天融信护航云安全

随着云计算概念的深入人心，以及云计算应用的日益落地，人们对云计算不再陌生，开始更加关心它将如何与自己的业务发生关联。然而伴随着云计算应用的发展，云计算的安全问题也随之而生。在金钱利益的驱动之下，已经形成规模的黑客产业链也无可避免的将黑手伸入了云计算网络之中。

云计算的安全威胁：

在云计算网络中，安全威胁又有了什么新的表现形式?云安全对我们有什么新的技术挑战?下面《网络世界》评测实验室就目前收集到的云计算网络安全威胁做了一个归纳性分析。

1、僵尸木马

网页木马、系统漏洞依然是黑客控制主机的主要渠道。而随着云计算中虚拟化技术的发展，如何为虚拟的主机及服务器进行安全防护已经成为云安全的重要挑战目标。

2、管理安全漏洞

通过统一管理平台对虚拟主机及服务器进行管理，是云计算的一个功能亮点，然而管理平台一但被攻破，为企业带来的损失也同样是无法进行弥补的。类似的安全威胁还存在于整个虚拟化网络的管理控制之中。

3、监测防控性能不足

云计算技术的发展，不但带动了网络系统处理能力的提升，还正在带动着网络流量带宽的飞速增长。随着网络数据流量的增长，网络设备的安全监测及安全防控能力也将会出现不足。

天融信云安全新手段

天融信公司为了满足市场上用户对入侵防御产品的需求，推出了“网络卫士入侵防御系统 TopIDP”(以下简称TopIDP)。它是基于新一代并行处理技术开发的网络入侵防御系统，通过设置检测与阻断策略对流经TopIDP的网络流量进行分析过滤，并对异常及可疑流量进行积极阻断，同时向管理员通报攻击信息，从而提供对网络系统内部IT资源的安全保护。

那么TopIDP有什么云安全防护的新手段呢?《网络世界》评测实验室对TopIDP新增的特色安全功能进行了一次深入分析。

1、正反向策略分析严查僵尸木马

通过设置反向安全策略，对内网中的服务器及客户端同样进行安全检测，这并不是一个全新技术，基本上网络安全设备都可以进行相关的设置。但是在全方位检测的基础上并不降低网络处理性能，这就需要借助天融信新开发的先进多核处理器硬件平台了。

TOPIDP将并行处理技术成功融入天融信自主知识产权的安全操作系统TOS(Topsec Operating System)系统，集成多项发明专利，形成了先进的多核架构技术体系。在此基础上的TopIDP产品具有高速的数据并行检测处理和转发能力，并且具有超过3000条攻击规则以及全面防御溢出攻击(BufferOverflow)、RPC攻击(RPC)、WEBCGI攻击(WebAccess)、拒绝服务(DDOS)、木马(TrojanHorse)、蠕虫(VirusWorm)、扫描(Scan)、HTTP攻击类(HTTP)、系统漏洞类(system)攻击的能力，同时还具备实时更新的超过100万条的病毒库。能够胜任高速网络的安全防护要求。

此种设计所带来的益处是十分明显的，无论内网中的真实主机还是虚拟服务器，无论通过何种渠道感染的木马，在产生破坏行为时，势必要通过外网进行数据传输。而通常网关安全产品防外不防内的安全策略下，无法将威胁有效的进行阻止。而正反向的安全策略设置可以有效避免此类问题的发生。当受控的僵尸主机在向外发出攻击或传输敏感数据时，TopIDP会第一时间发现并进行阻断。同时会向网络管理员发出警告。以便于进一步对威胁进行处理。从而在根源上解决了僵尸木马在内部网络中的危害。

2、立体Web安全防护确保网页安全

TopIDP还有针对性的增强了Web安全防护能力。其立体的Web安全防护功能可以利用内置web弱点扫描器，实时分析受保护站点的安全状态;通过实时监测web网站服务器的各级页面是否被非法更改，TopIDP可以自动或手动获取WEB站点的页面信息，对web站点进行缓存，并生成唯一的数字水印，当客户端请求页面与缓存自学习保护的页面进行比较，可在第一时间恢复被篡改页面，保证web站点页面的完整性;TopIDP内有SQL注入防护规则，可有效阻断SQL注入攻击，保护web服务器数据安全。

3、管理控制安全插件严防管控漏洞

当网管员需要远程甚至异地对网络系统进行管理的时候，TopIDP可以提供安全管理插件在TopIDP的安全监控下进行可靠连接。有效的避免了因为虚拟化管理软件漏洞、网络控制系统漏洞所引发的安全隐患。

4、云安全检测安全高效

天融信这在这里所运用的云安全技术，并非是简单的将最新的病毒数据库放在Internet上。而是天融信在认真分析当前云安全防护的最新技术后而归纳总结出来的全新云安全防护体系。该防护体系的核心，是一套采用了多种信息安全风险评估手段的信息数据库。用户在进行数据传输或网络访问时，通过实时对可信数据进行信息核对，可以最简便的对用户访问数据的安全性进行判定。从而有效的避免了用户对已知可信数据的反复检测。在确保用户上网安全性的同时，减轻了TopIDP检测压力，并且可以极大提升了网络业务请求的响应能力。从而实现了高效、安全的云安全检测机制。

TOPIDP的高性能全面防护

与现在市场上的入侵防御系统相比，TopIDP系列入侵防御系统，不但具有全新的云安全防护手段，还具备高性能、细安全控制粒度、深内容攻击防御以及更大的功能扩展空间、更丰富的服务和协议支持，堪称网络入侵检测和防御系统的新典范。

为了更深入的对TopIDP的防护能力及应用性能进行了解，《网络世界》评测实验室对天融信的擎天万兆TOPIDP产品进行了功能及应用性能评测。

擎天万兆TOPIDP为2U标准机箱，最高可支持6个万兆(SFP+)或12个千兆10/100/1000Mbps自适应电口和12个SFP千兆光纤网络接口。并且具备Web图形化、SSH和串口Console，和支持网管平台集中管理的功能。

测试环境

本次《网络世界》评测实验室采用了Breaking Point System公司的BPS网络应用性能测试仪对其擎天万兆TOPIDP应用层处理性能进行测试。(测试拓扑图参见图1)

图1：擎天万兆TOPIDP测试拓扑图

应用性能测试

1、新建连接速率

新建连接速率是网络设备在应用层接受用户请求的处理速率。此项测试结果越高，在实际应用中，用户处理性能就是越强，它代表了设备在面对大量网络终端的访问请求时，所能体现出的响应速度，直接关系到用户的使应用性能是也是网络中关键的性能指标。在新建连接速率测试中，考察擎天万兆TOPIDP在HTTP协议中的用户连接处理速率。测试中采用HTTP 1.1协议版本，测试文件大小为32k。同样为了对擎天万兆TOPIDP防护功能进行验证，在测试时分别对其在无攻击情况下性能和带尼姆达/震荡波/红色代码/冲击波/SQL Slammer等多种蠕虫攻击情况下性能分别进行了测试。

测试结果表明，擎天万兆TOPIDP具有很强的应用处理能力，在未带攻击下最大新建连接处理速率为25万 HTTP连接/秒;在带有蠕虫攻击时下最大新建连接处理速率为23万 HTTP连接/秒，可以稳定在21万连接/秒以上。两者性能相差不大，充分显示了擎天万兆TOPIDP的超强应用处理能力。

2、并发连接数

并发连接数是测试网络设备在应用层最大可以允许多少用户同时进行连接，数值越高，设备所同时允许的连接用户就越多。在并发连接数测试中，同样还是在无攻击模式和带蠕虫攻击模式下，采用HTTP 1.1协议，测试文件大小为32k，客户端设置一分钟等待。

测试结果显示，擎天万兆TOPIDP无论在无攻击模式下还是蠕虫攻击模式下并发连接数均可以达到350万用户并发连接。由此可知擎天万兆TOPIDP用户并发连接性能同样出色。

3、应用层网络流量

应用层网络流量是用户在进行网络应用时实际传输的网络流量。其测试结果直接反映出被测设备在处理网络应用时的真实网络性能。在应用层网络流量测试时，同样还是在无攻击模式和带蠕虫攻击模式下，采用HTTP 1.1协议，测试文件大小为32KByte。

测试结果显示，天融信擎天万兆TOPIDP无论在无攻击模式下还是蠕虫攻击模式下应用层网络流时不时均基本保持在10.8Gbps左右。做为一款万兆级IPS产品，其性能完全可以满足用户万兆网络数据传输的应用需求。

4、检测率

做为一款入侵防御产品，对攻击的检测率也是至关重要的。因此本测评测中，《网络世界》对擎天万兆TOPIDP产品的攻击检测率也做了重点评测。

在测试过程中，我们使用网络性能测试仪表对擎天万兆TOPIDP产品的一对千兆网络端口中加入64Byte、128Byte、256Byte、512Byte、1024Byte、1280Byte和1518Byte的UDP包，并用攻击工具发动10000次攻击，在逐步调整压力流量，找到全部攻击识别情况下最大的压力流量值并纪录。(详细结果参见下表)

测试结果显示擎天万兆TOPIDP产品在千兆25%背景流压力下10000次攻击未出现漏检情况，在50%背景流压力下，128Byte大小UDP包以上攻击无漏检，100%背景流压力下，256Byte大小UDP包时仅出现两次漏检，512Byte大小UDP包以上攻击无漏检。体现了擎天万兆TOPIDP十分出色的检测效率。

电信级高可靠性设计

擎天万兆TOPIDP不但在攻击防护上有全面多样的设计，在可靠性上设计同样严谨。

1、应用Bypass与掉电保护

由于IPS采用在线部署模式，因此一旦IPS自身出现系统崩溃或者掉电等意外情况，会造成网络中断。为了解决此问题，业界一般采用应用Bypass和掉电保护两种Bypass方法。所谓应用Bypass是在IPS通过内置硬件检测到自身系统死机时，采用将二层链路直接打通的方法以保证数据报文可以正常通过。而掉电保护则是通过内置或者外置硬件，在监测到IPS失去电力供应时可以绕过IPS将线路打通，保证数据保温正常通过。

擎天万兆TOPIDP在不加电、断电等情况下具备Bypass功能。测试中在不加电情况下流量可全部通过。而在正常使用中突然断电时，系统可以在0.05秒的时间内即可立即切换。而在产品升级时，无论是Ping包还是连续数据包均可无丢失进行升级。产品可靠性设计异常出色。

2、端口联动功能

端口联动功能是指当IPS连接的某一端口关闭时，另外一个端口也可以自动关闭。此功能在网络高可靠性设计时十分重要。

一般网络的可靠性设计采用的是双机通过VRRP协议进行热备，当主机检测到与上联设备的链路中断等情况下，可以自动切换到备机上，保证正常网络通信。但是如果在上下行网络设备之间串入IPS设备以后，即使IPS与上联设备之间的链路发生了中断，由于IPS与下联设备之间的链路是正常的，下联设备也因此无法检测到链路故障，从而不能进行主备切换，进而造成网络通信中断。而端口联动功能则可以解决此问题，一旦上联链路发生中断，下联链路也同时中断，从而保证了VRRP协议的正常工作，保证了网络的可靠性。

在测试中，我们随机将擎天万兆TOPIDP某一端口连接的网线拔出时，其对应端口的状态灯自动熄灭，显示该端口也同时关闭。端口联动功能测试正常。

擎天万兆TOPIDP在端口联动功能方面的设计，充分显示了TopIDP对于产品应用的深刻理解，让我们印象深刻。

3、其他可靠性设计

除上述可靠性设计之外，在擎天万兆TopIDP上还采用了其他一些提升可靠性的方法。

擎天万兆TopIDP采用了双电源的冗余设计，任一电源都可以独立满足系统全部的供电需求。当某一电源出现故障时，另一电源可单独为系统供电。在测试中，我们有意只使用一个电源，另一电源不接电源线，系统工作正常。

云网络下的入侵防御

通过本次分析、评测我们可以了解，天融信公司推出的“网络卫士入侵防御系统 TopIDP”不但在功能架构上，可以满足当前云计算网络安全防御的应用需求。在产品性能上，擎天万兆TOPIDP也能满足目前万兆级网络的入侵防御需求。其率先推出的具有创新性的云安全理念，更具有安全高效的特点，并且对目前危害性最大的未知威胁也有很高防泛能力。因此在万兆网络的核心及干路上可以安心部署放心应用。