信息安全的双保险――中兴网安CTM-A2080评测

信息安全的双保险――中兴网安CTM-A2080评测

在网络领域，一直存在着一个非常有意思的现象：数据通信产品的规格特性总是领先用户需求，信息安全产品则总在追赶用户的需求。数据通信是网络基础架构的一部分，是业务的承载体，它的进步是业务发展的动力，自然应该走在前列；信息安全则与业务有着太多的相关性，而业务又在不断发展变化，才衍生出各种新的安全需求。所以从因果关系的角度来看，即便信息安全相关技术在高速发展，其追赶者的地位也是无法改变的。

面对严重的安全威胁，大部分用户采用的是成熟但并不100%可靠的被动防御解决方案，防火墙、病毒过滤、入侵防御等都在此列。也有个别新产品融入了部分主动防御因素，但此类技术一来还不成熟，二来与业务的相关性太强，无法得到广泛应用。总之，目前单纯以安全防御为目的的产品解决方案，还都不那么完善。

继往开来的CTM

其实，网络社会这一虚拟空间和现实社会一样，同时存在着治安和秩序两大问题。被动防御产品实际上解决的是治安问题，对网络社会中的突发事件缺少感知、指挥、记录和

追溯的能力。所以，安全产品除了以被动防御为技术手段的一大分支，还有一类将关注重点放在内容记录与取证上，常见的安全审计、上网行为管理都是此类产品的代表。它们会对流经网络的所有数据进行记录，再根据功能侧重的不同，做更加细化的解析挖掘工作，为责任认定、取证等需求提供依据。这类产品在网络中的角色，相当于秩序的监管者。 长期以来，被动防御类产品和内容记录与取证类产品无论在技术、功能侧重还是部署思路等方面均无交集，导致网络空间中治安与秩序的问题难以统一。但在安全管理理念与重要性逐步被用户所认同的今天，无论从IT维护的复杂度还是综合成本的角度考虑，将两者合二为一的需求都逐渐清晰。北京中兴网安科技有限公司（以下简称“中兴网安”）就是该理念很好的贯彻者，他们推出的CTM（Collaborative Threat Management）一体化协同安全网关完全整合了传统UTM产品与流量记录/统计功能，为用户网络的安全上了双保险。

中兴网安CTM系列目前拥有4款产品，本次我们测试的是定位于中低端的CTM-A2080。该设备提供了4个千兆电口与4个千兆SFP接口，部署起来相对灵活。虽然定位于中低端，CTM-A2080在硬件规格上却一点都不含糊，至少标配的双冗余电源在平时同规格产品中比较罕见。由于流量记录要使用大量的磁盘空间，该系列产品均使用了2U规格

设计，内有多个支持热插拔的硬盘位。

CTM-A2080提供了多种控制方式，不过从操作的友好度来说，基于https的WebUI显然是用户的第一选择。这是一个设计得非常人性化的操作界面，它一改多数安全产品晦涩的、以文字为主的风格，使用了全部图形化的设计思路，操作起来非常简单。产品提供的所有功能都以模块形式出现在侧边栏中，用户可以根据实际需求随时添加或卸载功能模块。我们注意到，流量记录等功能与VPN、病毒过滤、入侵防护、防火墙等被动防御功能融为一体，并不是两种产品简单的功能堆叠。WebUI主界面的顶端还提供了一些当前系统的运行信息，对于管理人员来说显得非常实用。 流量记录功能在CTM中占据着相当重要的位置，我们也进行了仔细研究。该功能开启时，设备可以采集指定接口所收发的所有流量，并保存在本地。在取证时，可以很方便地根据IP、时间段等限定因素，回溯当时的流量。如果需要，管理员甚至可以以pcap的形式直接提取流量，以便做进一步分析。与此对应，如果在流量记录的基础上再开启流量分析功能，管理员就可以得到一份极其详细的实时统计报表，完全洞悉网络中的所有使用行为。这个功能不但利于管理，更能为其他被动防御功能模块提供及时的配置建议。

流量记录：

不以牺牲性能为代价

CTM的实现思路很清晰，即在单一硬件内，将以传统被动防御为代表的UTM功能与流量记录及回溯的相关功能进行整合。所以我们在研究产品时，也相应地将性能测试方案分为了针对UTM功能模块和流量记录模块的两大部分。虽然该设备可以单独开启这两大功能，我们还是尽量从用户角度出发，重点测试了它们同时开启时的性能表现。这个数据，可以看做该产品理论上的极限性能，显然更具实际意义。 我们使用了思博伦通信提供的SmartBits 600网络层性能测试仪和Avalanche 2900应用层性能测试仪对中兴网安CTM-A2080进行了测试。根据IDC的定义，UTM必须至少集成防火墙、病毒过滤及入侵防御这三个用户需求度最高的被动防御功能。我们的测试也在这样的配置下进行，并在开始前将病毒、入侵特征库升级至最新版本（20110319）。在同时开启防火墙、病毒过滤和入侵防御功能模块且使能全部特征的情况下，该产品每秒可新建706个HTTP连接，最大可用带宽达到541Mbps。这样的处理能力，对于CTM-A2080中低端的定位来说可谓相当慷慨。

考虑到防火墙的应用范畴远远超过UTM，我们也测试了CTM-A2080单独开启防火墙模块、加载200条访问控制策略时的性能表现。在双千兆口、桥模式的配置下，该产品

在76Byte帧长时的双向TCP吞吐量达到6.4%，1518Byte帧长时则达到线速。当测试帧长小于1280Byte时，转发的平均延迟均低于50微秒。病毒过滤和入侵防御功能的关闭也显著降低了业务处理的复杂度，此时我们测得的CTM-A2080每秒HTTP新建连接数比先前上升了一倍，HTTP最大可用带宽也达到了千兆接口理论上的最大值。最后，我们又模仿大部分用户的部署模型，将CTM-A2080配置为单向NAT模式进行了测试。此时该产品的整体转发能力较桥模式略有下降，但因测试使用的是单向流量，设备在1024Byte帧长时的TCP吞吐量就已达到线速，平均延迟也比先前有所降低。 在涉及流量记录功能的性能测试中，虽然在流量记录与实时分析功能依次开启后，设备的吞吐量较只开启防火墙功能时有所下降，但幅度并不算明显。可以说，CTM将传统UTM功能与流量记录功能整合的效率还是比较高的，用户可以不必担心流量记录给设备性能带来的影响。

本文来源：https://www.bwwdw.com/article/lgc8.html