在市面上的伺服器負載平衡設備∕應用程式派送控制器(Application Delivery Controller)產品供應商當中,A10 Networks(睿科網路,以下簡稱為A10)也是頻頻推出新機型與功能的公司之一,與其他同類型廠商相比,A10也強調透過單一的軟體系統平臺ACOS(Advanced Core Operating System來實現諸多功能。
不過,就產品形式來看,該公司採取了較特別的作法──根據不同應用區分為三大領域:針對應用程式的服務提供最佳化機制的Thunder ADC設備、供應電信等級網路環境應用需求的Thunder CGN(Carrier Grade Networking)系列設備,另外,他們特別闢出一條專門防禦DDoS網路攻擊的產品線Thunder TPS(Threat Protection System)。
在TPS系列當中,A10先前已推出搭配Thunder SPE硬體機型的多款設備,像是6435/6435S TPS、5435/5435S TPS、4435/4435S TPS的設備,它們的網路吞吐量分別為155Gbps、77Gbps和38Gbps,均配備了16個SFP+規格的10GbE埠,在較高階的機型當中,額外配備了4個QFTP+規格的40GbE埠。
從這樣的高性能和高規格配置,其實可以很明顯看出,它們都是特別針對大型企業、網站、服務供應商、政府單位,以及金融業等環境的資料中心應用需求。
至於針對網路處理規模不是那麼大的網路環境,例如一般企業環境頂多會面臨10Gbps的流量,A10最近推出了Thunder 3030S TPS,主打小型服務供應商與中型企業,並且可搭配機房代管服務供應商的高階Thunder TPS設備,以及其他DDoS防護設備方案,來協同防禦DDoS攻擊。
就網路規格而言,Thunder 3030S TPS的網路吞吐量是10Gbps,網路卡介面提供了6個一般銅線規格的GbE埠、2個SFP規格的GbE埠、4個SFP+的10GbE埠,但不提供40GbE埠。此外,該款設備所搭配的處理器等級和記憶體規格也比較小──處理器是4核心Xeon、記憶體有16GB,不過所搭配的硬碟和高階機型一樣,都是SSD。
在硬體加速的機制上,Thunder 3030S TPS所配備的比上述6種TPS高階機型少了許多,像是FTA(Flexible Traffic Acceleration)、網路交換∕ 路由也都是採用軟體的方式處理,所配備的SSL加速處理器也從2顆減到1顆。
而在設備整合外部系統的方式上,Thunder 3030S TPS和其他同廠牌設備一樣,可透過A10的RESTful API或 SDK進行。
除了硬體規格的不同,Thunder 3030S TPS特色,在於能與高階機型組合成內裡應外合的協同防護DDoS攻擊架構,A10將該功能稱之為安全管理服務商的信號發送(MSSP signaling),當用戶端受到的DDoS攻擊流量接近本身對外頻寬的臨界值時,可透過Thunder 3030S TPS這樣的設備,自動發送警告信號到安全代管服務供應商的DDoS偵測系統,然後再以手動或自動化呼叫aXAPI的方式,執行流量重導的工作,讓高階的Thunder TPS設備來消化這些網路流量,而不是繼續讓瀕臨塞車邊緣的Thunder 3030S TPS獨自承擔。
基本上,這項重導的機制是透過動態的BGP路由更新,將有問題的流量導引到高階TPS設備。這種連動的作法,屬於非對稱式的被動防禦。
A10的MSSP signaling機制立意頗佳,但前提是服務供應商本身在核心網路端要有DDoS防護設備,才能彼此搭配,例如A10高階Thunder TPS設備或是Arbor公司的DDoS防護設備,用戶端所建置的Thunder 3030S TPS才能與之唱和,而且該功能目前仍未發布,預計在今年第4季推出。
就價格和性能來看待Thunder TPS系列下各種機型的定位分布,我們可以看到新推出的Thunder 3030S TPS,主攻中型環境。
部署Thunder TPS系列設備時,可採用非對稱的作業模式(Asymmetric mode),所針對的網路大流量緩解情況是依照需求,或是永久、主動的方式來自動進行,而處理動作可手動或透過流量分析系統觸發。
Thunder TPS系列設備也支援對稱的作業模式(Symmetric mode),在這種組態下,可提供持續、全面的網路流量偵測與緩解,並且可運用更多應用程式層的攻擊防護。
若需要獲得細部的網路流量分析資訊、界定違反行為的門檻,Thunder TPS系列設備可透過外頻模式(Out-of-band mode)來建置,此外,在這種模式下的設備,也支援將黑白名單同步至位於網段內部的Thunder TPS系列設備。
基於非對稱的部署模式下,Thunder TPS系列設備未來將可以啟用被動防禦模式,可適用於安全代管服務商的環境,這麼做的好處是讓高階與中階的Thunder TPS系列設備,能夠在不同的網路位置端合作,達到聯合防禦的效果。在偵測與分析的過程,若發現異狀,可自動傳送給DDoS偵測系統通知,再透過動態的BGP路由更新,將有問題的網路流量導引到高階、高性能的Thunder TPS設備。圖中的Thunder TPS CPE設備是部署在租戶端環境的DDoS防護措施,所謂的CPE是指Customer Premises Equipment,即用戶端設備,在此泛指tThunder 3030S TPS與其他中高階設備。
A10 DDoS防護設備規格比較表
|
型號 |
Thunder 3030S TPS |
Thunder 4435(S) TPS |
Thunder 5435(S) TPS |
Thunder 6435(S) TPS |
|
網路吞吐量 |
10 Gbps |
38 Gbps |
77 Gbps |
155 Gbps |
|
TCP SYN認證封包處理量 |
每秒650萬 |
每秒3500萬 |
每秒3500萬 |
每秒7千萬 |
|
SYN Cookie封包處理量 |
每秒650萬 |
每秒5千萬 |
每秒1億 |
每秒2億 |
|
DDoS攻擊偵測與緩解處理 |
軟體 |
軟體+硬體 |
軟體+硬體 |
軟體+硬體 |
|
1 GbE |
6個 |
0個 |
0個 |
0個 |
|
1 GbE (SFP) |
2個 |
0個 |
0個 |
0個 |
|
1/10 GbE(SFP+)網路埠 |
4個 |
16個 |
16個 |
16個 |
|
40 GbE (QSFP+) |
0個 |
0個 |
4個 |
4個 |
|
處理器 |
單顆4核Intel Xeon |
單顆10核Intel Xeon |
單顆10核Intel Xeon |
2顆12核Intel Xeon |
|
記憶體 |
16 GB |
64 GB |
64 GB |
128 GB |
|
產品資訊 |
●建議售價:廠商未提供 ●原廠:A10 Networks (02)2785-2729 ●網路介面:GbE × 6、GbE × 2(SFP)、1/10 GbE(SFP+) × 4 ●處理器:Intel Xeon 4核心 ●記憶體:16GB ●硬碟:SSD ●機箱尺寸:1U |
熱門新聞
2024-04-24
2024-04-25
2024-04-22
2024-04-22
2024-04-22
2024-04-22
2024-04-22