【IT168评测】随着网络应用在中小企业的深入发展,中小企业对于网络安全的需求也越来越强烈。而传统的网络安全设备可以帮助中小企业防御病毒、蠕虫及应用层攻击,但是由于缺乏有效的监管,中小企业内网用户的P2P下载、在线视频等大量占用着企业有限的出口带宽,同时也给企业带来了潜在的安全威胁。针对中小企业所面临的这些安全威胁以及移动办公等全新的安全需求,H3C面向中小企业用户推出了整合防火墙、VPN、链路负载均衡、入侵防御、应用层流量识别、防病毒功能与一体的新一代F100系列防火墙,帮助中小企业用户一体化解决网络环境中的安全问题。
H3C F100系列防火墙包括多个型号,丰富了对中低端网络环境下的产品覆盖。其中不得不提的是F100-A-G和F100-S-G两款性价比超值的网络安全利器。作为F100系列产品家族中的佼佼者,100-A-G和F100-S-G从设计之初就充分考虑到中小企业在资金和专业技术环节中的不足,以满足中小企业不断变化的网络环境和日益丰富网络应用的需要。
▲F100系列防火墙产品图
H3C把F100新一代防火墙的高性价比、易用性、易管理性作为产品设计的首要原则。最大限度的降低设备配置以及管理的难度,同时融合多种网络安全功能,也就是使用最简易的方式,让中小企业用户享受到原来只有高端专业用户才能体验到的安全特性。下面我们就针对F100-A-G和F100-S-G进行全面的评测体验,帮助中小企业用户充分的了解这款设备。
本次评测流程介绍:
一、F100系列外观介绍
二、F100系列特性介绍
1、多核硬件架构
2、基础安全防护
3、策略配置
4、深度防护
5、流量管理
6、内置多种VPN特性
7、多ISP链路智能选路
8、高可靠性
9、多业务特性
10、智能管理
三、F100系列功能配置
1、开启HTTP功能
2、WEB配置
3、NAT 地址转换
4、攻击防范配置
5、VPN配置
6、IPv6安全防护
7、性能测试
F100-S-G性能测试
F100-A-G性能测试
8、稳定性
四、评测总结
一、外观介绍
先看外观,H3C F100-A-G和F100-S-G新一代防火墙采用经典黑色加蓝边的外观设计,保持了网络安全产品一贯的严肃和大气,在保持传统工业深色调的同时彰显商务风格和时尚元素。
▲H3C F100-A-G
▲H3C F100-S-G
F100-S-G的单板尺寸(宽×高×深)是300mm×260mm×43.6mm,可以安装在标准的机柜上;F100-A-G的单板尺寸(宽×高×深)是442mm×400mm×44.2mm。
▲F100-S-G RJ45接口
▲F100-A-G RJ45接口
F100-S-G标准配置5个10/100/1000M自适应端口;F100-A-G标准配置6个10/100/1000M自适应端口,内置线速交换芯片,局域网用户可实现线速交换。并且在接口的上方标有接口指示灯的状态说明,为用户考虑之细,非常贴心。
▲Console口
Console口是配置设备使用的连接接口。当我们需要用到命令行界面进行设备管理时,需要用到此接口。
▲标配256M CF卡
F100 系列新一代防火墙标配256M CF卡,用来存储设备的版本文件以及相关的配置信息等。
▲F100 S-G的电源接口
▲F100-A-G的电源接口
强有力的电源接口,动力十足。为设备的正常运行、稳定工作源源不断提供能量。F100- A-G同时提供电源开关,方便用户进行设备的断电维护。F100-S-G的最大功率消耗是27W,F100-A-G则为46W,有效实现了降低能源消耗减少污染达到节能环保的目的。
▲F100-S-G的侧面图
▲F100-A-G的侧面图
设备的侧面设计有大量的散热孔,可保证它内部的热量及时地散出,为用户提供更加稳定可靠的网络性能。
▲设备背面图
最后再来一张设备的背面图,在此可以看了除了电源接口之外,还提供有MIM插槽,中小企业用户可以通过该插槽扩展网络接口。F100-S-G提供1个MIM插槽,可扩展2端口千兆电口卡。F100-A-G提供2 MIM插槽,可扩展2端口千兆电口卡或4端口千兆光口卡。
二、特性介绍
H3C F100系列新一代防火墙为中小型企业的网络建设提供了一款易于使用的网络安全解决方案。 其具备以下这些特性:
1、多核硬件架构:H3C F100-A-G和F100-S-G防火墙硬件平台采用多核MIPS架构,在多核硬件结构中,如果要充分发挥硬件的性能,必须要采用多线程(或多进程)执行,使得每个CPU核在同一时刻都有线程在执行。H3C F100-A-G和F100-S-G的多核硬件架构能够确保NAT、ASPF、抗DDoS攻击、VPN等多种业务高速并行处理,有效解决安全性能瓶颈问题。
2、基础安全防护:随着网络环境的越来越复杂,网络数据也呈现出多样化,作为网管员必须能够拒绝不良的访问,同时又要允许正常的访问。F100新一代防火墙可为中小企业提供全面的基础安全防护,如安全区域划分、静态/动态黑名单功能、MAC 和IP 绑定、访问控制列表(ACL)和攻击防范等基本功能,除此之外还提供基于状态的检测过滤、虚拟防火墙、VLAN 透传等功能。能够防御ARP 欺骗、TCP 报文标志位不合法、Large ICMP 报文、SYN flood、地址扫描和端口扫描等多种恶意攻击;此外F100系列防火墙还免费为中小企业客户提供VPN远程访问功能,充分考虑到了实际IT业务的地域扩展需求;在NAT应用上提供多对一、多对多、静态网段、双向转换 、Easy IP 和DNS 映射等多种方式;支持多种应用协议正确穿越NAT,提供DNS、FTP、H.323、NBT 等NAT ALG 功能。
3、策略配置:Comware V5平台是H3C开发的新一代上层软件平台,提供多协议多业务支撑,支持多CPU、多Core架构,实现各功能的充分融合,控制平面和转发平面分离,支持高可性和弹性扩展,灵活的可裁减和定制能力。采用更灵活的安全策略配置方式,源目的地址、服务、策略生效时间等安全策略元素任意组合。
4、深度防护:通过H3C 长期积累的状态机检测、流量交互检测技术,能精确检测Thunder/Web Thunder(迅雷/Web 迅雷)、BitTorrent、eMule(电骡)/eDonkey(电驴)、QQ、MSN、PPLive 等P2P/IM/网络游戏/炒股/网络视频/网络多媒体等应用;支持P2P 流量控制功能,通过对流量采用深度检测的方法,即通过将网络报文与P2P 协议报文特征进行匹配,可以精确的识别P2P 流量,以达到对P2P 流量进行管理的目的,同时可提供不同的控制策略,实现灵活的P2P 流量控制高精度、高效率的入侵检测引擎。采用H3C 公司自主知识产权的FIRST引擎。在病毒防护方面,采用Kaspersky流引擎查毒技术,从而迅速、准确查杀网络流量中的病毒等恶意代码。全面、及时的安全特征库。
5、流量管理:各种攻击威胁、网速过慢、流量失控、如何合理利用多链路带宽以及网管软件复杂是网管人员提及最多的Internet出口面临的几个安全问题。但实际应用中很多防火墙在开启日志功能以后,性能会急剧下降,从而成为出口瓶颈,直接影响Internet出口的网速。许多企业都意识到单条Internet出口链路所存在的风险,因此许多企业会部署多条运营商链路来避免单出口的不可靠。但多出口同时存在缺少链路拥塞保护机制、无法根据链路带宽按比例分流、入链路无法对流量均衡、出链路策略引流不灵活、带宽利用率低等问题。H3C 新一代防火墙可以根据预先设定内容进行选路,基于内置运营商表项、链路选择算法及就近性探测快速优选出口,并且可以开启链路保护机制,避免主出口拥塞。
6、内置多种VPN特性:H3C F100新一代防火墙免费提供多种VPN,例如支持L2TP VPN、GRE VPN、IPSec VPN、SSL VPN和动态VPN等各种VPN,其中动态VPN(DVPN)是H3C的专利技术,很好的解决VPN星型组网方式下的分支互联问题。并且F100新一代防火墙具有强大的智能VPN管理能力,传统VPN方式的弊端在于必须是按照事先的配置进行组网,不仅组网复杂,管理维护工作量很大,而且无法适应动态IP地址环境,H3C VPN结合多种VPN技术和管理手段完美的解决了此问题。
7、多ISP链路智能选路:很多企业出对网络出口性能和可靠性方面的考虑,会同时向多个ISP租用多条互联网线路。此时,管理员就要考虑如何保证多条链路带宽被充分利用而不被浪费,以实现链路的负载均衡。H3C F100新一代防火墙对多Internet出口流量可以根据预先设定内容选路;基于内置运营商表项、链路选择算法及就近性探测快速优选出口;开启链路保护机制,避免主出口拥塞等多种方式的智能管理。以保证用户拥有非常好的的互联网接入体验。
8、高可靠性:采用H3C拥有自主知识产权的软、硬件平台。产品应用从电信运营商到中小企业用户,经历了多年的市场考验。支持双机状态热备功能,支持配置同步与IPSec VPN的状态备份,支持Active/Active和Active/Passive两种工作模式,实现负载分担和业务备份,全力保障企业网络实现真正的高可靠性。
9、多业务特性:集成链路负载均衡特性,通过链路状态检测、链路繁忙保护等技术,有效实现企业互联网出口的多链路自动均衡和自动切换。一体化集成SSL VPN特性,满足移动办公、员工出差的安全访问需求,不仅可结合USB-Key进行移动用户的身份认证,还可与企业原有认证系统相结合、实现一体化的认证接入。
10、智能管理:H3C F100-A-G和F100-S-G防火墙同时支持Web网管和命令行两种配置方式,适合不同操作习惯的用户管理设备。喜欢图形化管理界面的用户可使用WEB网管功能轻松实现对设备的操作,喜欢命令行操作的专业管理员可直接进行命令行操作。同时提供支持基于SNMP和TR-069协议的管理和通过H3C SecCenter安全管理中心实现统一管理。
三、功能配置
在配置方面,H3C充分考虑到了中小企业用户的应用体验,各款防火墙的配置界面基本相同,在本次的评测中我们仅以F100 S-G为例进行测试。考虑到中小企业的网管员技术水平的差异,F100 S-G同时提供了命令行和WEB配置界面。用户可以利用WEB配置界面很方便的对设备进行基本设定,整个设置过程相当简单,如果网管员喜欢传统的命令行模式,也可以利用命令行进行更为详细的配置,充分享受命令行带来的快感。下面我们就以全新的WEB配置界面介绍F100 S-G的功能配置。
1、开启HTTP功能
防火墙在出厂时已经设置默认的Web登录信息,并且HTTP功能已处于开启状态,可以直接使用该默认信息登录防火墙的Web界面,默认用户及密码都是:admin。接口GigabitEthernet 0/0的IP地址是192.168.0.1。但不排除用户更新启动文件或者是手动将HTTP功能关闭的情况,那么如果希望通过WEB界面对设备进行管理就需要开启HTTP功能,开启方法也非常简单。
首先我们进行设置的连接,H3C F100防火墙为用户提供了一个RS232异步串行配置口(CONSOLE),使用配置口电缆一头压接成RJ45插头,插入防火墙的CONSOLE口;另一端则带有一个DB9(母)连接器,可插入配置终端的串口。如下图所示:
通过超级终端连接到设备后,我们就可以通过命令来启动HTTP功能了,输入以下的命令,我们先配置GigabitEthernet0/0接口的IP地址为192.168.0.11,子网掩码为255.255.255.0。
然后,将接口GigabitEthernet0/0加入安全域Management,缺省情况下,接口GigabitEthernet0/0已经加入Management域。因为我拿到设备时重新升级的版本信息,因此需要重新加入:
再往下需要配置用户信息,在此配置Web网管用户名为admin,认证密码为admin,。服务类型为web,用户级别为3级。同时启动HTTP功能。
下面,我们在计算机的浏览器地址栏内输入设备的IP地址,在此我们设置的是192.168.0.11,然后回车,浏览器将显示Web网管的登录页面,如下图所示:
2、WEB配置
我们输入正确的用户信息即可登录到WEB管理界面中,在屏幕的左侧显示的通过WEB界面可以实现的管理功能,如设备管理、资源管理、网络管理、用户管理、防火墙、攻击防范、应用控制、VPN、高可靠性、日志管理等,功能之丰富,足以满足中小企业的网络安全应用。在屏幕的中间部分显示设备的概览信息,如系统资源的状态、设备接口信息、近期发生的系统日志信息。最右侧则显示的是其他信息,如设备名称、产品描述、设备位置、序列号等。
当展开左侧的任何一个功能选项时,你会不由得发生一声惊叹,因为可供设置的功能实在是太多了。网络安全无小事,为企业安全考虑之细,可见H3C在设计此款产品时的谨慎态度。
具体功能配置均是以图形化、表单的形式出现,操作极具人性化。因为包含功能之丰富,不能一一介绍,下面我们仅以NAT配置、攻击防范和VPN配置为例来体验一下WEB配置的便捷性。
3、NAT 地址转换
NAT的中文意思是“网络地址转换”,它是一个IETF标准,目的是为了解决 IPv4 地址不足而使用的临时性解决方案。允许把一种把内部私有网络地址(IP地址)翻译成合法网络IP地址的技术。从而实现私有网络访问外部网络的功能。地址转换的机制就是将私有网络内主机的IP地址和端口替换为防火墙的外部网络地址和端口,以及从防火墙的端口转换为私有网络主机的IP地址和端口。一般就是通过在防火墙上启动NAT功能的动态生成或静态建立的地址映射关系,实现内部网络与外部网络IP地址的转换。举例来说,某公司的内部网址为192.168.1.0/24。现在希望通过配置NAT使得仅内部网络中的用户可以访问Internet。
首先,我们需要创建一个访问控制列表,在此我们使用的ID是2001,如下图所示:
当然,访问控制列表的范围不同,所能实现的功能也不相同。2000-2999 被称为基本访问控制列表。3000-3999称为高级访问控制列表。而4000-4999则被称为二层访问控制列表。接下来需要设置ACL2001所对应的规则,如下图所示:
选择操作为“允许”。?选中“源IP地址”前的复选框,输入源IP地址为“192.168.1.0”,输入源地址通配符为“0.0.0.255”。
然后,需要创建公网地址所对应的地址池,例如公司所申请到的公网IP有两个,分别是118.207.190.73和118.207.190.74。
最后,则需要将ACL、地址池、地址转移方式等对应起来,则如下图所示:
NAT这种现在企业中广泛使用的网络地址转移功能,在F100 A-G或者是F100 S-G防火墙上只需要通过简单几步就可以轻松搞定,中小企业管理员再也不用理会那么没有感情的命令行配置了。
4、攻击防范配置
通常的网络攻击,一般是侵入或破坏网上的服务器(主机),盗取服务器的敏感数据或干扰破坏服务器对外提供的服务;也有直接破坏网络设备的网络攻击,这种破坏影响较大,会导致网络服务异常,甚至中断。H3C F100的攻击防范功能能够检测出多种类型的网络攻击,并能采取相应的措施保护内部网络免受恶意攻击,保证内部网络及系统的正常运行。
从这个图中可以看到 H3C F100系列防火墙可以通过黑名单、报文异常检测、流量异常检测、URPF检查等来防范恶意攻击,并可以实现IDS联动和深度安全防御。一般我们在对防火墙进行设置时,把内部网络配置为Trust域,外部网络配置为Untrust区。如果希望防范外部网络对内部网络主机的Land攻击和Smurf攻击。则只需要简单的动动鼠标即可实现,如下图所示:
配置完成后,只要在Untrust域中收到Land攻击报文或Smurf攻击报文,防火墙将输出告警日志,并且对该报文做丢弃处理。之后,可以在“攻击防范 > 入侵检测统计”中查看Untrust域的Land攻击和Smurf攻击的次数和丢包个数。
5、VPN配置
H3C新一代F100系列防火墙,不仅具有传统的防火墙安全防护功能,更是集IPsecVPN和SSL VPN功能为一体,既能满足分支机构网络通过IPsecVPN接入总部网络的技术要求,又同时提供SSL VPN技术满足移动办公用户远程办公的要求。也就是说企业利用F100系列防火墙内置的VPN功能,就可以轻松搞定远程办公的需求。下面我们就来看看关于VPN的配置。
下图就是通过WEB方式配置IPsec VPN的截图,用户通过Web可以配置基于ACL(Access Control List,访问控制列表)建立IPSec安全隧道,即由ACL来指定要保护的数据流范围,通过配置安全策略并将安全策略绑定在实际的物理接口上来完成IPSec的配置。这种方式可以利用ACL的丰富配置功能,结合实际的组网环境灵活制定IPSec安全策略。
用户配置好ACL,匹配需要保护的数据流之后,就可以建议IPsec的安全隧道。指定SA的协商方式、对等体IP地址(即保护路径的起/终点)、所需要的密钥和SA的生存周期等。最后在设备接口上应用IPsec安全策略即可完成IPSec隧道的配置。
6、IPv6安全防护
IPV6已经被公认为是下一代互联网的必要技术,同时是解决当前互联网IP地址不足的根本之路。很多企业现今的网络设备和网络管理软件并不能满足IPV6的技术需求,日后为了适应IPV6的发展,往往需要对自身的网络设备进行更新换代,既占用了企业工作的时间,又增加了企业的经营成本。
在IPV6网络应用方面,H3C又走在队伍的前列,H3C新一代F100系列防火墙产品在充分考虑广大中小企业的实际经济状况和现今网络大势的基础上,全新支持IPV6协议,满足了广大中小企业日后在IPV6上迫在眉睫的需求。用户在F100 A-G设备上利用命令行可以启用对IPV6的支持,如下所示:
[H3C] ipv6
手工配置接口GigabitEthernet0/1的全球单播地址,使用的命令是:
[H3C-GigabitEthernet0/1] ipv6 address 3001::1/64
[H3C-GigabitEthernet0/1] quit
进行基本的IPV6配置后,就可能启用关于IPV6的相关服务,例如启用DHVPv6使用的命令是:
配置DNS服务器的IPV6地址为2::3,则使用的命令是:
除此之外,还可以配置IPV6的路由配置、策略配置、组播配置等。用户只需要经过简单的学习,就可以掌握。
7、 性能测试
防火墙作为企业网络安全的“总管”,其对企业网络的整体性能有更高的要求,而吞吐量和并发作为衡量防火墙性能的首要指标,将是我们今天测试的主要内容。
测试设备:本次测试使用的测试仪器是思博伦(Spirent)公司生产的SmartBits,此仪器专门用于测试和分析网络性能。
F100-S-G性能测试
并发测试可以反映出防火墙设备对多个连接的访问控制能力和连接状态跟踪能力,我们就先来看看F100-S-G在并发方面的表现,在此新建10K的测试数据,如下图所示:
▲新建10K测试数据
▲并发(10万)
吞吐量反映的是防火墙的数据包转发能力,此测试可以用来确定防火墙在接收和发送数据包而没有丢失情况下的最大数据传输速率,是测试防火墙在正常工作时的数据传输处理能力,这将是我们今天测试的重点,我们使用Smart Bits连接设备的G0/1和G0/2口测试吞吐量性能,测试结果如下图所示:
从吞吐量的实际测试结果来看,数据包的长度为1500Bytes时的吞吐量达到2G,IMIX混合吞吐量达到1.18G。F100-S-G的表现还是相当出众的。实际测试结果已经达到了理论要求,表现不俗,完全可以满足一般中小企业对网络高带宽的需求。
F100-A-G性能测试
▲新建(25K)
▲并发(30万)
在针对F100-A-G设备的吞吐量测试上,我们还是使用Smart Bits连接设备的G0/1和G0/2口测试吞吐量性能。
通过F100-A-G的并发和吞吐量两项测试我们很容易看出来,F100-A-G的性能比F100-S-G要高出一个等级,可以轻松达到30万并发的可喜成绩。在吞吐量测试上,64Bytes测试帧长时的最大数据传输速率是680M,因为受限于测试仪器端口的影响,1500Bytes测试帧长时没有测试出设备的极限性能,但在IMIX混合吞吐量测试时达到2G,如此成绩令人满意。
8、稳定性
对于企业防火墙来说,用户比较关心的就是设备的稳定性。冬天即将过去,夏天还会远吗?而对于电子设备来说,它们的散热好坏将直接决定设备的稳定性以及使用寿命。
▲F100 S-G及F100A-G 侧面散热孔
内置风扇配合两侧大面积散热孔设计可以保证即使温度较高,在狭小的1U空间里设备也可以稳定持久地运行。那么用户如何有效监控风扇的状态以及设备的当然温度呢?可以使用WEB界面查看看到设备当前的温度。如下图所示:
也可以通过命令行方式,查看风扇的运行状态,使用的命令是:display fan,如下图所示:
这里显示当前风扇的状态是Normal表示风扇工作正常,如果是Absent表示风扇不在位,也就是风扇本身没有问题,但转速没有达到要求,如果是?Fault则表示风扇出现故障,还是很简洁的。关于其他组件如CPU、内存、CF卡、电源等也可以使用类似的命令进行查看。
四、评测总结
写到这里,本次评测即将完成,下面笔者针对此次评测的F100 S-G及F100A-G两款防火墙设备做如下总结:
外观方面:H3C F100新一代防火墙延续了安全产品的经典黑色金属外壳加上蓝色勾勒线条,高贵大气而不张扬。
设置方面:F100 S-G及F100A-G同时提供命令行及WEB配置界面。用户可以利用WEB配置界面很方便的对防火墙进行必要的基本设定,整个设置过程相当简单,如果你是老鸟,还可以进入利用命令行界面进行更为直接的配置,充分享受命令行带来的快感。
性能方面:在性能上,F100-S-G、F100-A-G在吞吐量、最大并发连接数、流量控制吞吐量等主要指标都有不俗的表现。总体来说,此两款产品的性能已经超越了现有市场上同价位产品的性能。
功能方面:F100-S-G及F100-A-G融合VLAN、DHCP、DNS、NAT、ACL、QOS、、VPN、VRRP、攻击防范、链路聚合、路由管理等功能,成为业界首款面向中小企业网络的新一代防火墙。
作为H3C面向中小企业网络安全解决方案的核心设备,F100新一代防火墙是一款接口丰富、配置灵活、网络适应能力好的千兆防火墙产品。新一代F100系列防火墙不仅继承了H3C一贯高性能、高可靠的硬件平台,在架构上采用多核MIPS架构和全千兆的业务接口,使得新一代F100在性能上也有了很大的提升,为中小企业用户提供了更加线速、稳定的应用体验。可以广泛应用于政府、运营商、金融、教育、医疗、军队、企业等行业的千兆网络环境。 这样一款硬件先进、功能丰富、性能强大的超值防火墙,必能为广大中小企业带来固若金汤的网络环境。
