文:王军民
众所周知,硬件防火墙是网络中进行安全防护的必备设备,通过防火墙的安全检测,能够有效的将网络中常见的DDos攻击阻断或者削弱。但防火墙同时是一把双刃剑,由于防火墙是串行联入网络中,在进行安全防护的同时,也有可能成为网络性能的瓶颈点。如果防火墙的稳定性差,将会造成全网带宽资源的大幅波动,所以,如今很多用户在进行防火墙采购前,都要对防火墙进行性能测试,以验证防火墙产品的性能。然而,在产品测试过程中,很多用户存在一个误区――过分注重小包的性能,而忽略了防火墙自身的抗攻击能力。用户过份注重小包的性能,甚至于超过了对防火墙稳定性的重视。殊不知,防火墙自身的稳定性才是实际应用中最为关键因素。对于防火墙来说,小包吞吐能力再高,如果自身抗攻击能力差,也是无法对网络进行稳定可靠的安全防护的。
有的读者会问,上文提到的小包是指什么呢?在这里,我们简单介绍一下。在测评单位进行性能测试的过程中,通常会采用64字节、128字节、256字节、512字节、1024字节、1280字节、1518字节这几种不同大小的数据包来测试防火墙系统的性能,其中将64字节的包看作为最小的数据包即常说的小包。小包的吞吐量高,并不能代表防火墙产品抗攻击能力强。业内人士都知道,小包线速和大包线速对防火墙系统的性能造成影响是不同的。由于I/O读取等硬件原因,防火墙对小包的处理将会更加耗费系统资源。举例来说,在一个千兆网络环境中,如果小包达到了1000Mbps线速,那么防火墙有可能无法正常响应其它请求;而如果换作网络中的大包达到1000Mbps线速,防火墙肯定是可以正常工作的。事实上,互联网中的数据包是以混合形式存在的,各种正常的应用,绝大多数是以中包、大包的形式在网络中传输的,小包仅仅占用很小一部分带宽资源。我们在某个互联网出口处用Ehtereal工具抓包,结果如下图所示:
从抓包结果看,互联网出口的绝大多数包都是1200字节以上的大包,小包数量很少很少。但是,黑客作DDos攻击会利用小包来进行以达到快速耗费防火墙系统资源的目的,通常,我们可以利用防火墙所提供的阀值来限制,但使用这种方法阻抗网络攻击的能力有限,因为阀值只能限制数据包的数量,却不能限制数据包的大小。而且利用阀值限制的方法,防火墙还必须要处理瞬间到达的Flooding攻击流量,一旦这种小包的流量达到自身处理的极限值,防火墙将不得不耗尽自身所有的资源,从而无法对正常请求进行响应。说到这里,在整机吞吐能力有限的前提下,对小包DDos攻击的抵御能力差,似乎成为防火墙的一个致命弱点,我们希望能够通过某种方法弥补防火墙的不足,从而提高自身的稳定性。那通过什么方法可以保证防火墙能够从容面对小包DDos攻击呢?我们认为最好的方法是在防火墙硬件芯片中对小包吞吐量进行限制。通过芯片级的限制,可以避免防火墙因为处理大量小包而导致自身性能耗尽的后果。另外,通过对小包吞吐量的限制,也避免了由于防火墙系统性能达到极限所带来的不稳定隐患。
Neusoft FW 5200系列防火墙正是基于上述理念,在整机吞吐量能够达到6Gbps处理能力的前提下,对小包吞吐量进行限制。这种机制,大大增强了防火墙自身稳定性,从而可以在自身最佳的稳定状态下,有效抵御网络攻击,最大程度保障用户的资产安全。
作为网络安全设备,我们认为:防火墙要想保证网络安全,首先必须要保证自身的稳定与安全。