近些年来，新的攻击手段不断涌现，应用层安全成为行业关注的焦点。从SQL注入到Phone-Home，攻击者利用变幻莫测的技术手段，制造了一起又一起重大安全事件，令所有网络管理者头疼不已。但在构思巧妙的“智取”手段外，互联网用户遇到更多的仍然是各类基于网络层的传统攻击。它们简单、粗暴却有效，一旦攻击得手，同样会给用户造成难以估量的经济损失。
　　虽然几乎所有包含防火墙功能的网关产品都宣称支持多种抗攻击特性，却罕有厂商会提及相关性能指标，因为开启网络抗攻击特性会占用更多的系统资源，对产品性能造成很大的影响。我们早先曾经测试过一款基于x86 ASIC架构的中高端防火墙，当开启网络抗攻击特性后，设备的新建连接数从3万多直落到6000左右，根本无法与其7种帧长时4Gbps的吞吐量相匹配。如果攻击导致系统资源消耗殆尽，再高的吞吐量也不过是浮云。所幸的是，随着软硬件水平的不断提升，如今的安全产品在抗攻击能力方面也有了长足进步，本次我们测试的Hillstone SG-6000-G3150就是一个很好的例证。
　　
　　
　　
　　SG-6000-G3150是Hillstone推出的多核安全网关中比较有代表性的一款产品，具有8Gbps的防火墙吞吐量。该产品采用模块化设计，固化有4个千兆电口和8个SPF接口，同时提供了4个通用扩展槽，可支持不同规格的接口扩展模块、存储扩展模块及应用处理扩展模块，为设备升级和安全管理提供了扩展空间。接口扩展模块能够提高设备的连接性，使其避免因为网络带宽或应用系统升级而过时；存储扩展模块则允许设备实时记录各种审计日志和审计数据，方便用户进行安全风险评估，满足特定政策法规的要求；应用处理扩展模块则直接为设备带来性能上的提升，拓展整机的安全业务及连接处理能力。功能方面，SG-6000-G3150既提供了覆盖网络层到应用层的多种安全业务，又支持目前用户非常关注的基于角色管理的访问控制特性，已经比较全面。
　　为考察抗攻击性能，我们使用一台标准配置的SG-6000-G3150搭建了简单的测试环境。测试仪的第一个千兆端口上模拟了100个用户的正常上网行为，发起每秒约1000个HTTP新建连接；第二个千兆端口模拟攻击行为，生成900Mbps（0.21Mpps）的UDP-Flood、SYN-Flood和ICMP-Flood混合攻击流量。两种流量通过一台千兆交换机汇聚到一个接口，再穿过开启了各类抗攻击功能的SG-6000-G3150，回注到测试仪上模拟服务器的千兆端口。我们在设备配置过程中看到，SG-6000-G3150可以执行复合安全检测模式，即同时启用SYN-Proxy、SYN-Cookie及最常见的阈值防护功能，用户可以根据网络运行的实际情况设定各个模式的启用条件及检测行为。
　　
　　 在测试初始阶段，我们使用测试仪的第一个千兆端口发送了正常流量，此时所有连接均成功建立，SG-6000-G3150的CPU利用率为1%。然后再通过第二个千兆端口发送混合攻击流量，此时设备显示检测到大量攻击并执行阻断动作，CPU占用率上升到14%；测试仪上模拟服务器的千兆端口没有检测到任何攻击报文，仍然只收到正常的HTTP访问请求，证明SG-6000-G3150成功拦截了所有攻击流量。我们又换用了真正的Web服务器替代测试仪模拟端口再次进行了验证，在900Mbps的混合攻击流量下，Web服务依然访问顺畅，系统日志中也没有出现任何有关攻击行为的记录。从加入混合攻击流量的CPU占用率的增幅来看，SG-6000-G3150已经摆脱了传统产品开启抗攻击功能时性能下降过大的阴影，对于用户部署来说有着更多的实际意义。