网络安全 频道

H3C SecPath F1000-C-G防火墙独家评测

  评测摘要:H3C SecPath F1000-C-G防火墙可轻松实现4G吞吐量,每秒新建连接数高达3万条,可存储100万个链接,性能卓越;支持双机配置、会话同步、秒级切换、链路状况探测、链路聚合等高可靠特性;多出口智能链路负载均衡、针对连接数以及带宽的限制、基于黑白名单用户URL访问控制、NAT、丰富的日志审计等多种应用。

  【IT168评测】随着互联网化的逐步深入,企业所面临的安全威胁正在成倍递增。网络安全威胁不仅来自互联网,由于工作疏忽等各种原因,导致局域网内病毒传播、信息泄露的事件也时有发生。针对企业所面临的这些安全威胁和安全接入互联需求,H3C推出新一代SecPath F1000-C-G防火墙,该设备是H3C 面向大中型企业用户开发的新一代专业防火墙,支持Web攻击防范、内网安全、流量监控、邮件过滤、网页过滤、应用层过滤等功能,融合多种实用功能于一体的F1000-C-G可以有效保证企业用户的接入安全。

  接下来IT168安全频道就将针对H3C SecPath F1000-C-G防火墙进行测试,本次测试内容涉及设备外观、产品特性、性能以及诸多功能配置等方面。希望我们的本次评测能对您的防火墙产品选型有所帮助。

H3C F1000防火墙评测

  本次评测流程介绍:

    一、F1000外观介绍
    二、F1000性能测试
      1、新建连接速率
      2、并发连接数
      3、吞吐量
    三、F1000特性介绍
    四、F1000功能配置
      1、 开启HTTP功能
      2、 WEB配置功能
      3、 NAT 地址转换
      4、 多出口智能链路负载均衡
      5、 用户访问控制
      6、 SSL VPN设置
      7、 日志审计
      8、 稳定运行
    五、本次测试总结

  点击这里进入测试内容:http://safe.it168.com/a2013/1016/1545/000001545632_1.shtml

  一、外观介绍

  H3C F1000-C-G防火墙继续采用经典黑色加蓝边的外观设计,保持了网络安全产品一贯的严肃和大气。

F1000外观介绍
▲图:H3C SecPath F1000-C-G 防火墙

  F1000-G 高密度的业务接口,新一代F1000系列防火墙自带12个光电复用接口,并可通过扩展插槽扩展出更多的业务接口,满足各类不同安全场景对设备的接入要求。

F1000外观介绍
▲F1000-C-G侧面

  设备的侧面设计有大量的散热孔,可保证它内部的热量及时地散出,为用户提供更加稳定可靠的网络性能。

F1000外观介绍
▲F1000-C-G背面

  SecPath F1000-C-G 防火墙充分考虑网络应用对高可靠性的要求,采用互为冗余备份的双电源(1+1 备份)模块,支持交、直流输入电源模块;提供机箱内部环境温度检测功能,并支持网管。

  二、性能测试

  作为出口网关,性能是防火墙设备的最基本要素。在本节的性能测试环节中,我们主要测试了F1000-C-G的吞吐量、并发数和新建连接速率。我们在F1000-C-G防火墙上接入四个千兆接口进行双向全双工的性能测试,分别抽取64Byte、128Byte、256Byte、512Byte、1024Byte、1280Byte、1518Byte七种标准包长时的测试数据。具体测试结果如下所示:

  新建连接速率:3万

F1000性能测试

F1000性能测试

  从测试结果可以看出,此防火墙1秒所能够处理的HTTP新建连连接请求的数量是3万,单位时间内可以达到此性能还是很了不起的。

  并发连接数:100万

F1000性能测试

F1000性能测试

  吞吐量:

F1000性能测试

  IMIX吞吐量:3.2G

F1000性能测试

  通过网络层吞吐量流量转发速率的统计结果,我们可以十分清晰的观察到F1000-C-G的网络层处理性能。F1000-C-G的流量转发速率在64Byte小包时为675Mbps,当测试数据包长达到512Byte之后均达到了4Gbps,IMIX性能更能体现实际环境下的业务处理性能。IMIX吞吐量为3.2Gbps。可以实现线速的数据包转发,显示出了十分强劲的网络层数据转发处理性能。

  三、特性介绍

  在最开始的介绍中我们已经提到,F1000-C-G防火墙是H3C专门为大中型企业用户所设计的一款专业防火墙。因此,为适应大中型企业的网络环境,F1000-C-G具备了很多特性,如支持双机热备,可以保证业务的高可靠性;支持全部Web方式进行管理;支持虚拟防火墙;支持应用层状态包过滤(ASPF)功能等等。

  下面我们将重点介绍一些F1000-C-G的特性:

  支持丰富的攻击防范功能:包括Land、Smurf、Fraggle、Ping of Death、Tear Drop、IP Spoofing、IP分片报文、ARP欺骗、ARP主动反向查询、TCP报文标志位不合法超大ICMP报文、地址扫描、支端口扫描等攻击防范。还包括针对CC、DNS Query Flood、SYN Flood、UPD Flood、ICMP Flood、分片Flood等常见DDoS攻击的检测防御。

  应用层内容过滤:支持IPS 以及AV 防病毒功能,能够有效精准的进行入侵检测;支持邮件过滤,提供SMTP 邮件地址、标题、附件和内容过滤;支持网页过滤,提供HTTP URL 和内容过滤;支持应用层过滤,提供Java/ActiveX Blocking 和SQL 注入攻击防范。

  多种安全认证服务:支持RADIUS 和HWTACACS 协议及域认证;支持基于PKI /CA 体系的数字证书(X.509 格式)认证功能;在PPP 线路上支持CHAP 和PAP 验证协议;支持用户身份管理,不同身份的用户拥有不同的命令执行权限;支持用户视图分级,不同级别的用户赋予不同的管理配置权限。

  除此之外,在VPN方面F1000-C-G支持L2TP VPN、GRE VPN、IPSec VPN、SSL VPN 等多种VPN 业务模式;在IPV6方面,支持IPv4/IPv6 双协议栈,并支持IPv6 数据报文转发、静态路由、动态路由及组播路由等功能。支持IPv6 各种过渡技术,包括NAT-PT、IPv6 Over IPv4 GRE 隧道、手工隧道、6to4 隧道、IPv4 兼容IPv6 自动隧道、ISATAP隧道、支持IPv6 ACL、Radius 等安全技术;同时支持智能网络集成以及Qos保证。

  更多F1000-C-G特性请点击:http://www.h3c.com.cn/Products___Technology/Products/IP_Security/FW_VPN/F1000/F1000-C-G/

  四、功能配置

  H3C考虑到用户的体验,F1000各款防火墙的配置界面基本相同,同时提供命令行及WEB配置界面。用户可以利用WEB配置界面很方便的对设备进行必要的基本设定,整个设置过程相当简单,管理员是网络方面的专业人士,也可以进入利用命令行界面进行更为详细的配置,下面我们就以WEB界面为例简述此设备的配置。

  首先,我们先看一下典型的组网拓扑:

F1000功能配置

  在这个拓扑中,充分体现了高可靠特性。用户可以根据需要采用双机状态热备技术,实现高可靠网络设计以支持Active/Active 和Active/Passive 两种工作模式,充分满足网络维护、升级、优化的需求;支持双机状态热备,提供机箱内部环境温度检测功能,支持网管的统一管理。

  开启HTTP功能

  防火墙在出厂时已经设置默认的Web登录信息,并且HTTP功能已处于开启状态,可以直接使用该默认信息登录防火墙的Web界面,默认用户及密码都是:admin。接口GigabitEthernet 0/0的IP地址是192.168.0.1。但不排除用户更新启动文件或者是手动将HTTP功能关闭的情况,那么如果希望通过WEB界面对设备进行管理就需要开启HTTP功能,开启方法也非常简单。

  首先我们进行设置的连接,H3C F100防火墙为用户提供了一个RS232异步串行配置口(CONSOLE),使用配置口电缆一头压接成RJ45插头,插入防火墙的CONSOLE口;另一端则带有一个DB9(母)连接器,可插入配置终端的串口。如下图所示:

F1000功能配置

  通过超级终端连接到设备后,我们就可以通过命令来启动HTTP功能了,输入以下的命令,我们先配置GigabitEthernet0/0接口的IP地址为192.168.0.1,子网掩码为255.255.255.0。

F1000功能配置

  然后,将接口GigabitEthernet0/0加入安全域Management,缺省情况下,接口GigabitEthernet0/0已经加入Management域。因为我拿到设备时重新升级的版本信息,因此需要重新加入:

F1000功能配置

  再往下需要配置用户信息,在此配置Web网管用户名为admin,认证密码为admin,。服务类型为web,用户级别为3级。同时启动HTTP功能。

F1000功能配置

  下面,我们在计算机的浏览器地址栏内输入设备的IP地址,在此我们设置的是192.168.0.1然后回车,浏览器将显示Web网管的登录页面,如下图所示:

F1000功能配置

  WEB配置功能

  我们输入正确的用户信息即可登录到WEB管理界面中,在屏幕的左侧显示的通过WEB界面可以实现的管理功能,如设备管理、资源管理、网络管理、用户管理、防火墙、攻击防范、应用控制、VPN、高可靠性、日志管理等,功能之丰富,足以满足中小企业的网络安全应用。在屏幕的中间部分显示设备的概览信息,如系统资源的状态、设备接口信息、近期发生的系统日志信息。最右侧则显示的是其他信息,如设备名称、产品描述、设备位置、序列号等。

F1000 WEB配置功能

  点开左侧的任何一个功能选项,都会包含更为细微的功能,从中可以看出H3C在设计此款产品时的谨慎态度。具体功能配置均是以图形化、表单的形式出现,操作极具人性化。因为包含功能之丰富,不能一一介绍,下面我们仅以NAT配置、攻击防范和VPN配置为例来体验一下WEB配置的便捷性。

  NAT 地址转换

  NAT的主要作用是实现网络地址转换,目的是为了解决 IPv4 地址不足而使用的临时性解决方案。

F1000 WEB配置功能

  H3C F1000-C-G支持基本的静态地址转换,NAT可以对内部地址进行一对一的静态转换,这些静态转换条目是预先被手工配置好的,配置界面如下图所示:

F1000 WEB配置功能

  支持动态地址转移,网络管理员可以将一些连续的IP地址集合定义为一个地址池。当内部数据包通过NAT到达外部网络时,将会从地址池中选择某个地址作为转换后的源地址。配置界面如下图所示:

F1000 WEB配置功能

F1000 WEB配置功能

  内部服务器,NAT的另一项功能就是可以将内部的服务器发布到外部网络上以供外部客户访问。通过配置内部服务器映射,可将相应的外部地址、端口等映射到内部的服务器上,这样可以使外部网络访问内部服务器资源,同时也提高了内部服务器的安全性。配置界面如下图所示:

F1000 WEB配置功能

  NAT这种现在企业中广泛使用的网络地址转移功能,管理员只需要通过简单几步就可以轻松搞定。

  多出口智能链路负载均衡

  除了基础的安全防护功能, F1000系列防火墙在链路负载均衡上也有不俗的表现,能够为企业出口链路部署提供更优解决方案。很多企业为了保证出口链路的高可用性和访问效率,会租用两条线路,如一条电信线路,一条联通线路以实现多出口智能链路的负载均衡,F1000-C-G在丰富的链路选择算法的基础上,还可以按运营商地址选择链路,以保证最优访问体验,同时智能检测链路健康及拥塞情况,一旦某条链路发生故障或拥塞,能够秒级无缝切换到另一条可用链路上,从而解决多个ISP出口访问问题。管理员可以通过配置界面创建多条物理链路以实现多出口智能链路负载均衡,配置方法如下图所示:

多出口智能链路负载均衡

  用户访问控制

  H3C F1000-C-G防火墙支持针对每IP发起的连接数和带宽进行限制,防火墙可以根据连接发起方向和连接的类型进行限制,或者是IP报文的出站,入站方向进行限制,方式灵活,可以满足各种安全需求。一般企业内部用户较多,没有必要分别针对每个IP地址单独设置一个带宽或者是连接数,可以统一设置或者是分等级限制。

  限制每用户连接数的方法是:打开防火墙----会话管理----连接数限制,如下图所示:

多出口智能链路负载均衡

  选择“启用连接数限制功能”之后,即可创建相应的限制策略,创建成功后,点击“确定”按钮,使此策略生效。

  限制每用户带宽的方法:打开“深度安全防御”---“带宽管理”,首先我们需要定义带宽管理策略,例如,在此例中,我定义的IT部门的员工,每个IP 可以使用的带宽是上行带宽512kbps,下行带宽是1024kbps。如下图所示:

多出口智能链路负载均衡

  再切换到“带宽管理策略应用”选项卡,我们定义某些源IP地址来应用此策略,如下图所示:

多出口智能链路负载均衡

  应用举例:只允许企业内网用户访问www.sina.com.cn和www.163.com两个网站,其他网站一律不准访问。这种需求在F1000-C-G上实现起来很方便,我们只需要利用URL过滤功能就可轻松搞定,方法是,打开URL过滤节点,同时启用自定义URL过滤功能,如下图所示:

多出口智能链路负载均衡

  然后,我们切换到URL过滤策略选项卡,创建自定义URL规则,在此界面中,定义www.sina.com.cn和www.163.com两个网站所对应的规则,如下图所示:

多出口智能链路负载均衡

  最后,我们还需要应用此规则,切换到URL过滤策略应用选项卡,如下图所示:

多出口智能链路负载均衡

  当然,管理员可以根据需要进行较为详细的编辑,例如,希望此URL过滤策略只针对某些IP地址生效,在此为空,表示策略对任意IP均有效。下面,测试一下我们的劳动成果:

多出口智能链路负载均衡

  我们在内网访问www.sina.com.cn和www.163.com是正常的,但访问其他网站统统拒绝了,如下图所示:

多出口智能链路负载均衡

  另外,管理员还可以借助黑名单、白名单、时间等实现更为细微的控制。

多出口智能链路负载均衡

  SSL VPN设置

  随着互联网的迅猛普及,在家办公和移动办公也开始兴起,VPN给企业提供了一种安全且方便的技术以满足公司员工、客户在企业之外实时安全地访问公司的内部信息和应用程序。SSL VPN与传统VPN系统相比,有更好的易用性,无需用户配置、客户端免安装免维护、部署简单、安全性高、安全控制粒度大,极大地方便了企业的移动办公用户和网络管理。从下图中可以看到H3C F1000-C-G对SSL VPN提供了完美支持。

F1000 SSL VPN设置

  管理员需要对SSL VPN的Web代理服务器进行简单配置,以为用户访问Web服务器提供了一种安全的链接方式,并且可以阻止非法用户访问受保护的Web服务器,如下图所示:

F1000 SSL VPN设置

  接下来,配置资源组、用户以及用户组,并将它们关联起来,如下图所示:

F1000 SSL VPN设置

  H3C F1000-C-G的SSL VPN可实现对网络资源的细粒度的访问控制,用户有多种访问资源的方式,如Web接入方式、TCP接入方式和IP接入方式。同时SSL VPN系统采用基于角色的权限管理方法,可以根据用户登录的身份,限制用户可以访问的资源。另外,SSL VPN系统通过安全策略的检查,来检测接入PC的安全性,进而实现动态分配用户可访问权限。

  日志审计

  查看系统日志是专业的网络管理员必做的功课,因为通过查看系统日志可以帮助你分析及查明问题的原因。日志作为防火墙的信息枢纽而存在,信息中心接管大多数的信息输出,并能进行细致的分类,从而能够有效地进行信息筛选。它通过与Debug程序的结合,为网络管理员和开发人员监控网络运行情况和诊断网络故障提供了强有力的支持。我们打开F1000-C-G的日志报表功能,就可以看到,日志信息非常丰富,如下图所示:

F1000 日志审计

  一般来说,攻击防范、流量监控、黑名单和地址绑定产生的日志信息量小,因此采用Syslog方式以文本格式进行输出。这些日志信息必须通过信息中心进行日志管理和输出重定向,例如将其显示在终端屏幕上,或将Syslog日志发送给日志主机进行存储和分析。而且,用户可以定义将日志发送到邮件中,如下图所示:

F1000 日志审计

  F1000-C-G防火墙为网络管理员提供了功能强大的日志功能,日志类型全面,审计内容丰富。该日志审计服务器可以辅助管理人员监控网络应用的各种情况,并提供多种辅助功能,包括管理员分级、日志信息导入导出、面向对象的安全策略执行状况审计以及日志数据库管理等功能,还有在磁盘空间耗尽时的行之有效的处理策略。网络管理员可以根据日志审计服务器提供的日志信息实时地监控网络的运行状况并处理异常情况,能够以强大的日志审计服务功能确保防火墙安全策略的准确执行和适时调整。

  稳定运行

  对于企业防火墙来说,用户比较关心的就是设备的稳定性。而对于电子设备来说,它们的散热好坏将直接决定设备的稳定性以及使用寿命。

F1000 稳定运行
▲F1000-C-G 侧面散热孔

  内置风扇配合两侧大面积散热孔设计可以保证即使温度较高,在狭小的1U空间里设备也可以稳定持久地运行。那么用户如何有效监控风扇的状态呢?可以通过命令行方式,查看风扇的运行状态,使用的命令是:display fan,如下图所示:

F1000 稳定运行

  这里显示当前风扇的状态是Normal表示风扇工作正常,如果是Absent表示风扇不在位,也就是风扇本身没有问题,但转速没有达到要求,如果是?Fault则表示风扇出现故障,还是很简洁的。关于其他组件如CPU、内存、CF卡、电源等也可以使用类似的命令进行查看。

  五、本次测试总结

  到了这里,本次评测就要结束了,下面我们针对此次的评测做个总结:

  外观方面:H3C F1000-C-G防火墙延续了安全产品的经典黑色金属外壳加上蓝色勾勒线条,高贵大气而不张扬。

  设置方面:F1000同时提供命令行及WEB配置界面,用户可以利用WEB配置界面很方便的对防火墙进行必要的基本设定,整个设置过程相当简单,如果你是老鸟,还可以进入利用命令行界面进行更为直接的配置,充分享受命令行带来的快感。

  性能方面:在性能上,轻松实现4G吞吐量,每秒新建连接数高达3万条,可存储100万个链接,性能卓越。

  功能方面:支持双机配置、会话同步、秒级切换、链路状况探测、链路聚合等高可靠特性;多出口智能链路负载均衡、针对连接数以及带宽的限制、基于黑白名单用户URL访问控制、NAT、丰富的日志审计等多种应用。

  作为H3C面向中小企业网络安全解决方案的核心设备,F1000-C-G防火墙是一款接口丰富、配置灵活、网络适应能力好的防火墙产品,不仅继承了H3C一贯高性能、高可靠的硬件平台,为企业用户提供了更加线速、稳定的应用体验,可以广泛应用于政府、运营商、金融、教育、医疗、军队、企业等行业。(完)

4
相关文章