【Hillstone】企业超级网管 山石网科SA-2001A首测-SA--2001A-Hillstone-SA

　　Hillstone SA-2001A安全网关是Hillstone山石网科专为中型企业用户而设计的多功能、高性能网络安全解决方案，适用于300-500个用户的网络环境。SA-2001A集安全接入、VPN接入、防火墙、流量过滤等功能于一身。采用业界先进的多核Plus网络安全架构和Hillstone自主开发的专用安全芯片StoneASICTM，高达48Gbps的内部交换总线，使SA-2001A能够避免传统ASIC和NP安全系统会话创建能力及流量控制能力弱的弊病，性能方面有着良好的表现。

　　在操作系统方面，SA-2001A内置Hillstone山石网科自主开发的64位实时并行操作系统StoneOS，采用模块化设计结构，功能强大且易于扩展。在网络访问控制以及网络资源分配方面，SA-2001A除了支持面向IP的传统网络管理方式，还提供了以用户为对象的新型网络管理服务模式。与传统的以IP为对象的网络服务模式相比，面向用户的网络服务（RBNS）模式可以通过对访问者身份的审核和确认，确定访问者的访问权限，合理地分配网络资源，无论在控制的力度上还是在精细度上都有着更加高效和灵活的表现。

山石网科 SA-2001A  图　库  评　测  论　坛  报　价

　　作为一款安全网关产品，SA-2001A提供了完善的防御各种网络攻击的能力，如DoS攻击、Flood攻击、ARP攻击等；在用户上网行为管理和网络服务管控方面，SA-2001A内置了161条安全服务条目，其中面向用户应用的安全条目92条，面向网络服务的安全条目69条，另外，支持用户自定义安全条目，配合灵活的策略设置，维护人员可轻松实现对网络资源的精细管理。在VPN方面，除了支持常见的VPN应用，考虑到易用性，SA-2001A设计了一种简单易用的VPN技术——PnPVPN，即即插即用VPN，从名字不难看出，易于使用是这种技术的主要设计目标。

　　本次测试的内容主要集中在Hillstone SA-2001A的各项安全防护功能上，包括Internet访问控制，混合DoS攻击防护。测试方法主要针对各项访问控制及安全防护功能设置安全策略，使用相应软件验证各防护功能表现。
 

　　Hillstone SA-2001A的主信息，在这里可以看到固件信息，CPU、内存、接口使用情况，以及重要的事件日志等。左侧是功能树，包括系统、对象、网络、安全、VPN、报表六大模块，接下来我们将对每一个模块中的主要功能和高级功能进行介绍。

网络:

　　本次测试环境，我们将SA-2001A配置在NAT工作方式，SA-2001A的配置操作相对一般宽带路由器要复杂，差不多每一项功能的实现都需要维护人员进行设置，虽然有些繁琐，但作为一个可以完全自定议设置的网络设备，SA-2001A可实现的功能也是非常灵活且强大的。

　　饭盒简单说一下SA-2001A的NAT配置方式，网络拓朴结构很简单，E0/0设置为LAN口，E0/3设置为WAN口。默认情况下，E0/0是SA-2001A的配置端口，该端口开放所有管理权限，IP地址为192.168.1.1。用户可以使用TELNET、HTTPS、SSH方式连接SA-2001A。

　　先我们要对接口进行配置，我们保持E0/0的默认参数不变（但要启用E0/0的DNS代理功能），仅对E0/3进行配置，如下图：

　　在配置完接口、路由、NAT、DNS后，最后还要设置安全域间的访问策略。完成这些操作，用户就可以通过SA-2001A访问外部网络了。虽然有些繁琐，但通过配置SA-2001A我们也能清楚地了解到路由器的工作原理。

系统:

　　策略是SA-2001A实现各种功能的机制。默认情况下，安全设备会拒绝设备上所有安全域之间的信息传输。而SA-2001A通过策略规则决定从一个安全域到另一个安全域的哪些流量该被允许，哪些流量该被拒绝。一般来讲，策略规则分为两部分：过滤条件和行为。安全域间流量的源地址和目的地址以及服务类型构成策略规则的过滤条件。策略规则都有其独有的ID号。策略规则ID会在定义规则时自动生成，同时用户也可以按自己的需求为策略规则指定ID。从源安全域到目标安全域之间的所有策略规则有特定的排列顺序。在流量进入系统时，系统会对流量按照找到的第一条与过滤条件相匹配的策略规则进行处理。

　　如上图中ID号为7的这条规则，目前的服务状态是允许所有（Any）流量通过，通过修改服务，我们可以对各种网络应用进行管理，例如限制P2P、IM、网游等。在SA-2001A中，服务共分两类：APP和SRV。APP指的是应用，如IM、P2P应用；SRV指的是服务，如DNS、SMB服务。两者的区别我们可以简单理解为，APP是面向用户的，SRV是面向网络本身的。在SA-2001A中，APP条目已经用星号（*）标出，下面我们将对一些具有代表性的APP服务进行验证测试。

即时通讯软件拦截测试:

　　跑跑卡丁车客户端版本：P561，拦截失败。在这里饭盒要多说两句，对于一些中规中矩的软件和应用，如MSN、FTP，管控它们是不难做到的，因为它们被设计得相对正规，所以也就易于管理。但对于一些略带“生猛基因”的软件，如QQ、部分网游、SKYPE，它们会充分为用户“着想”，以近乎“无所不用其极”的方式，让用户得以在任何网络环境中使用。在这方面，网管应该是比较有体会的。曾有人说，QQ这个软件做得没有一点原则可言，其实就是说，想对QQ进行管理是很难的。这类软件的一个共同点是，更新异常繁，想管住它们，厂家只有不断地更新“特征库”，就像病毒与反病毒软件一样，你看着我，我也盯着你。

Internet Protocol:

IP监控功能，我们可以看到P2P下载不愧是连接数杀手。

P2P STREAM:

　　钱龙旗舰2009版本：V5.80 Build 0655，拦截成功。虽然钱龙客户端可以登录，但无法获取行情信息，客户端不停地尝试连接服务器，观察3分钟后仍未能成功连接到服务器。

　　SA-2001A预设的APP服务共92条，SRV服务共69条，在我们测试的22个项目中，拦截成功20个，拦截失败2个。特征库版本:1090511，发布时间:Mon May 11 17:51:20 2009。就这一结果盒饭跟Hillstone山石网科进行了沟通，厂商表示，正在对特征库进行升级更新，随后的版本中将支持这两项应用的拦截。

攻击防护:

　　SA-2001A内置的安全防护功能十分完善，包括防御各种Flood攻击、IP地址欺骗、拒绝服务（DoS）攻击等。

　　我们开启SA-2001A的攻击防护功能，并使用Mir这个程序测试其防护能力，Mir是一个内网TCP半连接洪水攻击程序，不过Mir的攻击方式不是仅向目标发送SYN包，它会在发起攻击前检索局域网内所有的主机信息，然后冒用其它主机的MAC地址和IP地址向目标发起Flood攻击，导致目标设备MAC表被不停刷新，从而使网络通讯异常。

　　主机防御功能是指设备代替不同主机发送免费ARP包，一定程度上可保护被代理主机免受ARP攻击。

　　ARP欺骗问题，根源其实是TCP/IP协议设计上的缺陷所致，坦白说并没有一个严格意义上的解决方法，在这方面各厂家都拥有自己的技术，SA-2001A使用的ARP防欺骗机制是通过发送广播包来实现的。设置了该功能后，SA-2001A会持续向局域网内发送ARP包，通过这种方式不停刷新客户机上ARP缓存中的IP MAC对应表来达到抑制ARP欺骗的目的。

　　另外，在ARP防御方面，SA-2001A的DHCP监控功能可通过分析DHCP客户端与DHCP服务器之间的DHCP报文，建立DHCP客户端的MAC地址和被分配的IP地址的对应关系。在启动ARP检查功能后，将检查经过设备的ARP包是否与该表的内容匹配，如果不匹配则丢弃该ARP包。在使用DHCP获取地址的网络中，可以通过启用ARP检查和DHCP监控功能来防止ARP欺骗。

　　由于DHCP服务的客户端是以广播的方式寻找服务器，并且只接收第一个到达的服务器提供的网络配置参数，因此，如果网络中存在非授权的DHCP服务器，就有可能引发DHCP服务器欺骗。SA系列安全网关可以通过在相应端口上设置丢弃DHCP响应报文来防止DHCP服务器欺骗。

　　再有，一些恶意攻击者通过伪造不同的MAC地址不断地向DHCP服务器发送DHCP请求，从而耗尽服务器的IP地址资源，最终导致合法用户不能获得IP地址。这种攻击也即网络上常见的DHCP Starvation Attack。SA系列安全网关可以通过在相应端口上设置丢弃请求报文、设置DHCP包速率限制或者打开合法性检查功能来防止该类攻击。

细粒度的应用层安全策略控制:

　　通过创建行为Profile列表，SA-2001A可以对IM、FTP以及HTTP应用程序的多种行为进行控制，包括：IM应用程序的登录行为；FTP应用程序的登录行为、Get文件行为和Put文件行为；HTTP程序的多种请求方法，具体包括Connect、Delete、Get、Head、Options、Post、Put和Trace。

山石网科 SA-2001A  

　　作为一款面向中型企业的安全网关产品，SA-2001的功能可以说非常完善，在可管理性、易用性、网络基础安全、上网行为管理方面均有提供支持，并有着良好的表现。

　　在可管理性方面，SA-2001A提供了完善的CLI管理界面和全功能的Web管理界面，专业和非专业网络维护人员都可以各取所需，这让SA-2001A更能适应多种使用环境。SA-2001A支持Hillstone Security Management（HSM），HSM是Hillstone山石网科自主研发的集中网络安全管理系统，能够对网络中的多台Hillstone安全设备进行集中控制和管理。用户可以通过客户端程序，查看被管理安全设备的日志信息、统计信息、设备属性等，实时监控被管理设备的运行状态和流量信息。

　　在网络基础安全方面，SA-2001A提供了精细的防火墙功能、内网攻击防御功能和各种VPN功能，尤其在内网攻击防御方面表现出色，我们测试混合SYN flood攻击并没有导致网络中断，这点表现令人满意。

　　在上网行为管理和网络服务管理方面，SA-2001A预设了面向用户的APP网络应用服务92条，面向网络本身的SRV服务69条，对主流网络应用提供了比较全面的支持，同时简化了维护人员管理网络复杂程度，易用性也得到了改善。

　　在本次评测中，SA-2001A在应用流量优化和管控方面的表现可以说非常错，对于相对正规一些的软件（应用），如MSN、P2P下载、http、ftp，SA-2001A能进行有效的管控。虽然，目前版本（1090511）的特征库对个别网络应用的识别存在一此问题，不过，随着特征库的持续更新，相信现阶段的问题会得到解决。其实，使用流量特征匹配的方式进行网络流量管理就如同是使用杀毒软件进行查杀病毒和木马，特征库的不断更新与完善是其核心所在。