网络安全 频道

H3C SecPath F1000-C-G2防火墙评测

  多维度的安全策略功能:传统防火墙通常根据IP来标识用户、根据端口来标识应用,在移动互联及WEB2.0时代,IP不再是固定的用户,端口也不再是固定的应用,迫切需要防火墙能动态地识别用户的身份信息,通过一些深度的特征识别出具体的应用信息。SecPath F1000-C-G2在传统的5元组控制的基础上增加了用户、应用等维度,无论用户身处何地,IP是否发生变化,也无论应用的端口是否是固定的端口,能够精准地基于单个用户或一组用户的具体应用进行访问控制。

  全面的DPI深度安全防御功能:传统防火墙仅能防护网络层的攻击,对于一些基于漏洞的应用层攻击无能为力,F1000-C-G2集成了IPS、AV功能能够有效防御SQL注入、跨站脚本等应用层攻击及蠕虫、木马等病毒攻击。 内容及文件过滤功能可以过滤企业用户通过HTTP、FTP、邮件传输敏感文件信息及敏感关键词,防止企业机密信息泄露。作为企业管理员希望能够对企业上网用户的HTTP访问进行精细化管控,防止用户访问赌博、色情等非法网站,干扰正常工作,F1000-C-G2基于自定义及分类的URL过滤功能可以完美解决。 精细化的带宽管理功能:P2P流量、视频流量极大地挤占企业有限的出口带宽,QQ、微信等IM工具占用了正常的工作时间,如何限制工作时间内的这些非工作相关的流量及访问成为IT管理员最为头疼的问题之一,F1000-C-G2集成了精细化的应用控制及带宽管管理功能,可以基于全局及用户进行应用控制及流量的限速。同时,带宽管理功能通过父子策略实现分层带宽控制,满足IT管理员灵活的管控需求。

  全面的BYOD支持能力:近年来,移动智能设备迅速普及,用户对于智能手机和平板电脑等移动终端的依赖也逐渐从日常生活向工作时间扩大。如今更多员工倾向于使用移动终端办公,这也推动了越来越多的企业部署BYOD策略。在此背景下,H3C SECPATH F1000-C-G2可实现适应多厂商终端并兼容无线和有线网络的统一BYOD方案。该方案以H3C公司自主研发的iMC UAM和EAD组件为基础,配合iMC智能管理中心,使用IPsec/L2TP/SSL VPN等多种VPN技术,支持radius、LDAP以及基于短信或邮箱验证的多维度认证手段,实现应用场景下的安全检查、流量监控、行为审计及用户自助等功能,可为企业实现强大的IT环境终端可视化云管理能力。

  多出口智能优化功能:作为一款安全产品,仅仅提供安全性保障是不够的。企业出口网关通常会申请电信、联通、移动等多运营商出口链路,一方面增加链路可靠性,另外一方面也是解决跨运营商互访速度缓慢问题。作为企业出口网关如何能保证用户从多链路中选择最优的出口链路从而达到最好的访问体验,而对外提供业务时,如何让外部用户从非常好的的链路访问进来。H3C SECPATH F1000-C-G2设备集成了智能多链路选路功能, 通过内置的动态更新的ISP运营商表项,同时结合链路带宽、链路优先级进行选路,同时支持在链路带宽达到一定阈值后自动迁移到其他链路。在上述基本的选路策略基础上,F1000-C-G2还同时支持基于应用的选路,用户可以指定将低价值的P2P流量分发到价格相对低廉的链路,从而最大化节省投资。

H3C SecPath F1000-C-G2功能测试
▲链路负载均衡概览

  先进的HA技术:传统的HA双机热备技术基于VRRP或路由方式实现,两台设备本质上还是两台独立的设备,从管理到网络部署上都是割裂的。管理上通过配置同步技术存在配置冲突问题。在部署方面,VRRP技术对上下行设备的依赖较大,地址占用较多,并且本质上一种网络切换协议,无法达到秒级以下的切换速度。H3C SECPATH F1000-C-G2防火墙的HA技术基于H3C先进的IRF技术可以实现HA两台设备的统一管理,对外呈现唯一的管理入口、审计入口及监控入口。同时两台设备虚拟化后对外呈现单一的网络节点,简化网络部署复杂度,同时采用专有的IRF协议可以实现ms级的切换速度。

  H3C SecPath F1000-C-G2防火墙产品特性

H3C SecPath F1000-C-G2功能测试

  H3C SecPath F1000-C-G2下一代防火墙相比传统防火墙基于设备的IP或MAC地址来下发安全策略,创新的推出了多维度用户识别功能,能够针对时间、位置、身份ID、终端类型等进行多维度用户识别,更具符合移动办公场景。同时既可以在防火墙上做本地认证,也可以配合认证服务器进行远程认证,也可以在用户身份识别之后,再进行用户策略下发,实现用户策略随行。

  不仅如此,华三H3C SecPath F1000-C-G2下一代防火墙可以识别2000多种应用流量,能精确检测Thunder/Web Thunder(迅雷/Web迅雷)、BitTorrent、eMule(电骡)/eDonkey(电驴)、QQ、MSN、PPLive等P2P/IM/网络游戏/炒股/网络视频/网络多媒体等应用,支持P2P流量控制功能,通过对流量采用深度检测的方法,即通过将网络报文与P2P协议报文特征进行匹配,可以精确的识别P2P流量,以达到对P2P流量进行管理的目的,同时可提供不同的控制策略,实现灵活的P2P流量控制。同时采用Kaspersky公司的流引擎查毒技术,从而迅速、准确查杀网络流量中的病毒等恶意代码。华三也会紧跟网络安全领域的最新动态,从而保证特征库的及时准确更新。

  对于H3C SecPath F1000-C-G2下一代防火墙与传统防火墙最显著的区别在于性能。防火墙在开启深度安全防御功能(包括杀毒、防漏洞攻击、应用识别和控制、流量控制等全部功能)后,性能折损在所难免,传统防火墙在开启后性能会出现断崖式下滑,性能下降到原有的20%左右,下一代防火墙业界公认DPI性能折损率是≤50%,而华三G2系列下一代防火墙DPI性能平均折损比≤40%,即性能下降不超过40%,性能依旧,可谓是业界最强。

H3C SecPath F1000-C-G2功能测试

  除此之外,可靠性方面可谓是H3C SecPath F1000-C-G2下一代防火墙最大的亮点,相比传统的双机冗余备份,华三通过引入IRF2技术实现防火墙的虚拟化,使整个系统性能随设备数线性叠加,对外呈现单节点,单个IP,对内是多台设备多链路捆绑,通过一个管理界面统一管理,让运维管理更高效、更简单,创建了简单的无环路拓扑结构,同时也保证了冗余备份的需求也节省了用户投资。

  同时H3C SecPath F1000-C-G2下一代防火墙还集合链路动态负载均衡功能,通过智能DNS技术再配合传统的链路状态检测、链路繁忙保护等技术,有效实现企业互联网出口双方向的多链路自动均衡和自动切换,使得双向的流量均能通过最优的线路进行传播,极大的加快了网络访问速度,提高链路利用率。

  当然,H3C SecPath F1000-C-G2下一代防火墙更全面支持IPv6,支持IPv4/IPv6双协议栈, IPv6数据报文转发、静态路由、动态路由及组播路由等功能,并且支持IPv6各种过渡技术。

  测评总结

  H3C SecPath F1000-C-G2作为华三通信最新推出的下一代NGFW,在具备传统防火墙安全控制、攻击防范、NAT、VPN等功能基础上,融入了基于用户策略控制、海量应用识别与控制、等多项实用功能,基于最新的ComwareV7平台,该设备集成了业界最领先IRF高可靠机制及虚拟防火墙技术。

  全新的WEB设置界面,运维人员可是比较直观的通过重要安全事件监测进行全局把控,对于有更加深入安全需求的企业也可以通过H3C SecPath F1000-C-G2的策略调整实现精细化管控。

  H3C SecPath F1000-C-G2下一代防火墙由作为一款面向中型企业的产品,在性能测试中表现出非常强劲的性能,充分满足了客户需求,再加上其高性价比十分适用于当前市场,多方位的安全防护、多维度的审计能力、多角度的高可靠性支持、多功能化的体系模块加上前瞻性的技术水平和充分把握用户心理的高度体验,使得这款产品不仅仅是作为安全设备而存在,更有艺术品的体验,也是让企业全面放心的工作伙伴。

1
相关文章