安易抗DDOS集群防火墙ES2400评测

　　分布式拒绝服务攻击，简称为DDoS (即Distributed Denial of Service)，是目前最常见的网络攻击手段之一。攻击者只要将一个个 “肉机”组成僵尸网络(即Botnet)，就可以发动大规模DDOS或SYN洪水网络攻击，也可以将“肉机”组到一起进行带有商业利益的刷网站流量、Email垃圾邮件群发、瘫痪预定目标受雇攻击竞争对手等活动。

　　Ddos攻击示意图

　　DDoS硬件防火墙是防护DDoS攻击的一个重要的防护手段，目前在大中型IDC中得到了广泛的应用，但随着攻击强度的加大，单机的防护能力已经不能满足防护的要求，支持集群模式的防火墙也就在市场上应运而生。

　　我们最近收到了安易信息技术有限公司推出的抗DDoS硬件防火墙ES2400就是这样一个支持集群的防火墙，本评测室旨在通过本测试，给读者一个集群防火墙的概念，并为用户选择防火墙提供一些参考。

　　产品概述

　　安易信息技术有限公司(www.ezsafe.cn)是一家从事网络安全研发的厂商，很早就开始了针对DDoS攻击进行研发，产品在很多行业尤其是IDC行业得到了广泛的应用。而ES2400就是安易目前的市场主打产品，支持千兆光口或铜缆口接入，支持集群，下图就是ES2400的外观图。

　　ES2400外观

　　DDoS攻击通过大量合法的请求占用大量网络资源，以达到瘫痪网络的目的。 这种攻击方式可分为以下几种：

　　1. 通过使网络过载来干扰甚至阻断正常的网络通讯，这常常表现为SYN Flood、UDP Flood等。

　　2. 通过向服务器提交大量请求，使服务器超负荷，例如CC Proxy Flood等。

　　而根据安易为我们提供的资料，ES2400可以防御的攻击包括：SYN Flood、UDP Flood、ICMP Flood、IGMP Flood、Fragment Flood、CC Proxy Flood等等主流的DDoS攻击方法。

　　对于一款面对IDC市场主要用于防御大规模流量的DDoS防火墙来说，吞吐量性能和能否稳定支持集群都是重要的方面，我们也主要对这两个方面进行了评测。

　　吞吐量测试

　　我们使用了SmartBits 600B来对该产品的吞吐量能力进行了测试。

　　防火墙吞吐量是衡量防火墙在各帧长的满负载数据包情况下的稳定性表现。它反映的是防火墙的数据包转发能力。数据流中个别帧的丢失会导致由于高层协议等待超时而产生的重大延迟，所以防火墙实际的最大数据传输速率是非常重要的指标。同时该项指标还能用于判断防火墙设备在超过自身负载的情况下稳定性问题。

　　这项测试用来确定防火墙在不同传输速率下丢失数据包的百分数，目的在于测试防火墙在超负载情况下的性能。以特定速率发送特定数量的数据包通过防火墙，然后计算被防火墙转发的数据包数量。丢包率用以下公式计算：((IN-OUT)*100%)/IN。

　　测试结果

　　字节大小流量值延时丢包率客户端连接情况64B500MB<3ms0%正常64B800M<5ms0%正常64B880M<10ms0%稍为缓慢64B900M<15ms0.2%有时无法连接128B980M6ms0%正常

　　在整个测试过程中，被保护服务器的CPU占用率都保持在正常状态，在攻击流量达到880M的情况下，没有丢包，延时也非常小。

　　集群测试

　　现在针对IDC的DDoS攻击规模越来越大，已经远远超出了单台防火墙的防护能力，所以，如果要防护大规模的攻击流量，能否支持集群。评测室特别对安易ES2400的集群功能进行了测试。

　　根据安易提供的产品说明，ES2400防火墙提供了三种集群模式，三种模式对于上下端的交换机都有不同的要求。

　　同步模式：需要交换机支持LACP协议。最大可以支持8Gb流量。需要使用防火墙的cvia端口通信。

　　转发模式：需要交换机支持LACP协议。最大可以支持8Gb流量。需要使用防火墙的cvia端口通信。与同步模式相比可以支持较多的防护种类。

　　大规模集群模式：需要高端交换机支持，集群节点个数不受LACP协议限制，理论上集群节点可以无限扩展。

　　本次分别评测测试了其同步模式和转发模式，共采用了五台安易ES2400抗DDoS防火墙，交换机采用了华为的，支持LACP链路聚合协议。

　　集群测试图

　　根据我们的测试，在超过2Gb的背景SYN流量下，放在五台ES2400组成的集群下面的服务器，都可以正常访问，并且没有明显的延迟，这表明防火墙的集群模式工作正常。

　　集群吞吐量是衡量集群在各种帧长的满负载数据包情况下的稳定性表现，它反映的是整个集群的数据包转发能力，由于设备条件所限，我们只测试了两台ES2400集群在同步模式下的吞吐量性能。字节大小流量值延时丢包率客户端连接情况64B1000M<5ms0%正常64B1600M<6ms0%正常64B1760M<10ms0%稍为缓慢64B1800M<15ms0.3%有时无法连接128B1960M7ms0%正常可管理性支持(RS232/Telnet/Web/Snmp)

　　对于DDoS防火墙而言，吞吐量性能很重要，但管理是否方便也不容忽视，而ES2400除了提供同类产品常见的WEB、Telnet、RS232管理外，还提供了SNMP的管理方式。

　　经我们的测试，使用安易提供的MIB库，可以兼任业界领先的SNMP网管工具Solarwinds Engineers Toolset和MG-SOFT mib browser。

　　SNMP管理界面

　　结语

　　本次评测表明，安易ES2400抗DDoS防火墙基本能到达到其标称的防护能力，与市场能力相比，ES2400可以防护的攻击流量处于中上水平。而且提供了多样化的集群模式。在管理性方面，与其他市场同类产品相比，除了web管理方式以外，还提供了SNMP的管理方式和远程TELNET的管理方式。