防火(huǒ)牆與CDN性能(néng)及能β↕(néng)抵抗攻擊程度？

作(zuò)為(wèi)保障網絡安全的(de)主要(yào)設備，經過₩©'多(duō)年(nián)的(de)發展，•♣防火(huǒ)牆技(jì)術(shù)已逐漸成熟。即便如(rú€↑Ω)此，用(yòng)戶在購(gòu)買防火(huǒ)牆時(shí)仍需擦↑♠&×亮(liàng)眼睛。

防火(huǒ)牆是(shì)一(yī)種在內(nèi∑¥→ )外(wài)網邊界上(shàng)部署的(de)​≠✔±訪問(wèn)控制(zhì)裝置，用(yòng)于防止未經®≈♠★授權的(de)內(nèi)部網絡和(hé)外(wài)部網絡的(de)通(tΩσαōng)信。防火(huǒ)牆主要(yào)分(fēn)為(wèi)三種類型Ω‌₽：簡單的(de)包過濾防火(huǒ)牆、狀® ¥φ态/動态檢測防火(huǒ)牆、應用(yòn≥γ÷<g)代理(lǐ)防火(huǒ)牆。

防火(huǒ)牆控制(zhì)是(shì)網絡數(s÷ hù)據的(de)對(duì)象，通(tōng)過對(∏§duì)用(yòng)戶的(de)2到(dào)7層的(de)策略進行(xín≈₩g)檢查，根據檢查結果決定接受，下(xià&αλ)降或限制(zhì)流量。雖然實際的(de)防火(huǒ)牆也(yě)ΩΩ≤£可(kě)以取代路(lù)由器(qì)和(hé)交換機(jī)的↓→(de)一(yī)部分(fēn)，但(dàn)對(duì ×☆×)這(zhè)些(xiē)功能(néng)的(de)結果太多(duō)的∑₩£(de)重點隻能(néng)是(shì)物(wù)物(wùφ♣)交換。

由于防火(huǒ)牆設備在網絡中的(de)引入，防火(huǒ)牆的(ε≥↔φde)必然要(yào)求可(kě)以提供相(xiàng)應的(de)支持，包括©>¶λ管理(lǐ)，環境适應能(néng)力，與現(xiàn)有(yǒu)的®β≥§(de)交換機(jī)/路(lù)由器(qì)↓∏♣ 的(de)互連，吞吐能(néng)力和(‌₽​hé)适當的(de)延遲。這(zhè)種防火(huǒ)牆不(bù)會(✘δhuì)網絡瓶頸。這(zhè)些(xiē)功能(né¶✔©δng)實際上(shàng)是(shì)對(dγσuì)防火(huǒ)牆的(de)附加要(yào)求，雖然αλ∏​它是(shì)必要(yào)的(de)，但(dàn)不(bù)給用(y↕λ♣òng)戶帶來(lái)附加值，它的(de)整體(tǐ♦∞)要(yào)求是(shì)最好(hǎo)的(de)。

雖然防火(huǒ)牆的(de)開(kāi)發時(shí)間(×‌<jiān)比較長(cháng)，但(dàn)技(j±✘ì)術(shù)相(xiàng)對(duì)比較成熟，但(dàn)新的(de)×₩"≥防火(huǒ)牆概念，新技(jì)術(shù)仍在層出不(bù)窮。那(nà≥≤$↔)麽，如(rú)何對(duì)防火(huǒ)牆進行(xíng)真正的≈ (de)評價呢(ne)？還(hái)必須從(cóngλ♦)用(yòng)戶使用(yòng)角度進行(xíng)深入的(de)分$∑(fēn)析，從(cóng)功能(néng)、性能(néngβ‌≥)、管理(lǐ)、穩定性三個(gè)方面進行(xíng↔¥↕)調查。

功能(néng)，表現(xiàn)為(wèi)ⱓ雙層皮”

功能(néng)和(hé)性能(néng)一(yī)直是( ∞shì)用(yòng)戶評價防火(huǒ)牆的(de)主要(yào)方面♣®↕，尤其是(shì)由于其可(kě)量化(huשà)的(de)性能(néng)，更是(shì)對(duì)比的(de)✔Ω≠焦點，但(dàn)真正理(lǐ)解這(zhè)2個(gè)問(wèn)題 §©是(shì)不(bù)容易的(de)。為(wèi)了(le)适應<✔用(yòng)戶的(de)環境是(shì)複雜(zá)的(de<₹)和(hé)需要(yào)的(de)，為(wèi)了(±α‍le)有(yǒu)一(yī)個(gè)“賣δ£€±點”，現(xiàn)在的(de)防火(huǒ)牆一(y₽★ī)般都(dōu)有(yǒu)很(hěn)多(duō)功能(n₹‌±éng)，這(zhè)些(xiē)功能(néngσ®$)都(dōu)沒有(yǒu)任何問(wèn)題，如(rú)熱(rè)備功能( π≈néng)已經通(tōng)過測試，動态應用(yòng↔δ)的(de)支持也(yě)測試通(tōng)過，但(dàn)在實際環境中，↓© ≈我們可(kě)以在熱(rè)備使用(yòng)視(shì)頻(pín)會(×‌π×huì)議(yì)的(de)需要(yào)和(hé)要(yào)求而不(₽±bù)中斷的(de)視(shì)頻(pín)開(kāiβ∏)關。

這(zhè)可(kě)能(néng)是(shì)一(yī)些(xiē₩¥)防火(huǒ)牆是(shì)不(bù)是(shì)，和(hé)類似的(♠✔♥¥de)功能(néng)組合是(shì)用≥&☆(yòng)戶真正需要(yào)的(de)。此外(wàiπ∞)，防火(huǒ)牆功能(néng)和(hé)性能(néng≥$)一(yī)般會(huì)獨立評估，功能(néng)測試和(hé)性能(n¥σéng)測試和(hé)功能(néng)測試涉及單一(y¶¥ī)功能(néng)，性能(néng)測試§•€約2，三個(gè)簡單的(de)應用(yòng)性能(néng)，↕§λ∏導緻性能(néng)作(zuò)為(wèi)一(yī₽‍α)個(gè)功能(néng)的(de)“雙皮☆©☆”，不(bù)能(néng)∏ &真正反映了(le)防火(huǒ)牆功能(néng)：測試性能÷☆(néng)是(shì)非常高(gāo)的(de)，但(dànπ♦♠★)許多(duō)功能(néng)不(bù)能(néng←γ ®)使用(yòng)，在實際使用(yòng)時(shí)，∏ φ±打開(kāi)所有(yǒu)常用(yòng)的(de)功能(néng)，性₩✔ 能(néng)變得(de)非常低(dī)。"&∞因此，有(yǒu)必要(yào)對(duì)防火(huǒ)牆的(de)性能(n§βéng)和(hé)功能(néng)進行(xíng Ω)評估，以評估防火(huǒ)牆的(de)性能(néng)。

具體(tǐ)的(de)評價應該從(cóng)以下(xià)$∏★幾個(gè)方面展開(kāi)：

•2～7層的(de)訪問(wèn)控制(zhì)功能(néng✔&♦)，特别是(shì)濾波層深度的(de)應用(€σyòng)。函數(shù)應該能(néng)夠地(dì)址映≤γ∑✔射、端口映射、主幹VLAN支持、用(yòng)戶認證、動态包過濾，對(duìΩ‍∏≈)使用(yòng)任意組合的(de)流量控制(zhì)等功能(néng)。≥γ

•安全功能(néng)，重點放(fàng)在≠€σ♣抗synflood攻擊。目前，在&ldq→±uo;黑(hēi)客”的(de)♦§>攻擊行(xíng)為(wèi)，最常用(yòng)的(β≈€de)，最有(yǒu)效的(de)是(shì)DDoS（分(fēn)布←÷≠γ式拒絕服務攻擊），這(zhè)是(shì)由于服務器(qì)拒絕₹♠×服務。防火(huǒ)牆作(zuò)為(wèi)網絡的‌π(de)一(yī)個(gè)渠道(dào)，≈↕δ≈來(lái)保證網絡的(de)安全保護，需要(yào)重點關×ε‍✔注的(de)安全保護功能(néng)可(kě™≠×)以過濾攻擊的(de)同時(shí)保證★÷¥正常訪問(wèn)，是(shì)否源地(©$₽σdì)址攻擊和(hé)真實源地(dì)址攻擊同時(shí)有(yǒλ‌↕¥u)效地(dì)欺騙，可(kě)以保護服務器(qì)免受沖擊。這(zhè)個★>γ(gè)函數(shù)應該能(néng)夠地(dì)址映射、端口映射、主♣¶幹VLAN支持、用(yòng)戶認證、動态包過濾、流量控制(zhì✔≤)等同時(shí)或任意組合。

•實際性能(néng)。性能(néng)測試一(‌Ω₹¥yī)般包括六個(gè)方面：吞吐量、延遲、丢包率、回接、并發連接數(↑←±'shù)、新連接率，實際性能(néng)是(shì)在接近(jìn)×♦實際用(yòng)戶使用(yòng)性能(néng)的(de)。

•新連接率。由于網絡應用(yòng)的(de)波動較大(dà←∑₽)，即在不(bù)同的(de)時(shí)間(jiā↓≈ n)訪問(wèn)特性的(de)差異，防火(huǒ) π£牆也(yě)能(néng)适應這(zhè)種情況，相(xiàn♦≈g)應的(de)指标，新的(de)連接速率。考慮到(dà♦®o)用(yòng)戶網絡的(de)複雜(zá)性和(hé)應用(y×$òng)，還(hái)需要(yào)打開(kāi)常用(yòng)的(↕ααde)功能(néng)，如(rú)：數(shùγ±↓★)據包過濾、內(nèi)容過濾、抗攻擊等情況，測試新的(de)‍γΩ←連接速率。

管理(lǐ)是(shì)關鍵

用(yòng)戶要(yào)使用(yòng)安全的(de)防火(hu"×ǒ)牆系統，就(jiù)要(yào)實現(xiàn)一(yΩλ≤ī)套防火(huǒ)牆的(de)安全策略，這(zhè)是(shì)對(duì♥♦)防火(huǒ)牆的(de)實際操作(zuò)人(rén)員(yuán)π≠提出了(le)更高(gāo)的(de)要(yào)求。由于不(b≥'☆ù)同防火(huǒ)牆的(de)管理(lǐ)存在差異，因此，管理(lǐ)者的₽≈(de)管理(lǐ)難度可(kě)能(nén§≤ g)會(huì)導緻錯(cuò)誤配置，從(cóng↕>)而使網絡安全風(fēng)險。因為(wèi)每個(gè​ ↑)網絡管理(lǐ)員(yuán)都(dōu)不(bù)能(néng)被要★δ→←(yào)求成為(wèi)網絡安全專家(jiā)，所以管理(lǐ)是(shì)↑>®網絡安全的(de)關鍵。删除權限管理(lǐ)、通(tōng)信加密等，還(φ∞λhái)需要(yào)把重點放(fàng)在管理<♦₽‌(lǐ)上(shàng)的(de)方便性和(hé)集中管理(lǐα♥★$)的(de)這(zhè)2個(gè)方面。

單一(yī)管理(lǐ)方便，防火(huǒ)牆₽φ應該提供各種管理(lǐ)，為(wèi)管理(lǐ)員(yuán)在不<•(bù)同的(de)使用(yòng)場(chǎng)合，如(rú)高≤↕☆®(gāo)級别的(de)管理(lǐ)員(yuán)進行(π xíng)全面管理(lǐ)防火(huǒ)牆的 ✘(de)串口命令行(xíng)模式；遠(yuǎn ≥)程維護和(hé)管理(lǐ)SSH方式；網絡遠(>↑α↕yuǎn)程配置；圖形用(yòng)戶界面的(de)遠(yuǎn)Ω✘÷↓程配置和(hé)監控。

其中，網頁模式無需安裝客戶端軟件(jiàn)，更方便靈活；圖形用(yò> ng)戶界面安裝更麻煩，但(dàn)靈活性強。早期：很(h£≥∏₩ěn)多(duō)服務器(qì)管理(lǐ)員¶≥×(yuán)，當服務器(qì)受到(dào)攻擊的( →¶φde)時(shí)候直接安裝個(gè)軟件('™jiàn)防火(huǒ)牆。實際上(shàng)這(zhè)樣的(de)♣​≤φ作(zuò)用(yòng)并不(bù)大(dγ÷à)，因為(wèi)已經到(dào)了(le)<γ≠•服務器(qì)的(de)應用(yòng)層。不(bù)管怎樣，流量已經↓÷是(shì)到(dào)服務器(qì)的§≤∞(de)網卡，比如(rú)攻擊者一(yī)旦加大(dà)流量，帶寬耗盡自(>♥zì)然全部挂了(le)。

針對(duì)早幾年(nián)攻擊流量小(xiǎo)作(zuò)用(yòn©↓γ₩g)是(shì)非常明(míng)顯，而且優點是(∞<shì)成本低(dī)，也(yě)許幾百塊就(jiù)可(k'​÷ě)以解決問(wèn)題。現(xiàn)在時(shí)代不(bù)同了(le)™♦'，動不(bù)動就(jiù)是(shì)幾十G上(shàng)百G的(→'‌de)攻擊無處不(bù)在。高(gāo)防CDN是(shì)從(cóng)β→∏接入層以及網絡層+應用(yòng)層來(lá¶λi)解決問(wèn)題，比較适合于現(xiàn)在☆'δε的(de)大(dà)流量攻擊。攻擊者發起攻擊後，流量會(h®±uì)直接到(dào)高(gāo)防接入硬件(jiàn)防'​火(huǒ)牆，集群防火(huǒ)牆會(hπ★♥≈uì)過濾過99%以上(shàng)的(de)攻擊應用(yòng)，仍有(£&¥yǒu)大(dà)量的(de)CC可(kě)能(néng)沒有(yǒu)辦∑×♣★法完全過濾。CC流量到(dào)了(le)CDN節點服務‍♥器(qì)，通(tōng)過限制(zhì)訪問(wèn)頻(p₹₹ín)率以及其它防CC策略實現(xiàn)封停無≤£•效的(de)IP。