10Mbps下的安全竞速

经过多年的安全洗礼，IPSec VPN产品的作用已经逐渐被国内用户所认可，并且已经成为大多企业解决远程访问问题的首选方案。但是对于那些分支机构众多的企业，中低端的产品能否胜任分支机构的业务运营？能否通过全网集中管理解决好分支机构管理能力不强的问题？面对新形势下的安全威胁，VPN产品如何应对？用户如何选择相应的IPSec VPN产品？面对种种疑问，计算机世界实验室于近期举行了一次IPSec VPN产品横向比较评测，希望能够给用户带来有价值的参考。

考虑到目前大、中型企业VPN组网的常见应用模式，即公司总部部署一台中心VPN网关产品，分支机构部署分支VPN网关，并大多采用专线或ADSL接入方式，最大出口带宽也就是10Mbps，所以我们在本次测试中，并没有像往常一样，针对高端核心网关产品进行极限测试，而是更多地模拟上述常见应用场景进行测试，希望能给用户更有价值的参考。

我们在征集产品时，依然以公平、公正、公开的原则，向目前主流网络安全厂商征集两款配套的VPN网关产品，其中一台为中心网关，另一台部署于分支机构。其中分支VPN网关能够适应用户10Mbps互联网接入的需求，中心网关能够满足10个以上分支机构VPN网关互联的需求。最后，来自Fortinet、H3C、i-Security、Juniper、Netgear、凹凸科技（O2）、合勤科技（ZyXEL）和网御神州的8家国内外主流厂商的16款典型产品参加了本次测试。

在本次测试中，思博伦通信为我们提供了优秀的Avalanche & Reflector 2700应用层测试套件，以及Smartbits 6000C测试仪表，在此我们向它们表示感谢。另外，在测试中，我们还采用了D-Link DES 3350SR和Netgear FSM 7312三层交换机搭建测试环境。

经过为期一个月的测试，最终，凭借在传输性能、QoS、管理与易用性等方面的综合表现，Juniper的“SSG 550+SSG 5”组合以及H3C的“SecPath F1000-A＋SecPath F100-E”组合获得了我们的最高评价，成为计算机世界实验室推荐产品。

VPN产品本身不是瓶颈

随着宽带接入成本的不断降低，分支机构采用10Mbps互联网出口的可能性越来越高。因此，对分支机构VPN网关的要求也相应提高，这些小家伙是否成为用户应用的瓶颈？为了帮助用户解惑，我们设计了之前提及的应用场景，即公司总部部署一台中心VPN网关产品，能够满足与10个以上分支机构VPN网关互联的需求，分支机构部署分支VPN网关，最大出口带宽限定为10Mbps。

测试中，我们搭建了如图1所示的测试拓扑，中心网关和分支网关与一台D-Link三层交换机DES-3350SR相连，中心网关和分支网关的WAN口设在同一网段，两个网关之间创建IPSec隧道，并利用常见的HTTP、FTP应用进行传输性能测试。

图1 IPSec VPN传输性能测试拓扑图

图2 IPSec通道QoS测试拓扑图

由于采用不同强度级别的算法组合会对IPSec传输性能产生不同的影响，因此，我们在测试中（包括Phase-1和Phase-2）统一采用DH-2/3DES/SHA1算法组合。利用D-Link DES 3350SR的细粒度端口限速功能，我们将与分支网关相连的接口带宽限制在10Mbps，以此来模拟测试模型中的10Mbps的互联网出口。

在测试中，我们将应用层测试仪Avalanche 2700和Reflector 2700分别部署于分支网关和中心网关的内网，Reflector模拟服务器，Avalanche模拟客户端。在HTTP测试中，我们设置Avalanche以4个HTTP请求/秒的负载，模拟分支机构内网用户下载一个300K字节的页面，考察应用带宽和HTTP延迟时间。在FTP测试中，我们设置Avalanche以10个FTP请求/秒的负载，模拟分支机构内网用户下载一个300K字节的文件，考察应用带宽和FTP延迟时间。

通过Avalanche的实时流量监控，各产品组合在DH-2/3DES/SHA1算法下，客户端的流量稳定地达到10Mbps，即达到VPN隧道的物理带宽限制。换句话说，这些参测产品，即便是个头最小的Netgear的FVS114，它的加密性能也能满足10Mbps的互联网接入的环境，因此，目前分支机构的VPN网关并不是网络的瓶颈。

当然，不同厂家的IPSec VPN组合对HTTP、FTP访问的延迟时间并不相同。测试结果表明，HTTP延迟时间介于2.64～5.54秒之间，FTP的下载时间介于24.76～26.32秒之间。

QoS效果不一

随着企业对安全重视程度的提高，越来越多的业务都转移入VPN之中。那么在拥挤的带宽上，企业的核心业务应该优先得到保障，此时VPN网关的QoS功能就显得非常重要。目前，常见的QoS保障手段包括：带宽分配、优先级划分和Diffserv。在本次测试中，我们对带宽分配的准确性和优先级划分的效果进行了验证。

考虑到用户实际应用的情况，我们模拟了如下测试场景：首先在中心和分支网关之间创建IPSec VPN隧道，在中心VPN网关上设置来自分支网关的VPN流量带宽为1Mbps；然后，在中心设置基于DNS(端口号=53，低优先级)、TFTP(端口号=69，中优先级)、SNMP(端口号=161，高优先级)三种UDP应用的策略，使它们共享1Mbps的VPN带宽，在发生拥塞时，保证优先级高的应用优先通过;最后我们以SmartBits 6000C和SmartFlow测试软件对带宽分配的准确性，以及优先级划分的有效性进行检测。

在优先级划分的有效性检验中，我们使用SmartBits 6000C和SmartFlow测试软件模拟DNS、TFTP、SNMP三种UDP应用，三种流量在同一物理端口内按等量带宽进行传输。我们期待VPN产品在网络发生拥塞的条件下（5.5Mbps和10Mbps），高优先级的数据流能得到优先处理，丢包率更低，测试结果见表3。

表2 送测产品信息统计

需要说明的是，Netgear的VPN组合，并不支持我们的测试场景，因此并没有参加本项测试。而合勤科技的组合由于送测途中的时间延误，在测试结束时并没有完成本项测试。对于其他参加本项测试的6个组合，它们均能良好地实现VPN的精确带宽控制，但是由于设计思路的差异，对于关键应用的优先级划分的方式各有不同。值得一提的是，在QoS测试中，Juniper、H3C的组合能够完全按照我们测试的预期效果，一次性通过测试。当然，根据测试结果显示，其他组合也达到了我们的测试要求。

安全不可忽视

VPN的安全性至少包含以下三个方面，即：数据传输的安全性、用户的安全接入、内网资源访问的安全性。在这几方面，IPSec VPN产品在几年前就已经很成熟了。而且，随着安全形势的变迁，用户对VPN的需求正在扩展，现在有些VPN产品不断地在这些内容上进行着改善，特别是在应用层深度检测和用户接入控制上，甚至发生了明显的变化。例如，本次参加测试的Fortinet、Juniper、合勤科技等公司送测的产品本身就定位于UTM，除了防火墙、VPN之外，还能够为企业提供多种安全防护。而且，随着用户对SSL VPN需求的不断增加，已经有多款产品可以支持SSL VPN功能。

另外，传统的DoS攻击，是任意一个网关型产品都不能避免的问题，因此我们在测试中也进行了实际测试。我们通过Avalanche模拟用户正常的HTTP连接，并混合一定负载的Synflood攻击，观察IPSec VPN网关，特别是分支机构网关的工作情况，用户正常连接的建立情况和延迟。测试结果表明，这些分支机构的产品，在我们设定的负载压力下，基本还是可以保持正常的，但是延迟明显提升，而且会因CPU处理能力的下降而有错误连接出现。

管理与易用性

安全产品的管理一向是令人挠头的工作。特别是那些分支机构众多的大型企业，它们对管理，特别是统一管理更为重视。因为，分部的管理人员无论是在人力和技术实力上远远逊色于总部，有的分支机构甚至都没有专门的网络管理人员。

所以，对于总部产品，我们主要考察其是否支持SNMP管理、是否可以统一配置安全策略，并及时下发给分支机构，是否具备详细的帮助文档，系统配置是否简单。对于分支机构产品，我们考察是否具备远程管理能力，配置是否简单、帮助文档是否通俗易懂。

另外，对于VPN这种跨越地域进行连接的组网形式，监控和诊断对于管理维护来说是很必要的。否则，一旦出现网络中断，管理员将很难处理。

当然，日志与统计也是安全产品必备的能力。强大的配套审计工具，能够帮助管理员更好地洞察VPN中发生的一切，更好地因实际需要而定制相应的策略。我们很高兴地发现，大多数参加本次测试的厂商，它们的产品都具备一定的审计能力。特别是Fortinet、i-Security和Juniper的产品，它们的审计功能更为详尽。

IPSec VPN 究竟怎样工作？

IETF（因特网工程任务组）于1998年11月公布了IP安全标准：IPSec用于为通信双方提供安全服务。IPSec是Internet Protocol Security （Internet协议安全性）的简称。IPSec的工作原理是这样的：在进行数据交换之前，先相互验证对方计算机的身份。身份验证通过之后，在这两台计算机之间建立一种安全协作关系，并且在进行数据传输之前将数据进行加密。IPSec不是一种协议而是由IKE、AH和ESP等组件组成。

IKE（Internet Key Exchange，互联网密钥交换）是启动IPSec工作的关键组件。它可使两台设备相互证实它们的身份，并设置数据传输的基本条件。

AH（Authentication Header，鉴定报头）利用一种验证机制防止有人窃取其他用户的身份，启动或继续对话。由于采用了相应的运算法则，使AH成为了一种低数据包开销、低处理能力需要的强大的实现用户验证的手段。

ESP（Encapsulation Security Payload，负载安全封装）一般与IPSec一起使用。由于每个信息包都经过加密和验证，因此即使被窃取或偷听，也可以防止有人利用这些数据。只有已经建立通道的指定目标设备，才能获得解密数据的必要密钥。

建立一个标准的IPSec VPN一般需要几个过程：建立SA（安全关联）、隧道封装、协商IKE 、数据加密和验证，如下图所示。