正在阅读：企业超级网管 山石网科SA-2001A首测企业超级网管 山石网科SA-2001A首测

　　Hillstone SA-2001A安全网关是Hillstone山石网科专为中型企业用户而设计的多功能、高性能网络安全解决方案，适用于300-500个用户的网络环境。SA-2001A集安全接入、VPN接入、防火墙、流量过滤等功能于一身。采用业界先进的多核Plus网络安全架构和Hillstone自主开发的专用安全芯片StoneASICTM，高达48Gbps的内部交换总线，使SA-2001A能够避免传统ASIC和NP安全系统会话创建能力及流量控制能力弱的弊病，性能方面有着良好的表现。

　　在操作系统方面，SA-2001A内置Hillstone山石网科自主开发的64位实时并行操作系统StoneOS，采用模块化设计结构，功能强大且易于扩展。在网络访问控制以及网络资源分配方面，SA-2001A除了支持面向IP的传统网络管理方式，还提供了以用户为对象的新型网络管理服务模式。与传统的以IP为对象的网络服务模式相比，面向用户的网络服务（RBNS）模式可以通过对访问者身份的审核和确认，确定访问者的访问权限，合理地分配网络资源，无论在控制的力度上还是在精细度上都有着更加高效和灵活的表现。

山石网科 SA-2001A  图　库  评　测  论　坛  报　价

　　作为一款安全网关产品，SA-2001A提供了完善的防御各种网络攻击的能力，如DoS攻击、Flood攻击、ARP攻击等；在用户上网行为管理和网络服务管控方面，SA-2001A内置了161条安全服务条目，其中面向用户应用的安全条目92条，面向网络服务的安全条目69条，另外，支持用户自定义安全条目，配合灵活的策略设置，维护人员可轻松实现对网络资源的精细管理。在VPN方面，除了支持常见的VPN应用，考虑到易用性，SA-2001A设计了一种简单易用的VPN技术——PnPVPN，即即插即用VPN，从名字不难看出，易于使用是这种技术的主要设计目标。

　　本次测试的内容主要集中在Hillstone SA-2001A的各项安全防护功能上，包括Internet访问控制，混合DoS攻击防护。测试方法主要针对各项访问控制及安全防护功能设置安全策略，使用相应软件验证各防护功能表现。
 

山石网科 SA-2001A  图　库  评　测  论　坛  报　价

　　Hillstone SA-2001A正面，从左至右依次为指示灯部分，包括电源、警告、状态、VPN指示灯，CLR按键，1个CON（CONSOLE）控制端口，1个USB端口，5个千兆以太网接口。

　　CON控制端口：SA-2001A提供有一个RS-232C异步串行配置口，并随机附送配置电缆一根。用户可以通过Windows自带的“超级终端”程序，使用命令行模式（CLI）对SA-2001A进行全程配置。

　　网络接口部分，SA-2001A共有5个千兆以太网接口，端口号由e0/0到e0/4（接触过网络工程师认证的网友应该比较熟悉这种命名规则）。奇怪，我们熟悉的LAN端口、WAN端口哪去了？我们要如何使用这些接口？想要弄明白这些，首先我们要先搞懂SA-2001A的工作方式。

　　在StoneOS中，存在着域这样一个概念，域是一个逻辑的实体，一个或多个接口可以绑定到域。被应用了策略规则的域即为安全域。安全域将网络划分为不同部分，例如trust（通常为内网等可信任部分）、untrust（通常为因特网等存在安全威胁的不可信任部分）等。将配置的策略规则应用到安全域上后，安全网关就能够对出入安全域的流量进行管理和控制。StoneOS 提供8 个预定义安全域，分别是trust、untrust、dmz、L2-trust、L2-untrust、L2-dmz、VPNHub 和HA。

　　明白了域的概念，SA-2001A接口的工作方式就不难理解了。接口允许流量进出安全域，为使流量能够流入和流出某个安全域，必须将接口绑定到该安全域，多个接口可以被绑定到一个安全域，但是一个接口不能被绑定到多个安全域。如果是三层安全域，还需要为接口配置IP 地址。SA-2001A可以灵活地划分安全域，并且可以自定义其它安全级别的域。当信息在分属于两个不同安全域的接口之间传输时，安全网关的安全策略规则会对信息流进行检查和处理，从而保证网络的安全。

　　Hillstone SA-2001A安全网关支持本地与远程两种环境配置方法，在本地，管理员可以使用Console口进行操作；通过网络，管理员可以使用Telnet、SSH、WebUI方式对SA-2001A进行配置。连接路由器的方式有四种，具体配置操作方式只有两种：CLI方式或WebUI方式。后者很好理解，WebUI方式极大地降低了配置操作的难度，借助产品手册，非专业网络管理人员一样可以对路由器进行配置，但这种方式也有一点不足，操作效率较低；SA-2001A支持完整的CLI配置方式。什么是CLI？即Command-Line Interface（命令行界面）。对于网络维护人员来讲，使用CLI配置路由器其实更有效率，但这需要一定的专业技能，非专业网络维护人员并无必要掌握，但对于厂商来讲，支持完整的CLI配置方式，在一定程度上可以反映一个厂商的实力。本次评测我们使用WebUI方式。

　　Hillstone SA-2001A的主页信息，在这里可以看到固件信息，CPU、内存、接口使用情况，以及重要的事件日志等。左侧是功能树，包括系统、对象、网络、安全、VPN、报表六大模块，接下来我们将对每一个模块中的主要功能和高级功能进行介绍。

网络:

　　本次测试环境，我们将SA-2001A配置在NAT工作方式，SA-2001A的配置操作相对一般宽带路由器要复杂，差不多每一项功能的实现都需要维护人员进行设置，虽然有些繁琐，但作为一个可以完全自定议设置的网络设备，SA-2001A可实现的功能也是非常灵活且强大的。

　　饭盒简单说一下SA-2001A的NAT配置方式，网络拓朴结构很简单，E0/0设置为LAN口，E0/3设置为WAN口。默认情况下，E0/0是SA-2001A的配置端口，该端口开放所有管理权限，IP地址为192.168.1.1。用户可以使用TELNET、HTTPS、SSH方式连接SA-2001A。

　　首先我们要对接口进行配置，我们保持E0/0的默认参数不变（但要启用E0/0的DNS代理功能），仅对E0/3进行配置，如下图：

　　这里的第二层安全域、第三层安全域可以简单理解为是接口工作在OSI模型的第二层与第三层。因为E0/3连接外部网络，所以将其划分在第三层安全域中，为UNTRUST安全域，设置静态IP地址，并开放所有管理权限。

　　设置完接口E0/3，插上网线，网络是不是就OK了呢？当然不是，还差得远呢……就像前面说过的，SA-2001A的每项功能几乎都需要手动设定，接下来我们还需要设置路由规则、NAT规则、DNS和安全域策略。

　　0.0.0.0指的是所有IP地址和子网掩码，使用这样的设置可使所有出站请求发往指定的下一跳，在这里是E0/3接口的默认网关。

　　NAT设置，SA-2001A提供了一个简单的NAT设置页面，源地址我们选择ANY，出接口为E0/3，行为NAT。

　　DNS代理功能指安全网关作为DNS代理服务器，为与其连接的PC等（客户端）提供DNS代理功能。同时，安全网关可以根据域名选择不同的域名服务器。本次我们选择“ANY”，即解析所有的DNS请求。

　　在配置完接口、路由、NAT、DNS后，最后还要设置安全域间的访问策略。完成这些操作，用户就可以通过SA-2001A访问外部网络了。虽然有些繁琐，但通过配置SA-2001A我们也能清楚地了解到路由器的工作原理。

系统:

　　Hillstone Security Management，简称为HSM，是Hillstone山石网科自主研发的集中网络安全管理系统，能够对网络中的多台Hillstone安全设备进行集中控制和管理。HSM系统分为三部分，即HSM代理、HSM服务器和HSM客户端（StoneManager）。将这三部分合理部署到网络中，并且实现安全连接后，用户可以通过客户端程序，查看被管理安全设备的日志信息、统计信息、设备属性等，实时监控被管理设备的运行状态和流量信息。

　　高可靠性（High Availability），简称为HA，能够在通信线路或设备产生故障时提供备用方案，从而保证数据通信的畅通，有效增强网络的可靠性。要想实现HA 功能，用户需要配置两台设备，组成HA 簇，系统使用HCMP 协议，按照两台设备上的HA配置信息，在HA 簇中选举出主设备，其它设备为备份设备。主设备处于活动状态，转发报文，当主设备出现故障时，备份设备接替其工作，转发报文。这样就保证了网络通信的不间断进行，极大地提高了通信的可靠性。

对象:

　　服务是具有协议标准的信息流。服务具有一定的特征，例如相应的协议、端口号等，举例来讲，FTP服务使用TCP传输协议，其目的端口号是21。服务是StoneOS多个功能模块配置的重要组成元素，例如策略规则和网络地址转换规则等。SA-2001A提供了161种预定义服务，划分为11个组，几乎囊括了所有日常应用，像各种P2P下载、流视频服务、IM通迅、各种网游、音乐搜索、理财软件等等，功能可谓十分强大，同时用户也可以根据自己的需要创建自定义服务或服务组。在预定义服务中，为了便于识别，带星号（*）的预定义服务为一些P2P或者IM服务。在进行安全策略配置时，将直接调用这些服务或服务组，这部分内容我们将在稍后介绍。

　　AAA服务器，AAA是认证（Authentication）、授权（Authorization）和计费（Accounting）的简称。认证是指验证用户是否具有访问系统的权限，以及哪些用户具有该权限；授权是指用户有权使用哪些服务；计费是指记录用户使用网络资源的情况。

　　SA-2001A支持本地认证和外部认让。默认情况下，安全网关使用本地认证的方式对用户进行认证。外部认证支持通过RADIUS协议和LDAP协议（包括Active-Directory和LDAP两种服务器类型）进行外部认证。将用户信息储存在外部RADIUS、Active-Directory或LDAP服务器上，通过外部RADIUS、Active-Directory或LDAP服务器对安全网关的用户进行认证。

安全:

　　策略是SA-2001A实现各种功能的机制。默认情况下，安全设备会拒绝设备上所有安全域之间的信息传输。而SA-2001A通过策略规则决定从一个安全域到另一个安全域的哪些流量该被允许，哪些流量该被拒绝。一般来讲，策略规则分为两部分：过滤条件和行为。安全域间流量的源地址和目的地址以及服务类型构成策略规则的过滤条件。策略规则都有其独有的ID号。策略规则ID会在定义规则时自动生成，同时用户也可以按自己的需求为策略规则指定ID。从源安全域到目标安全域之间的所有策略规则有特定的排列顺序。在流量进入系统时，系统会对流量按照找到的第一条与过滤条件相匹配的策略规则进行处理。

　　如上图中ID号为7的这条规则，目前的服务状态是允许所有（Any）流量通过，通过修改服务，我们可以对各种网络应用进行管理，例如限制P2P、IM、网游等。在SA-2001A中，服务共分两类：APP和SRV。APP指的是应用，如IM、P2P应用；SRV指的是服务，如DNS、SMB服务。两者的区别我们可以简单理解为，APP是面向用户的，SRV是面向网络本身的。在SA-2001A中，APP条目已经用星号（*）标出，下面我们将对一些具有代表性的APP服务进行验证测试。

即时通讯软件拦截测试:

安全策略

MSN版本：2009（14.0.8064.206），拦截成功。

QQ版本：QQ2008II Beta1（8.0.1251.201），拦截成功。

飞信版本：Fetion 2008 （3.4.1280），拦截成功。

Skype版本：Skype 3.8.4.220，拦截成功。

在线游戏拦截测试:

安全策略

联众世界客户端版本：2.8.2.1，拦截成功。

QQ游戏2009客户端版本：QQGame2009beta4，拦截成功。

　　中国游戏中心（Chinagames.net）版本：2009.2.1.2，拦截成功。在测试时看到，Chinagames的服务器估计有十多个IP，客户端会不停地尝试登录，持续了2分钟后仍不见停止，但始终未能成功连接。

　　跑跑卡丁车客户端版本：P561，拦截失败。在这里饭盒要多说两句，对于一些中规中矩的软件和应用，如MSN、FTP，管控它们是不难做到的，因为它们被设计得相对正规，所以也就易于管理。但对于一些略带“生猛基因”的软件，如QQ、部分网游、SKYPE，它们会充分为用户“着想”，以近乎“无所不用其极”的方式，让用户得以在任何网络环境中使用。在这方面，网管应该是比较有体会的。曾有人说，QQ这个软件做得没有一点原则可言，其实就是说，想对QQ进行管理是很难的。这类软件的一个共同点是，更新异常频繁，想管住它们，厂家只有不断地更新“特征库”，就像病毒与反病毒软件一样，你看着我，我也盯着你。

Internet Protocol:

安全策略

Internet Protocol（浏览器应用），测试拦截HTTP流量，拦截成功。

　　Internet Protocol（FTP应用），测试拦截FTP流量，拦截成功。在没有开启拦截功能前，前4个文件夹成功打开；开启拦截功能后，3.0.5打开失败。

　　HTTP Download下载测试。产品手册中对HTTP Download的描述是“使用HTTP 协议进行多线程下载”。可以看出，SA-2001A对流量的判断机制是下载任务“是否运行在多线程模式”。我们的测试也证明了这一点。任务一在开始下载时使用单线程，下载到30%时增加到2线程，该任务在完成至70%时被中断，可见SA-2001A对流量的判断是需要时间的。任务二在开始下载时就使用2线程，在完成至49%时被中断。任务三始终使用单线程，顺利完成。任务四在关闭SA-2001A流量检测功能的情况下使用4线程下载，顺利完成。

HTTP FLASHMOVIE策略

　　HTTP FLASHMOVIE（使用HTTP 协议的Flash 视频）。我们尝试观看优酷网和土豆网视频资源，可成功播放。拦截失败。

P2P下载:

安全策略

电驴版本：1.0.11，拦截成功，没有任何下载流量。

BitSpirit版本：3.3.3.167，拦截成功，没有任何下载流量。

　　迅雷虽然同时支持下载BT和电驴资源，但其工作原理与BitSpirit、电驴并无区别，只是将两者进行了整合，拦截成功，没有任何下载流量。

IP监控功能，我们可以看到P2P下载不愧是连接数杀手。

P2P STREAM:

安全策略

PPS版本：V2.6.86.8250，拦截成功。

　　UUSee网络电视2008版本：5.9.429.2，拦截成功。成功拦截UUSee需要设置UUSee*和HTTP_DOWNLOAD*两个策略。

PPLive版本：2.2.2，拦截成功。

　　QQLive版本：QQLive 2009 beta2，拦截成功。成功拦截QQLive需要设置QQLive、CYCLONE和HTTP_DOWNLOAD三个策略。如上图所示，虽然偶尔有下载流量，但无法满足基本播放要求。

理财软件:

安全策略

　　大智慧新一代版本：V4.03.09.0428，拦截成功。成功拦截大智慧需要设置APP_STOCK和HTTP_DOWNLOAD*两个策略。该软件会不停地尝试登录，如上图所示，已经尝试登录了24538次。

同花顺版本：V4.50.52，拦截成功。

　　钱龙旗舰2009版本：V5.80 Build 0655，拦截成功。虽然钱龙客户端可以登录，但无法获取行情信息，客户端不停地尝试连接服务器，观察3分钟后仍未能成功连接到服务器。

　　SA-2001A预设的APP服务共92条，SRV服务共69条，在我们测试的22个项目中，拦截成功20个，拦截失败2个。特征库版本:1090511，发布时间:Mon May 11 17:51:20 2009。就这一结果盒饭跟Hillstone山石网科进行了沟通，厂商表示，正在对特征库进行升级更新，随后的版本中将支持这两项应用的拦截。

攻击防护:

　　SA-2001A内置的安全防护功能十分完善，包括防御各种Flood攻击、IP地址欺骗、拒绝服务（DoS）攻击等。

　　我们开启SA-2001A的攻击防护功能，并使用Mir这个程序测试其防护能力，Mir是一个内网TCP半连接洪水攻击程序，不过Mir的攻击方式不是仅向目标发送SYN包，它会在发起攻击前检索局域网内所有的主机信息，然后冒用其它主机的MAC地址和IP地址向目标发起Flood攻击，导致目标设备MAC表被不停刷新，从而使网络通讯异常。

　　如上图，在测试中，Ping延时骤增，但网络并没有中断（没有出现Time Out），访问Internet虽然速度明显变慢，但网页可以打开。算上以往评测过的路由设备，SA-2001A是我们见过的第二台可防御Mir攻击的设备，多数产品在这种攻击方式下，网络会立即中断。

Mir最高强度攻击

　　上面的截图是使用Mir攻击一台PC，并在被攻击PC上使用Wireshark抓得的数据包，其中被选中的记录、源地址和目标地址的IP地址是相同的。

　　主机防御功能是指设备代替不同主机发送免费ARP包，一定程度上可保护被代理主机免受ARP攻击。

　　ARP欺骗问题，根源其实是TCP/IP协议设计上的缺陷所致，坦白说并没有一个严格意义上的解决方法，在这方面各厂家都拥有自己的技术，SA-2001A使用的ARP防欺骗机制是通过发送广播包来实现的。设置了该功能后，SA-2001A会持续向局域网内发送ARP包，通过这种方式不停刷新客户机上ARP缓存中的IP MAC对应表来达到抑制ARP欺骗的目的。

　　另外，在ARP防御方面，SA-2001A的DHCP监控功能可通过分析DHCP客户端与DHCP服务器之间的DHCP报文，建立DHCP客户端的MAC地址和被分配的IP地址的对应关系。在启动ARP检查功能后，将检查经过设备的ARP包是否与该表的内容匹配，如果不匹配则丢弃该ARP包。在使用DHCP获取地址的网络中，可以通过启用ARP检查和DHCP监控功能来防止ARP欺骗。

　　由于DHCP服务的客户端是以广播的方式寻找服务器，并且只接收第一个到达的服务器提供的网络配置参数，因此，如果网络中存在非授权的DHCP服务器，就有可能引发DHCP服务器欺骗。SA系列安全网关可以通过在相应端口上设置丢弃DHCP响应报文来防止DHCP服务器欺骗。

　　再有，一些恶意攻击者通过伪造不同的MAC地址不断地向DHCP服务器发送DHCP请求，从而耗尽服务器的IP地址资源，最终导致合法用户不能获得IP地址。这种攻击也即网络上常见的DHCP Starvation Attack。SA系列安全网关可以通过在相应端口上设置丢弃请求报文、设置DHCP包速率限制或者打开合法性检查功能来防止该类攻击。

细粒度的应用层安全策略控制:

　　通过创建行为Profile列表，SA-2001A可以对IM、FTP以及HTTP应用程序的多种行为进行控制，包括：IM应用程序的登录行为；FTP应用程序的登录行为、Get文件行为和Put文件行为；HTTP程序的多种请求方法，具体包括Connect、Delete、Get、Head、Options、Post、Put和Trace。

　　通过创建HTTP Profile列表，SA-2001A可以控制ActiveX和Java Applet对象的使用；禁止下载bat、.com、.exe、.msi、.pif和scr类型的二进制文件和进行URL过滤。

　　安全策略与Profile相结合，能够使安全网关完成细粒度的应用层安全策略控制。Profile针对不同的应用定义不同的操作，将复杂控制信息简单化，从而简化安全网关配置。

内容过滤和URL过滤功能:

　　通过使用SA-2001A的内容过滤功能，可以控制用户所获取的信息内容，对匹配内容过滤规则的信息内容进行阻断或监控。内容过滤功能包含以下组成部分：关键字，支持UTF-8和GB18030两种编码方式的关键字，并且StoneOS支持PCRE（Perl Compatible Regular Expressions）正则表达式语法；类别，类别可包含多个关键字，通过类别名称来区分关键字。另外，使用SA-2001A的URL过滤功能，可以控制用户的PC对某些网址的访问，URL过滤功能包含黑名单、白名单、关键字列表、不受限IP、只允许访问白名单里的URL。

报表:

SA-2001A的报表功能树

PnPVPN:

　　Hillstone SA-2001A提供了完善的VPN功能，不论是用户远程访问公司资源还是分支机构连入总部网络，SA-2001A均能提供完善的支持。由于IPSec VPN配置复杂，维护成本高，针对该问题，Hillstone山石网科为企业用户提供了一种简单易用的VPN技术——PnPVPN，即即插即用VPN。PnPVPN由两部分组成，分别是PnPVPN Server和PnPVPN Client。

　　PnPVPN Server：通常放置于企业总部，由总部IT工程师负责维护，客户端的配置都由服务器端下发。PnPVPN Server通常由Hillstone SA系列安全网关充当，一台SA系列安全网关可充当多个PnPVPN Server。

　　PnPVPN Client：通常放置于企业分支机构（如办事处），可由总部工程师远程维护，只需要做简单配置（如客户端ID、密码和服务器端IP地址），和Server端协商成功后即可从Server端获取配置信息（如DNS、WINS、DHCP地址池等）。

PConline评测室总结：

山石网科 SA-2001A  图　库  评　测  论　坛  报　价

　　作为一款面向中型企业的安全网关产品，SA-2001的功能可以说非常完善，在可管理性、易用性、网络基础安全、上网行为管理方面均有提供支持，并有着良好的表现。

　　在可管理性方面，SA-2001A提供了完善的CLI管理界面和全功能的Web管理界面，专业和非专业网络维护人员都可以各取所需，这让SA-2001A更能适应多种使用环境。SA-2001A支持Hillstone Security Management（HSM），HSM是Hillstone山石网科自主研发的集中网络安全管理系统，能够对网络中的多台Hillstone安全设备进行集中控制和管理。用户可以通过客户端程序，查看被管理安全设备的日志信息、统计信息、设备属性等，实时监控被管理设备的运行状态和流量信息。

　　在网络基础安全方面，SA-2001A提供了精细的防火墙功能、内网攻击防御功能和各种VPN功能，尤其在内网攻击防御方面表现出色，我们测试混合SYN flood攻击并没有导致网络中断，这点表现令人满意。

　　在上网行为管理和网络服务管理方面，SA-2001A预设了面向用户的APP网络应用服务92条，面向网络本身的SRV服务69条，对主流网络应用提供了比较全面的支持，同时简化了维护人员管理网络复杂程度，易用性也得到了改善。

　　在本次评测中，SA-2001A在应用流量优化和管控方面的表现可以说非常错，对于相对正规一些的软件（应用），如MSN、P2P下载、http、ftp，SA-2001A能进行有效的管控。虽然，目前版本（1090511）的特征库对个别网络应用的识别存在一此问题，不过，随着特征库的持续更新，相信现阶段的问题会得到解决。其实，使用流量特征匹配的方式进行网络流量管理就如同是使用杀毒软件进行查杀病毒和木马，特征库的不断更新与完善是其核心所在。