面對日益嚴峻的網路攻擊,在電信網路環境中位處網路出口的CGNAT(Carrier Grade NAT),也開始整合更多安全機制因應。A10 Networks新推出的Thunder SPE 6435/5435即是一款加入抗分散式阻斷服務(DDoS)能力的電信級NAT設備。
名為SPE意指Security and Policy Engine(安全策略引擎),為結合了同屬Thunder產品線中的CGN(Carrier Grade Networking),以及用於緩解DDoS攻擊的TPS(Threat Protection System,威脅防護系統)設備的功能所設計而成。
完整的IPv6遷移可說是現階段CGNAT任務之一,像是DNS64、NAT64、DS-Lite(Dual Stack Lite)等,皆屬於IPv4過渡到IPv6期間的應用。提供應用程式的高透通性,亦是CGNAT相當重要的機制。A10 Networks資深技術總監簡偉傑說明,也就是讓用戶取得的Private IP,得以如同Public IP般的應用。「因此CGNAT必須從以Log為基礎的運行機制,轉變成採以配對方式,讓Private IP對應到一組Public IP,而該組Public IP會基於Private IP的Port編號配對分段,即可不需Log協助追蹤。此機制在Thunder CGN即已提供,同時也會延續至Thunder SPE。」
|
▲ Thunder SPE增加FPGA架構,可先行執行控管政策,過濾攻擊封包,緩解網路層的DDoS攻擊。(資料來源:A10 Networks) |
此外,電信業應用環境規模龐大,勢必需要較企業端更高性能的設備,Thunder SPE亦承襲自Thunder CGN,1U機種的吞吐量可達到150Gbps,可經由集群(Cluster)建置擴充至1Tbps,不僅具高效能表現,同時減少佔用的空間與熱能產生。
「Thunder SPE得以縮小硬體、提升效能的因素,內建雙重核心架構的技術功不可沒。」簡偉傑強調。Thunder SPE作業系統ACOS(Advanced Core Operating System)內建的彈性流量加速(Flexible Traffic Acceleration,FTA)功能,可先經由FPGA(Field Programmable Gate Array)硬體晶片執行過濾政策,先行檢查封包並攔阻異常流量或非法行為,之後複雜的運算程序再交由CPU處理,如此一來,才可在不浪費CPU運算資源下,達到快速地流量分配。
簡偉傑指出,DDoS攻擊型態可分為四大類:網路巨大流量攻擊、網路通訊協定耗盡攻擊、應用程式資源耗盡攻擊,最後是應用程式漏洞攻擊,也是近來常見利用標準通訊模式設計的漏洞產生放大、緩衝區溢位攻擊。而Thunder SPE設計上則是以防護網路方面而來的攻擊行為為主,經由Thunder SPE內建FPGA執行安全控管政策,緩解網路層DDoS攻擊常見的反射、通訊協定、洪水等行為,並且自動過濾超過30種以上的異常封包,此即為整合自TPS產品線的機制。
一旦攻擊型態改變,Thunder SPE內建的ACOS作業系統,亦可利用FPGA可程式化的特性,適時更新過濾政策,讓CPU資源專注於處理正常的封包及流量,因此得以在遭受DDoS攻擊時,緩解運算資源滿載或耗盡的狀況。