隨著云計算概念的深入人心，以及云計算應用的日益落地，人們對云計算不再陌生，開始更加關心它將如何與自己的業務發生關聯。然而伴隨著云計算應用的發展，云計算的安全問題也隨之而生。在金錢利益的驅動之下，已經形成規模的黑客產業鏈也無可避免的將黑手伸入了云計算網絡之中。

云計算的安全威脅：

在云計算網絡中，安全威脅又有了什么新的表現形式?云安全對我們有什么新的技術挑戰?下面《網絡世界》評測實驗室就目前收集到的云計算網絡安全威脅做了一個歸納性分析。

1、僵尸木馬

網頁木馬、系統漏洞依然是黑客控制主機的主要渠道。而隨著云計算中虛擬化技術的發展，如何為虛擬的主機及服務器進行安全防護已經成為云安全的重要挑戰目標。

2、管理安全漏洞

通過統一管理平臺對虛擬主機及服務器進行管理，是云計算的一個功能亮點，然而管理平臺一但被攻破，為企業帶來的損失也同樣是無法進行彌補的。類似的安全威脅還存在于整個虛擬化網絡的管理控制之中。

3、監測防控性能不足

云計算技術的發展，不但帶動了網絡系統處理能力的提升，還正在帶動著網絡流量帶寬的飛速增長。隨著網絡數據流量的增長，網絡設備的安全監測及安全防控能力也將會出現不足。

天融信云安全新手段

天融信公司為了滿足市場上用戶對入侵防御產品的需求，推出了“網絡衛士入侵防御系統 TopIDP”(以下簡稱TopIDP)。它是基于新一代并行處理技術開發的網絡入侵防御系統，通過設置檢測與阻斷策略對流經TopIDP的網絡流量進行分析過濾，并對異常及可疑流量進行積極阻斷，同時向管理員通報攻擊信息，從而提供對網絡系統內部IT資源的安全保護。

那么TopIDP有什么云安全防護的新手段呢?《網絡世界》評測實驗室對TopIDP新增的特色安全功能進行了一次深入分析。

1、正反向策略分析嚴查僵尸木馬

通過設置反向安全策略，對內網中的服務器及客戶端同樣進行安全檢測，這并不是一個全新技術，基本上網絡安全設備都可以進行相關的設置。但是在全方位檢測的基礎上并不降低網絡處理性能，這就需要借助天融信新開發的先進多核處理器硬件平臺了。

TOPIDP將并行處理技術成功融入天融信自主知識產權的安全操作系統TOS(Topsec Operating System)系統，集成多項發明專利，形成了先進的多核架構技術體系。在此基礎上的TopIDP產品具有高速的數據并行檢測處理和轉發能力，并且具有超過3000條攻擊規則以及全面防御溢出攻擊(BufferOverflow)、RPC攻擊(RPC)、WEBCGI攻擊(WebAccess)、拒絕服務(DDOS)、木馬(TrojanHorse)、蠕蟲(VirusWorm)、掃描(Scan)、HTTP攻擊類(HTTP)、系統漏洞類(system)攻擊的能力，同時還具備實時更新的超過100萬條的病毒庫。能夠勝任高速網絡的安全防護要求。

此種設計所帶來的益處是十分明顯的，無論內網中的真實主機還是虛擬服務器，無論通過何種渠道感染的木馬，在產生破壞行為時，勢必要通過外網進行數據傳輸。而通常網關安全產品防外不防內的安全策略下，無法將威脅有效的進行阻止。而正反向的安全策略設置可以有效避免此類問題的發生。當受控的僵尸主機在向外發出攻擊或傳輸敏感數據時，TopIDP會第一時間發現并進行阻斷。同時會向網絡管理員發出警告。以便于進一步對威脅進行處理。從而在根源上解決了僵尸木馬在內部網絡中的危害。

2、立體Web安全防護確保網頁安全

TopIDP還有針對性的增強了Web安全防護能力。其立體的Web安全防護功能可以利用內置web弱點掃描器，實時分析受保護站點的安全狀態;通過實時監測web網站服務器的各級頁面是否被非法更改，TopIDP可以自動或手動獲取WEB站點的頁面信息，對web站點進行緩存，并生成唯一的數字水印，當客戶端請求頁面與緩存自學習保護的頁面進行比較，可在第一時間恢復被篡改頁面，保證web站點頁面的完整性;TopIDP內有SQL注入防護規則，可有效阻斷SQL注入攻擊，保護web服務器數據安全。

3、管理控制安全插件嚴防管控漏洞

當網管員需要遠程甚至異地對網絡系統進行管理的時候，TopIDP可以提供安全管理插件在TopIDP的安全監控下進行可靠連接。有效的避免了因為虛擬化管理軟件漏洞、網絡控制系統漏洞所引發的安全隱患。

4、云安全檢測安全高效

天融信這在這里所運用的云安全技術，并非是簡單的將最新的病毒數據庫放在Internet上。而是天融信在認真分析當前云安全防護的最新技術后而歸納總結出來的全新云安全防護體系。該防護體系的核心，是一套采用了多種信息安全風險評估手段的信息數據庫。用戶在進行數據傳輸或網絡訪問時，通過實時對可信數據進行信息核對，可以最簡便的對用戶訪問數據的安全性進行判定。從而有效的避免了用戶對已知可信數據的反復檢測。在確保用戶上網安全性的同時，減輕了TopIDP檢測壓力，并且可以極大提升了網絡業務請求的響應能力。從而實現了高效、安全的云安全檢測機制。

TOPIDP的高性能全面防護

與現在市場上的入侵防御系統相比，TopIDP系列入侵防御系統，不但具有全新的云安全防護手段，還具備高性能、細安全控制粒度、深內容攻擊防御以及更大的功能擴展空間、更豐富的服務和協議支持，堪稱網絡入侵檢測和防御系統的新典范。

為了更深入的對TopIDP的防護能力及應用性能進行了解，《網絡世界》評測實驗室對天融信的擎天萬兆TOPIDP產品進行了功能及應用性能評測。

擎天萬兆TOPIDP為2U標準機箱，最高可支持6個萬兆(SFP+)或12個千兆10/100/1000Mbps自適應電口和12個SFP千兆光纖網絡接口。并且具備Web圖形化、SSH和串口Console，和支持網管平臺集中管理的功能。

測試環境

本次《網絡世界》評測實驗室采用了Breaking Point System公司的BPS網絡應用性能測試儀對其擎天萬兆TOPIDP應用層處理性能進行測試。(測試拓撲圖參見圖1)

圖1：擎天萬兆TOPIDP測試拓撲圖

應用性能測試

1、新建連接速率

新建連接速率是網絡設備在應用層接受用戶請求的處理速率。此項測試結果越高，在實際應用中，用戶處理性能就是越強，它代表了設備在面對大量網絡終端的訪問請求時，所能體現出的響應速度，直接關系到用戶的使應用性能是也是網絡中關鍵的性能指標。在新建連接速率測試中，考察擎天萬兆TOPIDP在HTTP協議中的用戶連接處理速率。測試中采用HTTP 1.1協議版本，測試文件大小為32k。同樣為了對擎天萬兆TOPIDP防護功能進行驗證，在測試時分別對其在無攻擊情況下性能和帶尼姆達/震蕩波/紅色代碼/沖擊波/SQL Slammer等多種蠕蟲攻擊情況下性能分別進行了測試。

測試結果表明，擎天萬兆TOPIDP具有很強的應用處理能力，在未帶攻擊下最大新建連接處理速率為25萬 HTTP連接/秒;在帶有蠕蟲攻擊時下最大新建連接處理速率為23萬 HTTP連接/秒，可以穩定在21萬連接/秒以上。兩者性能相差不大，充分顯示了擎天萬兆TOPIDP的超強應用處理能力。

2、并發連接數

并發連接數是測試網絡設備在應用層最大可以允許多少用戶同時進行連接，數值越高，設備所同時允許的連接用戶就越多。在并發連接數測試中，同樣還是在無攻擊模式和帶蠕蟲攻擊模式下，采用HTTP 1.1協議，測試文件大小為32k，客戶端設置一分鐘等待。

測試結果顯示，擎天萬兆TOPIDP無論在無攻擊模式下還是蠕蟲攻擊模式下并發連接數均可以達到350萬用戶并發連接。由此可知擎天萬兆TOPIDP用戶并發連接性能同樣出色。

3、應用層網絡流量

應用層網絡流量是用戶在進行網絡應用時實際傳輸的網絡流量。其測試結果直接反映出被測設備在處理網絡應用時的真實網絡性能。在應用層網絡流量測試時，同樣還是在無攻擊模式和帶蠕蟲攻擊模式下，采用HTTP 1.1協議，測試文件大小為32KByte。

測試結果顯示，天融信擎天萬兆TOPIDP無論在無攻擊模式下還是蠕蟲攻擊模式下應用層網絡流時不時均基本保持在10.8Gbps左右。做為一款萬兆級IPS產品，其性能完全可以滿足用戶萬兆網絡數據傳輸的應用需求。

4、檢測率

做為一款入侵防御產品，對攻擊的檢測率也是至關重要的。因此本測評測中，《網絡世界》對擎天萬兆TOPIDP產品的攻擊檢測率也做了重點評測。

在測試過程中，我們使用網絡性能測試儀表對擎天萬兆TOPIDP產品的一對千兆網絡端口中加入64Byte、128Byte、256Byte、512Byte、1024Byte、1280Byte和1518Byte的UDP包，并用攻擊工具發動10000次攻擊，在逐步調整壓力流量，找到全部攻擊識別情況下最大的壓力流量值并紀錄。(詳細結果參見下表)

測試結果顯示擎天萬兆TOPIDP產品在千兆25%背景流壓力下10000次攻擊未出現漏檢情況，在50%背景流壓力下，128Byte大小UDP包以上攻擊無漏檢，100%背景流壓力下，256Byte大小UDP包時僅出現兩次漏檢，512Byte大小UDP包以上攻擊無漏檢。體現了擎天萬兆TOPIDP十分出色的檢測效率。

電信級高可靠性設計

擎天萬兆TOPIDP不但在攻擊防護上有全面多樣的設計，在可靠性上設計同樣嚴謹。

1、應用Bypass與掉電保護

由于IPS采用在線部署模式，因此一旦IPS自身出現系統崩潰或者掉電等意外情況，會造成網絡中斷。為了解決此問題，業界一般采用應用Bypass和掉電保護兩種Bypass方法。所謂應用Bypass是在IPS通過內置硬件檢測到自身系統死機時，采用將二層鏈路直接打通的方法以保證數據報文可以正常通過。而掉電保護則是通過內置或者外置硬件，在監測到IPS失去電力供應時可以繞過IPS將線路打通，保證數據保溫正常通過。

擎天萬兆TOPIDP在不加電、斷電等情況下具備Bypass功能。測試中在不加電情況下流量可全部通過。而在正常使用中突然斷電時，系統可以在0.05秒的時間內即可立即切換。而在產品升級時，無論是Ping包還是連續數據包均可無丟失進行升級。產品可靠性設計異常出色。

2、端口聯動功能

端口聯動功能是指當IPS連接的某一端口關閉時，另外一個端口也可以自動關閉。此功能在網絡高可靠性設計時十分重要。

一般網絡的可靠性設計采用的是雙機通過VRRP協議進行熱備，當主機檢測到與上聯設備的鏈路中斷等情況下，可以自動切換到備機上，保證正常網絡通信。但是如果在上下行網絡設備之間串入IPS設備以后，即使IPS與上聯設備之間的鏈路發生了中斷，由于IPS與下聯設備之間的鏈路是正常的，下聯設備也因此無法檢測到鏈路故障，從而不能進行主備切換，進而造成網絡通信中斷。而端口聯動功能則可以解決此問題，一旦上聯鏈路發生中斷，下聯鏈路也同時中斷，從而保證了VRRP協議的正常工作，保證了網絡的可靠性。

在測試中，我們隨機將擎天萬兆TOPIDP某一端口連接的網線拔出時，其對應端口的狀態燈自動熄滅，顯示該端口也同時關閉。端口聯動功能測試正常。

擎天萬兆TOPIDP在端口聯動功能方面的設計，充分顯示了TopIDP對于產品應用的深刻理解，讓我們印象深刻。

3、其他可靠性設計

除上述可靠性設計之外，在擎天萬兆TopIDP上還采用了其他一些提升可靠性的方法。

擎天萬兆TopIDP采用了雙電源的冗余設計，任一電源都可以獨立滿足系統全部的供電需求。當某一電源出現故障時，另一電源可單獨為系統供電。在測試中，我們有意只使用一個電源，另一電源不接電源線，系統工作正常。

云網絡下的入侵防御

通過本次分析、評測我們可以了解，天融信公司推出的“網絡衛士入侵防御系統 TopIDP”不但在功能架構上，可以滿足當前云計算網絡安全防御的應用需求。在產品性能上，擎天萬兆TOPIDP也能滿足目前萬兆級網絡的入侵防御需求。其率先推出的具有創新性的云安全理念，更具有安全高效的特點，并且對目前危害性最大的未知威脅也有很高防泛能力。因此在萬兆網絡的核心及干路上可以安心部署放心應用。