)心它將如何與自己的業(yè)務(wù)發(fā)生關(guān)聯(lián)。然而伴隨著云計(jì)算應(yīng)用的發(fā)展，云計(jì)算的安全問題也隨之而生。在金錢利益的驅(qū)動之下，已經(jīng)形成規(guī)模的黑客產(chǎn)業(yè)鏈也無可避免的將黑手伸入了云計(jì)算網(wǎng)絡(luò)之中。

云計(jì)算的安全威脅：

在云計(jì)算網(wǎng)絡(luò)中，安全威脅又有了什么新的表現(xiàn)形式?云安全對我們有什么新的技術(shù)挑戰(zhàn)?下面《網(wǎng)絡(luò)世界》評測實(shí)驗(yàn)室就目前收集到的云計(jì)算網(wǎng)絡(luò)安全威脅做了一個歸納性分析。

1、僵尸木馬

網(wǎng)頁木馬、系統(tǒng)漏洞依然是黑客控制主機(jī)的主要渠道。而隨著云計(jì)算中虛擬化技術(shù)的發(fā)展，如何為虛擬的主機(jī)及服務(wù)器進(jìn)行安全防護(hù)已經(jīng)成為云安全的重要挑戰(zhàn)目標(biāo)。

2、管理安全漏洞

通過統(tǒng)一管理平臺對虛擬主機(jī)及服務(wù)器進(jìn)行管理，是云計(jì)算的一個功能亮點(diǎn)，然而管理平臺一但被攻破，為企業(yè)帶來的損失也同樣是無法進(jìn)行彌補(bǔ)的。類似的安全威脅還存在于整個虛擬化網(wǎng)絡(luò)的管理控制之中。

3、監(jiān)測防控性能不足

云計(jì)算技術(shù)的發(fā)展，不但帶動了網(wǎng)絡(luò)系統(tǒng)處理能力的提升，還正在帶動著網(wǎng)絡(luò)流量帶寬的飛速增長。隨著網(wǎng)絡(luò)數(shù)據(jù)流量的增長，網(wǎng)絡(luò)設(shè)備的安全監(jiān)測及安全防控能力也將會出現(xiàn)不足。

天融信云安全新手段

天融信公司為了滿足市場上用戶對入侵防御產(chǎn)品的需求，推出了“網(wǎng)絡(luò)衛(wèi)士入侵防御系統(tǒng) TopIDP”(以下簡稱TopIDP)。它是基于新一代并行處理技術(shù)開發(fā)的網(wǎng)絡(luò)入侵防御系統(tǒng)，通過設(shè)置檢測與阻斷策略對流經(jīng)TopIDP的網(wǎng)絡(luò)流量進(jìn)行分析過濾，并對異常及可疑流量進(jìn)行積極阻斷，同時向管理員通報(bào)攻擊信息，從而提供對網(wǎng)絡(luò)系統(tǒng)內(nèi)部IT資源的安全保護(hù)。

那么TopIDP有什么云安全防護(hù)的新手段呢?《網(wǎng)絡(luò)世界》評測實(shí)驗(yàn)室對TopIDP新增的特色安全功能進(jìn)行了一次深入分析。

1、正反向策略分析嚴(yán)查僵尸木馬

通過設(shè)置反向安全策略，對內(nèi)網(wǎng)中的服務(wù)器及客戶端同樣進(jìn)行安全檢測，這并不是一個全新技術(shù)，基本上網(wǎng)絡(luò)安全設(shè)備都可以進(jìn)行相關(guān)的設(shè)置。但是在全方位檢測的基礎(chǔ)上并不降低網(wǎng)絡(luò)處理性能，這就需要借助天融信新開發(fā)的先進(jìn)多核處理器硬件平臺了。

TOPIDP將并行處理技術(shù)成功融入天融信自主知識產(chǎn)權(quán)的安全操作系統(tǒng)TOS(Topsec Operating System)系統(tǒng)，集成多項(xiàng)發(fā)明專利，形成了先進(jìn)的多核架構(gòu)技術(shù)體系。在此基礎(chǔ)上的TopIDP產(chǎn)品具有高速的數(shù)據(jù)并行檢測處理和轉(zhuǎn)發(fā)能力，并且具有超過3000條攻擊規(guī)則以及全面防御溢出攻擊(BufferOverflow)、RPC攻擊(RPC)、WEBCGI攻擊(WebAccess)、拒絕服務(wù)(DDOS)、木馬(TrojanHorse)、蠕蟲(VirusWorm)、掃描(Scan)、HTTP攻擊類(HTTP)、系統(tǒng)漏洞類(system)攻擊的能力，同時還具備實(shí)時更新的超過100萬條的病毒庫。能夠勝任高速網(wǎng)絡(luò)的安全防護(hù)要求。

此種設(shè)計(jì)所帶來的益處是十分明顯的，無論內(nèi)網(wǎng)中的真實(shí)主機(jī)還是虛擬服務(wù)器，無論通過何種渠道感染的木馬，在產(chǎn)生破壞行為時，勢必要通過外網(wǎng)進(jìn)行數(shù)據(jù)傳輸。而通常網(wǎng)關(guān)安全產(chǎn)品防外不防內(nèi)的安全策略下，無法將威脅有效的進(jìn)行阻止。而正反向的安全策略設(shè)置可以有效避免此類問題的發(fā)生。當(dāng)受控的僵尸主機(jī)在向外發(fā)出攻擊或傳輸敏感數(shù)據(jù)時，TopIDP會第一時間發(fā)現(xiàn)并進(jìn)行阻斷。同時會向網(wǎng)絡(luò)管理員發(fā)出警告。以便于進(jìn)一步對威脅進(jìn)行處理。從而在根源上解決了僵尸木馬在內(nèi)部網(wǎng)絡(luò)中的危害。

2、立體Web安全防護(hù)確保網(wǎng)頁安全

TopIDP還有針對性的增強(qiáng)了Web安全防護(hù)能力。其立體的Web安全防護(hù)功能可以利用內(nèi)置web弱點(diǎn)掃描器，實(shí)時分析受保護(hù)站點(diǎn)的安全狀態(tài);通過實(shí)時監(jiān)測web網(wǎng)站服務(wù)器的各級頁面是否被非法更改，TopIDP可以自動或手動獲取WEB站點(diǎn)的頁面信息，對web站點(diǎn)進(jìn)行緩存，并生成唯一的數(shù)字水印，當(dāng)客戶端請求頁面與緩存自學(xué)習(xí)保護(hù)的頁面進(jìn)行比較，可在第一時間恢復(fù)被篡改頁面，保證web站點(diǎn)頁面的完整性;TopIDP內(nèi)有SQL注入防護(hù)規(guī)則，可有效阻斷SQL注入攻擊，保護(hù)web服務(wù)器數(shù)據(jù)安全。

3、管理控制安全插件嚴(yán)防管控漏洞

當(dāng)網(wǎng)管員需要遠(yuǎn)程甚至異地對網(wǎng)絡(luò)系統(tǒng)進(jìn)行管理的時候，TopIDP可以提供安全管理插件在TopIDP的安全監(jiān)控下進(jìn)行可靠連接。有效的避免了因?yàn)?/font>虛擬化管理軟件漏洞、網(wǎng)絡(luò)控制系統(tǒng)漏洞所引發(fā)的安全隱患。

4、云安全檢測安全高效

天融信這在這里所運(yùn)用的云安全技術(shù)，并非是簡單的將最新的病毒數(shù)據(jù)庫放在Internet上。而是天融信在認(rèn)真分析當(dāng)前云安全防護(hù)的最新技術(shù)后而歸納總結(jié)出來的全新云安全防護(hù)體系。該防護(hù)體系的核心，是一套采用了多種信息安全風(fēng)險評估手段的信息數(shù)據(jù)庫。用戶在進(jìn)行數(shù)據(jù)傳輸或網(wǎng)絡(luò)訪問時，通過實(shí)時對可信數(shù)據(jù)進(jìn)行信息核對，可以最簡便的對用戶訪問數(shù)據(jù)的安全性進(jìn)行判定。從而有效的避免了用戶對已知可信數(shù)據(jù)的反復(fù)檢測。在確保用戶上網(wǎng)安全性的同時，減輕了TopIDP檢測壓力，并且可以極大提升了網(wǎng)絡(luò)業(yè)務(wù)請求的響應(yīng)能力。從而實(shí)現(xiàn)了高效、安全的云安全檢測機(jī)制。

TOPIDP的高性能全面防護(hù)

與現(xiàn)在市場上的入侵防御系統(tǒng)相比，TopIDP系列入侵防御系統(tǒng)，不但具有全新的云安全防護(hù)手段，還具備高性能、細(xì)安全控制粒度、深內(nèi)容攻擊防御以及更大的功能擴(kuò)展空間、更豐富的服務(wù)和協(xié)議支持，堪稱網(wǎng)絡(luò)入侵檢測和防御系統(tǒng)的新典范。

為了更深入的對TopIDP的防護(hù)能力及應(yīng)用性能進(jìn)行了解，《網(wǎng)絡(luò)世界》評測實(shí)驗(yàn)室對天融信的擎天萬兆TOPIDP產(chǎn)品進(jìn)行了功能及應(yīng)用性能評測。

擎天萬兆TOPIDP為2U標(biāo)準(zhǔn)機(jī)箱，最高可支持6個萬兆(SFP+)或12個千兆10/100/1000Mbps自適應(yīng)電口和12個SFP千兆光纖網(wǎng)絡(luò)接口。并且具備Web圖形化、SSH和串口Console，和支持網(wǎng)管平臺集中管理的功能。

測試環(huán)境

本次《網(wǎng)絡(luò)世界》評測實(shí)驗(yàn)室采用了Breaking Point System公司的BPS網(wǎng)絡(luò)應(yīng)用性能測試儀對其擎天萬兆TOPIDP應(yīng)用層處理性能進(jìn)行測試。(測試拓?fù)鋱D參見圖1)

圖1：擎天萬兆TOPIDP測試拓?fù)鋱D

應(yīng)用性能測試

1、新建連接速率

新建連接速率是網(wǎng)絡(luò)設(shè)備在應(yīng)用層接受用戶請求的處理速率。此項(xiàng)測試結(jié)果越高，在實(shí)際應(yīng)用中，用戶處理性能就是越強(qiáng)，它代表了設(shè)備在面對大量網(wǎng)絡(luò)終端的訪問請求時，所能體現(xiàn)出的響應(yīng)速度，直接關(guān)系到用戶的使應(yīng)用性能是也是網(wǎng)絡(luò)中關(guān)鍵的性能指標(biāo)。在新建連接速率測試中，考察擎天萬兆TOPIDP在HTTP協(xié)議中的用戶連接處理速率。測試中采用HTTP 1.1協(xié)議版本，測試文件大小為32k。同樣為了對擎天萬兆TOPIDP防護(hù)功能進(jìn)行驗(yàn)證，在測試時分別對其在無攻擊情況下性能和帶尼姆達(dá)/震蕩波/紅色代碼/沖擊波/SQL Slammer等多種蠕蟲攻擊情況下性能分別進(jìn)行了測試。

測試結(jié)果表明，擎天萬兆TOPIDP具有很強(qiáng)的應(yīng)用處理能力，在未帶攻擊下最大新建連接處理速率為25萬 HTTP連接/秒;在帶有蠕蟲攻擊時下最大新建連接處理速率為23萬 HTTP連接/秒，可以穩(wěn)定在21萬連接/秒以上。兩者性能相差不大，充分顯示了擎天萬兆TOPIDP的超強(qiáng)應(yīng)用處理能力。

2、并發(fā)連接數(shù)

并發(fā)連接數(shù)是測試網(wǎng)絡(luò)設(shè)備在應(yīng)用層最大可以允許多少用戶同時進(jìn)行連接，數(shù)值越高，設(shè)備所同時允許的連接用戶就越多。在并發(fā)連接數(shù)測試中，同樣還是在無攻擊模式和帶蠕蟲攻擊模式下，采用HTTP 1.1協(xié)議，測試文件大小為32k，客戶端設(shè)置一分鐘等待。

測試結(jié)果顯示，擎天萬兆TOPIDP無論在無攻擊模式下還是蠕蟲攻擊模式下并發(fā)連接數(shù)均可以達(dá)到350萬用戶并發(fā)連接。由此可知擎天萬兆TOPIDP用戶并發(fā)連接性能同樣出色。

3、應(yīng)用層網(wǎng)絡(luò)流量

應(yīng)用層網(wǎng)絡(luò)流量是用戶在進(jìn)行網(wǎng)絡(luò)應(yīng)用時實(shí)際傳輸?shù)木W(wǎng)絡(luò)流量。其測試結(jié)果直接反映出被測設(shè)備在處理網(wǎng)絡(luò)應(yīng)用時的真實(shí)網(wǎng)絡(luò)性能。在應(yīng)用層網(wǎng)絡(luò)流量測試時，同樣還是在無攻擊模式和帶蠕蟲攻擊模式下，采用HTTP 1.1協(xié)議，測試文件大小為32KByte。

測試結(jié)果顯示，天融信擎天萬兆TOPIDP無論在無攻擊模式下還是蠕蟲攻擊模式下應(yīng)用層網(wǎng)絡(luò)流時不時均基本保持在10.8Gbps左右。做為一款萬兆級IPS產(chǎn)品，其性能完全可以滿足用戶萬兆網(wǎng)絡(luò)數(shù)據(jù)傳輸?shù)膽?yīng)用需求。

4、檢測率

做為一款入侵防御產(chǎn)品，對攻擊的檢測率也是至關(guān)重要的。因此本測評測中，《網(wǎng)絡(luò)世界》對擎天萬兆TOPIDP產(chǎn)品的攻擊檢測率也做了重點(diǎn)評測。

在測試過程中，我們使用網(wǎng)絡(luò)性能測試儀表對擎天萬兆TOPIDP產(chǎn)品的一對千兆網(wǎng)絡(luò)端口中加入64Byte、128Byte、256Byte、512Byte、1024Byte、1280Byte和1518Byte的UDP包，并用攻擊工具發(fā)動10000次攻擊，在逐步調(diào)整壓力流量，找到全部攻擊識別情況下最大的壓力流量值并紀(jì)錄。(詳細(xì)結(jié)果參見下表)

測試結(jié)果顯示擎天萬兆TOPIDP產(chǎn)品在千兆25%背景流壓力下10000次攻擊未出現(xiàn)漏檢情況，在50%背景流壓力下，128Byte大小UDP包以上攻擊無漏檢，100%背景流壓力下，256Byte大小UDP包時僅出現(xiàn)兩次漏檢，512Byte大小UDP包以上攻擊無漏檢。體現(xiàn)了擎天萬兆TOPIDP十分出色的檢測效率。

電信級高可靠性設(shè)計(jì)

擎天萬兆TOPIDP不但在攻擊防護(hù)上有全面多樣的設(shè)計(jì)，在可靠性上設(shè)計(jì)同樣嚴(yán)謹(jǐn)。

1、應(yīng)用Bypass與掉電保護(hù)

由于IPS采用在線部署模式，因此一旦IPS自身出現(xiàn)系統(tǒng)崩潰或者掉電等意外情況，會造成網(wǎng)絡(luò)中斷。為了解決此問題，業(yè)界一般采用應(yīng)用Bypass和掉電保護(hù)兩種Bypass方法。所謂應(yīng)用Bypass是在IPS通過內(nèi)置硬件檢測到自身系統(tǒng)死機(jī)時，采用將二層鏈路直接打通的方法以保證數(shù)據(jù)報(bào)文可以正常通過。而掉電保護(hù)則是通過內(nèi)置或者外置硬件，在監(jiān)測到IPS失去電力供應(yīng)時可以繞過IPS將線路打通，保證數(shù)據(jù)保溫正常通過。

擎天萬兆TOPIDP在不加電、斷電等情況下具備Bypass功能。測試中在不加電情況下流量可全部通過。而在正常使用中突然斷電時，系統(tǒng)可以在0.05秒的時間內(nèi)即可立即切換。而在產(chǎn)品升級時，無論是Ping包還是連續(xù)數(shù)據(jù)包均可無丟失進(jìn)行升級。產(chǎn)品可靠性設(shè)計(jì)異常出色。

2、端口聯(lián)動功能

端口聯(lián)動功能是指當(dāng)IPS連接的某一端口關(guān)閉時，另外一個端口也可以自動關(guān)閉。此功能在網(wǎng)絡(luò)高可靠性設(shè)計(jì)時十分重要。

一般網(wǎng)絡(luò)的可靠性設(shè)計(jì)采用的是雙機(jī)通過VRRP協(xié)議進(jìn)行熱備，當(dāng)主機(jī)檢測到與上聯(lián)設(shè)備的鏈路中斷等情況下，可以自動切換到備機(jī)上，保證正常網(wǎng)絡(luò)通信。但是如果在上下行網(wǎng)絡(luò)設(shè)備之間串入IPS設(shè)備以后，即使IPS與上聯(lián)設(shè)備之間的鏈路發(fā)生了中斷，由于IPS與下聯(lián)設(shè)備之間的鏈路是正常的，下聯(lián)設(shè)備也因此無法檢測到鏈路故障，從而不能進(jìn)行主備切換，進(jìn)而造成網(wǎng)絡(luò)通信中斷。而端口聯(lián)動功能則可以解決此問題，一旦上聯(lián)鏈路發(fā)生中斷，下聯(lián)鏈路也同時中斷，從而保證了VRRP協(xié)議的正常工作，保證了網(wǎng)絡(luò)的可靠性。

在測試中，我們隨機(jī)將擎天萬兆TOPIDP某一端口連接的網(wǎng)線拔出時，其對應(yīng)端口的狀態(tài)燈自動熄滅，顯示該端口也同時關(guān)閉。端口聯(lián)動功能測試正常。

擎天萬兆TOPIDP在端口聯(lián)動功能方面的設(shè)計(jì)，充分顯示了TopIDP對于產(chǎn)品應(yīng)用的深刻理解，讓我們印象深刻。

3、其他可靠性設(shè)計(jì)

除上述可靠性設(shè)計(jì)之外，在擎天萬兆TopIDP上還采用了其他一些提升可靠性的方法。

擎天萬兆TopIDP采用了雙電源的冗余設(shè)計(jì)，任一電源都可以獨(dú)立滿足系統(tǒng)全部的供電需求。當(dāng)某一電源出現(xiàn)故障時，另一電源可單獨(dú)為系統(tǒng)供電。在測試中，我們有意只使用一個電源，另一電源不接電源線，系統(tǒng)工作正常。

云網(wǎng)絡(luò)下的入侵防御

通過本次分析、評測我們可以了解，天融信公司推出的“網(wǎng)絡(luò)衛(wèi)士入侵防御系統(tǒng) TopIDP”不但在功能架構(gòu)上，可以滿足當(dāng)前云計(jì)算網(wǎng)絡(luò)安全防御的應(yīng)用需求。在產(chǎn)品性能上，擎天萬兆TOPIDP也能滿足目前萬兆級網(wǎng)絡(luò)的入侵防御需求。其率先推出的具有創(chuàng)新性的云安全理念，更具有安全高效的特點(diǎn)，并且對目前危害性最大的未知威脅也有很高防泛能力。因此在萬兆網(wǎng)絡(luò)的核心及干路上可以安心部署放心應(yīng)用。