硬件防火墙ES2400评测.doc

硬件防火墙ES2400评测 　　DDoS攻击现状：分布式拒绝服务攻击，通常简称为DDoS，即(Distributed Denial of Service)的缩写。攻击者通过将一个个 “肉机”组成僵尸网络(即Botnet)，就可以发动大规模DDOS或SYN洪水网络攻击，或者将“肉机”们组到一起进行带有利益的刷网站流量、Email垃圾邮件群发，瘫痪预定目标受雇攻击竞争对手等商业活动。 Ddos攻击示意图 　　在网络高度普及的情况下，DDoS攻击造成的危害已经到了极为严重的地步，作为目前一个重要的防护手段，DDoS硬件防火墙也在大中型IDC中得到了广泛的应用，但随着攻击强度的加大，单机的防护能力已经不能满足防护的要求，支持集群模式的防火墙也在市场上应运而生。 　　本评测室最近收到了安易信息技术有限公司推出的抗DDoS硬件防火墙ES2400就是这样一个支持集群的防火墙，本评测室旨在通过本测试，能给读者一个集群防火墙的概念，并为用户选择防火墙提供一些参考。 　　安易抗ddos硬件防火墙介绍(公司介绍、产品外观) 　　安易信息技术有限公司()是一家从事网络安全研发的厂商，很早就开始了针对DDoS攻击进行研发，产品在很多行业尤其是IDC行业得到了广泛的应用。而ES2400就是安易目前的市场主打产品，支持千兆光口或铜缆口接入，支持集群，下图就是ES2400的外观图。 　　ES2400外观 　　DDoS攻击通过大量合法的请求占用大量网络资源，以达到瘫痪网络的目的。这种攻击方式可分为以下几种： 　　1. 通过使网络过载来干扰甚至阻断正常的网络通讯，这常常表现为SYN Flood、UDP Flood等。 　　2. 通过向服务器提交大量请求，使服务器超负荷，例如CC Proxy Flood等。 　　而根据安易为我们提供的资料，ES2400可以防御的攻击包括：SYN Flood、UDP Flood、ICMP Flood、IGMP Flood、Fragment Flood、CC Proxy Flood等等主流的DDoS攻击方法。 　　对于一款面对IDC市场主要用于防御大规模流量的DDoS防火墙来说，吞吐量性能和能否稳定支持集群都是重要的方面，我们也主要对这两个方面进行了评测。 　　吞吐量测试 　　我们使用了SmartBits 600B来对该产品的吞吐量能力进行了测试。 　　防火墙吞吐量是衡量防火墙在各帧长的满负载数据包情况下的稳定性表现。它反映的是防火墙的数据包转发能力。数据流中个别帧的丢失会导致由于高层协议等待超时而产生的重大延迟，所以防火墙实际的最大数据传输速率是非常重要的指标。同时该项指标还能用于判断防火墙设备在超过自身负载的情况下稳定性问题。 　　这项测试用来确定防火墙在不同传输速率下丢失数据包的百分数，目的在于测试防火墙在超负载情况下的性能。以特定速率发送特定数量的数据包通过防火墙，然后计算被防火墙转发的数据包数量。丢包率用以下公式计算：((IN-OUT)*100%)/IN。 　　测试结果 ? 字节大小 流量值 延时 丢包率 客户端连接情况 64B 1000M 5ms 0% 正常 64B 1600M 6ms 0% 正常 64B 1760M 10ms 0% 稍为缓慢 64B 1800M 15ms 0.3% 有时无法连接 128B 1960M 7ms 0% 正常 　　在整个测试过程中，被保护服务器的CPU占用率都保持在正常状态，在攻击流量达到880M的情况下，没有丢包，延时也非常小。 　　集群测试 　　现在针对IDC的DDoS攻击规模越来越大，已经远远超出了单台防火墙的防护能力，所以，如果要防护大规模的攻击流量，能否支持集群。评测室特别对安易ES2400的集群功能进行了测试。 　　根据安易提供的产品说明，ES2400防火墙提供了三种集群模式，三种模式对于上下端的交换机都有不同的要求。 　　同步模式：需要交换机支持LACP协议。最大可以支持8Gb流量。需要使用防火墙的cvia端口通信。 　　转发模式：需要交换机支持LACP协议。最大可以支持8Gb流量。需要使用防火墙的cvia端口通信。与同步模式相比可以支持较多的防护种类。 　　大规模集群模式：需要高端交换机支持，集群节点个数不受LACP协议限制，理论上集群节点可以无限扩展。 　　本次分别评测测试了其同步模式和转发模式，共采用了五台安易ES2400抗DDoS防火墙，交换机采用了华为的，支持LACP链路聚合协议。 ???????????????????? ? 　　根据我们的测试，在超过2Gb的背景SYN流量下，放在五台ES2400组成的集群下面的服务器，都可以正常访问，并且没有明显的延迟，这表明防火墙的集群模式工作正常。 　　集群吞吐量是衡量集群在各种