06年度IPSec VPN测试报告

　　经过我们的调查，那些对IPSec VPN跃跃欲试的用户对以下问题仍存有疑虑，如:在2M和ADSL链路上的VPN性能是怎样的，对于分支机构而言，中低端的产品是否可以满足需要?我们企业的分支机构管理能力有限，VPN产品能够做到全网集中管理与维护吗?在短期内不会花巨资租用高带宽出口，狭小的带宽能够保证关键业务的运行吗?随着企业间联系的日益密切，VPN产品如何面对流行的安全隐患?网络环境相对复杂，是否需要因VPN而进行拓扑改动?

　　为了给出答案，《网络世界》评测实验室组织了新一轮的IPSec VPN公开比较测试，测试将分两阶段进行。第一阶段的主题是“用好您的VPN网络”，重点在安全管理、流量管理、集中管理、以及对复杂网络环境的适应性上。第二阶段的主题为“构建复杂、多业务的VPN网络”，强调VPN网络对于业务系统的支持能力，通过搭建包括语音和ERP等多业务系统，得出可触摸、可借鉴的服务质量。

　　为了给用户提供更有针对性的参考，我们在发出测试邀请时模拟了这样的应用场景，即契合目前大、中型VPN企业用户的常见使用情况，要求厂商至少送测两款VPN网关，其中一台为中心网关，另一台部署于分支机构。其中分支VPN网关能够适应用户2M专线和ADSL接入的需求，中心网关能够满足与10个以上分支机构VPN网关互联的需求。

　　我们秉承了一贯坚持的公开免费原则，向如下VPN产品厂商发出了邀请:Amarenten、凹凸科技、Fortinet、港湾网络、国恒联合、华为3Com、i-Security、Juniper、联想网御、Netgear、诺基亚、启明星辰、瑞星、深信服、神州数码、思科、SonicWall、侠诺科技。最终，Fortinet、国恒联合、i-Security、Juniper、深信服和侠诺科技积极地接受挑战，并各自送来了如下的方案(中心网关+分支网关):Fortinet(FortiGate 800F+FortiGate 60)、国恒联合(速通VPN/路由器4000+速通防火墙S50)、i-Security(SP-4060+SP-3040)、Juniper(SSG 550+NetScreen-5GT)、深信服(DLAN M5100+DLAN S5100)、侠诺科技(QVM1000+QVM330)。此外，他们还带来了配套的管理软件。

　　这次测试中，思博伦通信为我们提供了测试仪表，D-LINK向我们提供了三层全千兆交换机用于搭建测试环境，在此一并向他们表示感谢。

　　经测试，深信服以较高的性价比给我们留下了深刻的印象，国恒联合与侠诺科技在满足用户基本需要的基础上拥有最具吸引力的价格。Fortinet、i-Security和Juniper则拿出了全面的表现。最终，凭借在攻击防御、功能与管理等方面的优势，以及良好的性能表现，Juniper的“SSG 550+NetScreen-5GT”组合获得了我们的最高评价，赢得《网络世界》评测实验室编辑选择奖。

　　安全第一

　　VPN的目标之一就是要达到物理专网的相似安全性。VPN的安全性至少包含以下三个含义，即:数据传输的安全性、用户的安全接入、内网资源访问的安全性。给人的印象是，在这几方面，IPSec VPN产品在几年前就已经很成熟了。实际上，随着安全形势的变迁，好的VPN产品不停地在这些内容上进行着改进，在某些方面，比如深度检测和准入控制上，甚至发生了明显的变化。

　　数据加密

　　IPSec VPN产品通过加密来保障数据传输的安全性，VPN网关支持的加密算法与强度存在着一定差别。目前在市场上主要采用的加密算法是3DES和AES-128，后者比3DES具有更高的安全性，由于加密强度(128bit)要低于3DES(192bit)，其性能往往要高于3DES(有关二者的比较可参看性能测试部分)。在参加测试的六个产品组合中，除了深信服外，其他五组产品还支持AES-256。深信服也是参测产品中唯一的不支持标准IPSec的厂商。

　　 接入控制

　　出差员工等移动用户远程接入是大多数VPN都要面对的一个问题。VPN网关的加密算法再先进，一旦有非法用户成功接入VPN，谈论加密算法也都没有什么意义了，企业网已经完全暴露出来。因此，对移动用户的接入控制极为重要。

　　我们搭建了如图1所示的测试拓扑，使用一台WindowsXP笔记本作为移动接入客户端。

　　经验证，所有产品都支持“用户名+密码”的基本认证方式。应该说，这种方式使用简单，但存在较大的安全隐患，非法入侵者会利用使用者的疏忽而较容易地获取认证信息。即便是针对用户名/密码的认证，产品实现的方式也存在差距。除了国恒联合与侠诺科技的参测产品只支持本机认证外，其余四个厂商的产品都支持到RADIUS和LDAP的认证。目前，采用证书交换的方式是更安全的一种做法。

　　在这次测试中，只有侠诺科技的产品针对移动用户的接入不支持证书方式。对于创建Site-to-Site的VPN隧道，它也只支持预共享密钥而不支持证书方式。

　　Fortinet、i-Security和Juniper的产品还提供了接口，允许第三方的认证方式，如令牌等加入到认证过程中来。

　　深信服科技的产品对于移动用户接入的认证非常有特色，它们采用了基于硬件特征的身份认证技术，将接入用户的身份鉴别和计算机的硬件特征进行绑定，由于每台计算机具备唯一的硬件身份(如网卡的MAC地址、硬盘和CPU的特征码等)，因此，即便用户名/密码被泄漏出去，非法用户还是不能接入到VPN中来。

　　测试中，我们通过正确的用户名/密码信息试图连接到总部时，由于没有正确的硬件绑定信息，客户端软件的日志提示:“认证失败，原因:硬件鉴权不通过。”

　　深信服科技的客户端还支持USB key的方式，管理中心可以将客户端的证书和配置信息都存储到U盘中，帮助客户端自动认证并连接到VPN中来。对于深信服的两款产品来说，用户名/密码认证、硬件绑定和USB key三种方式可单独使用，也可以组合使用。

　　资源访问

　　用户在通过认证后，只能按照企业的安全策略，允许其访问某些特定资源，这也应该是VPN网关控制的内容之一。

　　经验证，所有参测产品都能通过用户身份、地址、服务和时间等元素对接入用户进行访问控制。

　　据了解，有的厂商已经把内网安全方案中的安全准入思想迁移到了VPN中来，即在远程客户端上安装插件，对客户端进行安全评估，比如确认其是否更新了病毒库。对于不符合企业安全策略的客户端，将被放到隔离区中去，直到对安全隐患进行了修正才能被允许访问重要的企业网资源。不过，在这次测试中，我们没有遇到此类产品。

　　深度检测

　　从历史上看，深度检测不是VPN网关的职责。但鉴于当前的安全形势和VPN用户的特点，决定了深度检测对于VPN网关来说应该是一个方向。图2是我们针对这个问题在《网络世界》的2006年安全巡展中对近300名与会者进行调查的统计结果。

　　此次测试，我们无意对VPN网关的深度检测与防御功能进行全面的测试，而只是对产品是否支持对应用层攻击的防御进行了验证。

　　我们针对微软操作系统的一个RPC漏洞(CVE编号:CAN-2002-0724)，穿越隧道，使用某攻击工具对一台未打补丁的Windows2000服务器进行攻击。测试拓扑如图3所示。

　　在参加测试的六个厂商的产品中，有一半产品支持深度检测和防御，它们是来自Fortinet、i-Security和Juniper的产品。我们首先关闭该功能，可以发现，攻击工具可以使Windows 2000服务器出现蓝屏并在数秒钟后重启。

　　开启深度检测并阻断攻击流，结果攻击没能成功。上述三个厂商的产品都在阻断恶意数据流的同时准确报警。我们还在此情况下使用网络邻居对正常的网络行为进行尝试，发现可以正常访问。

　　三组产品在对应用层防御功能上都具有良好的可扩展性，除了不断升级的特征库和协议异常外，它们还都支持用户自定义的特征输入。我们在性能测试中还开启了这三组产品的深度防御系统，发现性能没有明显下降。

　　DoS攻击防御

　　DoS攻击是任何一个网关产品都要直面的问题。我们模拟高强度的DoS攻击，试图发现这些VPN网关在自身遭受攻击的时候是否能够及时报警、继续被管理，VPN隧道是否能够继续工作。

　　我们使用思博伦通信的测试仪SmartBits 6000B模拟针对VPN网关管理地址的SYN_Flood攻击，这些网关默认使用TCP端口号80、443或1000进行管理，我们的攻击就针对这些端口展开。测试拓扑如图4所示。对DoS攻击的防御不仅仅是一个安全特性，它也从一个侧面也反映着产品的性能。

　　我们的攻击强度对分支网关这些“小个子”来说确实大了些，测试仪按照百兆线速发送包长为128字节的攻击包。结果，除了Fortinet外，所有分支网关在遭受这种攻击时与中心网关的隧道都中断了，在攻击停止前也都不能恢复，也无法继续通过Web方式进行管理。不过，尽管攻击强度都超过了网关的处理极限，但来自i-Security、Juniper和深信服的分支网关还是发出了准确的告警。

　　在对中心网关的测试中，百兆线速的攻击强度下，只有i-Security SP-4060和Juniper SSG 550既能准确告警，又能保证隧道不中断。深信服的DLAN M5100仍能准确报警。国恒联合与侠诺科技的产品则在高强度下隧道中断，且不会报警。我们还降低了攻击强度，深信服DLAN M5100可以在90Mbps强度下，国恒联合的速通VPN/路由器4000与侠诺科技的QVM1000能够在50Mbps左右的攻击强度下，仍能保持隧道继续工作并告警。

　　Fortinet的处理方式有些特别，不管我们针对分支还是中心网关的攻击，它都没能告警，据工程师介绍这是因为攻击流量直接针对本地网关，并没有穿越网关而匹配某条策略，恶意流量被网关内核直接丢弃了。事实上，SYN_Flood攻击流对分支和中心网关都没能造成严重的影响，中心网关FortiGate-800F支持千兆接口，我们使用千兆线速的强度对它进行攻击时，它的CPU利用率虽然有明显上升，但穿越隧道的流量几乎不受影响，Ping远程主机的每个报文都成功响应，延迟也都保持在几毫秒之内。

　　但是我们认为，对任何攻击流量的告警都是很有必要的。

　　i-Security和Juniper的中心网关也都支持千兆接口，在千兆线速的SYN_Flood攻击下，二者与分支网关建立的隧道都不会中断，特别是Juniper的SSG 550，穿越SSG 550和NetScreen-5GT之间的隧道Ping远程主机时每个包都能在数毫秒内得到成功响应。而i-Security的SP-4060则只能保证偶尔可以Ping通远端主机。

　　测试表明，在以小包长(128字节)按线速对VPN网关进行SYN_Flood攻击时，的确对很多产品来说是一个严峻的考验。

　　您现在的位置：希赛首页>网络频道>接入-VPN>正文

　　06年度IPSec VPN测试报告[3]

　　http://www.csai.cn　作者：于洋发表评论进入社区

　　性能与QoS

　　性能测试、安全性测试和管理与功能测试都围绕我们开篇提到的应用模型展开。即分支网关通过2M专线或ADSL与中心网关相连，中心网关能够满足与10个以上分支机构VPN网关互联的需求。需要说明的是，由于各个厂商中心网关的性能都远远超过分支网关，因此，在这个模型下测得的性能数据主要受分支网关性能的限制，中心网关单一的性能极限不在本次测试范畴之内。

　　传输性能

　　我们使用测试仪模拟应用数据流，穿越VPN隧道进行传输。经测试发现:这些产品在性能极限上存在较为明显的差异，不过在2Mbps专线接入的前提下差距不大，只有TCP连接的建立时间有一些区别，应用层的传输能力几乎没有差异，但各路产品在QoS的支持能力上各有不同。

　　测试中，我们搭建了如图5所示拓扑，中心网关和分支网关通过一台D-Link三层全千兆交换机DGS-3324SR相连，中心网关和分支网关的WAN口在同一网段，两个网关之间创建IPSec隧道，分两次进行测试，以期发现目前两种流行的加密算法——3DES和AES-128对性能的影响。两次隧道(包括Phase-1和Phase-2)的算法组合分别为采用DH-2/3DES/SHA1和DH-2/AES-128/SHA1。

　　GS-3324SR支持细粒度的端口限速，我们将分支网关与之相连的接口带宽限制在2Mbps，以此来模拟测试模型中的2M专线。应用层测试仪Avalanche和Reflector分别位于分支网关和中心网关的内网口，Reflector充当FTP服务器，Avalanche模拟10个并发客户端，不断地从服务器下载大小为1M字节(1字节=8比特)的文件。测试持续时间为120秒。

　　结果，在2M限速条件下，产品之间FTP下载的速度几乎没有差别，加密算法采用3DES或是AES-128对隧道的传输性能也几乎没有影响。比如在算法组合DH-2/AES-128/SHA1的条件下，FTP下载的平均值都在0.167~0.175个文件/秒范围之内，TCP连接平均建立时间各个产品组合有所不同。如表一所示。通过Avalanche的实时流量监控，发现客户端的流量稳定地接近2Mbps，即VPN隧道的物理带宽限制。这至少说明，这些参测产品，尽管多数分支机构网关的“个头”很小，但它们的加密性能满足2M专线接入的需求是不成问题的。

　　这其中有个“异类”，即深信服的VPN组合，其FTP下载速度达到了1.558个文件/秒，可以计算，其FTP应用净荷的下载速度就已经超过了12Mbps，远远高于2Mbps的物理带宽限制。这是因为深信服的VPN网关会自动进行数据压缩，以实现在低带宽条件下的高负载传输，一个非常好的特性!

　　尽管已经超出了我们的测试模型范畴之外，我们还是测试了取消带宽限制条件下的VPN隧道传输性能，从而清晰地了解每款“小个头”分支网关的加密性能极限(分支网关中只有i-Security的SP-3040体积算不上“小个头”，它的外表有点象1U的刀片服务器。其余的分支网关体积都很小，最小的如Fortinet的FortiGate 60和Juniper的NetScreen-5GT都只有Modem那样大)。

　　我们以DH-2/AES-128/SHA1算法组合为例，测得这些“小个头”们最少的加密传输性能也超过了12Mbps的FTP净荷。i-Security的组合测得的吞吐性能最高，FTP下载1M字节文件的速度达到了10.383个/秒。Fortinet的组合其TCP连接平均建立时间最小，仅为4.898毫秒，FTP文件下载速度也高达7.792个/秒。我们还发现，在分支网关接入不限速的情况下，各个组合的TCP连接建立时间都有了明显的改善，而且采用AES-128进行加密，半数以上的产品都较3DES加密有了性能上的改善，改进最大的i-Security的组合，增幅接近60%。由于我们的测试初衷是给以2M专线或ADSL接入的用户提供参考，故不做带宽限制的测试数据仅供大家借鉴，没有列入总评之列。这些“小个头”在实际环境中往往会受到带宽的限制而没有机会发挥出其全部潜能。但从另一个角度来看，即便将来用户将自己的广域网出口带宽扩展到10M，“瓶颈”依然在专线出口一方，参加此次测试的“小个头”们完全胜任。

　　QoS效果不一

　　随着企业将更多的业务转移到VPN中来，在拥挤的带宽上，企业的关键业务应该优先得到保障，此时VPN网关的QoS功能就显得更为重要。常见的QoS手段包括:带宽分配、优先级划分和Diffserv。我们对带宽分配的准确性和优先级划分的效果进行了验证。

　　带宽限制

　　我们首先在中心和分支网关之间创建隧道，所有参测产品都支持带宽分配，我们在VPN网关上进行配置，将来自192.168.1.0/24网段的流量带宽限制在1Mbps。我们使用SmartBits 6000B和SmartFlow测试软件对带宽分配的准确性进行了验证。

　　结果，来自Fortinet、i-Security、Juniper和深信服的产品都能实现准确地控制，国恒联合与侠诺科技的产品只是在某种特定包长的条件下限流准确，在其他包长存在着一定的出入。

　　优先级划分

　　优先级划分配置简单，在实际应用中较Diffserv更容易得到用户的青睐。国恒联合的产品组合不支持优先级划分，侠诺科技的组合仅在纯路由方式下支持优先级划分，在IPSec隧道方式下不支持该功能。其他四款产品组合都能实现不同应用的不同优先级对待，我们使用SmartBits 6000B和SmartFlow测试软件模拟了三种UDP应用，DNS(端口号=53，低优先级)、RADIUS(端口号=1812，中优先级)、SNMP(端口号=161，高优先级)，三种流量在同一物理端口内按等量带宽进行传输，测试拓扑如图6所示。我们要求产品在发生拥塞的条件下，高优先级的数据流能得到优先对待，丢包率更低。

　　我们请厂商的工程师对设备进行了QoS配置。由于来自不同厂商的产品组合发生拥塞的负载极限差异较大，故我们的采样点有所不同，结果如表2所示，我们认为，这几种产品组合都达到了我们的要求。

　　随着用户把新的业务，如语音和ERP等应用也转移到VPN网络中来，VPN网关的QoS的地位也会变得更加突出，要想实现真正的QoS，比如，不仅保证语音数据流的低平均时延，还要保证很小的时延抖动。可以说，到那时，Diffserv是必然的选择。参测产品中，来自Fortinet、i-Security和Juniper的产品支持Diffserv，我们会在IPSec VPN的第二阶段测试中对其效果进行评估。