导语:自2013年H3C SecPath F1000-C-G防火墙推出至今已经时隔三年,下一代防火墙技术演进也发生了很大变化,以为精细化管控和威胁情报逐步引领的企业安全市场,下一代防火墙通过边界部署对云、管、端的深度分析也催生企业用户新的需求。
【IT168 评测】防火墙产品历经多年的发展,日趋成为市场的主流的安全产品,厂商和用户对该产品的研发和应用,已不可同日而语。但随着移动互联网的快速发展,基于IP或MAC地址的传统防火墙越来越难以满足企业需求,时至今日,下一代防火墙市场格局竞争已经白热化,众多厂商都在自己的下一代防火墙产品中充分体现自身的亮点和差异化优势,伴随着Web2.0时代的到来并结合当前安全与网络深入融合的技术趋势,华三通信针对中小型企业、园区网互联网出口以及广域网分支市场推出的下一代高性能防火墙:H3C SecPath F1000-C-G2。在功能上支持多维度用户识别、海量应用流量识别、4-7层深度安全防御引擎、高可靠性-IRF2、链路负载均衡等功能,满足了企业对于网络安全最真实的需求。
下面我们就针对H3C SecPath F1000-C-G2下一代防火墙做一个全面的评测,涉及到的评测内容将包括:设备外观、产品特性、设备功能、性能等多方面。希望我们的本次评测能对您的下一代防火墙产品选型有所帮助。
H3C SecPath F1000-C-G2外观评测
H3C SecPath F1000-C-G2防火墙产品采用了传统的黑色机框银色面板的外形设计。与前代产品相比,接口设计更加紧凑,主机自带8个千兆光口+16个千兆电口。
▲H3C SecPath F1000-C-G2防火墙正面图
H3C SecPath F1000-C-G2的升级不仅仅是看得见的端口数量增加,而且防火墙吞吐量也升级到4GB,SSL VPN并发用户可达4万,并发连接数量达到了400万,4至7层深度防御也提升到2G,最重要的是Comware软件平台升级为V7版本。
▲H3C SecPath F1000-C-G2防火墙左侧图
▲H3C SecPath F1000-C-G2防火墙右侧图
H3C SecPath F1000-C-G2为标准的1U机箱,同时两侧面均设计了散热孔,这样能够很好的解决散热问题,进而提升产品运行稳定性,从外部结构来看散热问题无需顾虑。
▲H3C SecPath F1000-C-G2防火墙后面图
H3C SecPath F1000-C-G2防火墙右侧采用了标准的三孔电源接口,动力十足,为设备的正常运行、稳定工作源源不断提供能量。左侧设计了两个插槽,可以根据需求插入两块4端口千兆bypass卡,即当设备故障以后,还可以让连接在这台设备上的网络相互导通,当然这个时候这台网络设备也就不会再对网络中的封包做处理了。
H3C SecPath F1000-C-G2性能测试
作为出口网关,性能是防火墙设备的最基本要素。在本节的性能测试环节中,我们主要测试了H3C SecPath F1000-C-G2的性能折损比、吞吐量和并发性能、新建连接速率。作为一款带机量2000以上的防火墙,H3C SecPath F1000-C-G2实现了6Gbps峰值,即使业务全开,吞吐量峰值也达到了2Gbps。具体测试结果如下图所示:
▲H3C SecPath F1000-C-G2下一代防火墙吞吐
通过网络层吞吐量流量转发速率的统计结果,我们可以十分清晰的观察到H3C SecPath F1000-C-G2的网络层处理性能。F1000-C-G的流量转发速率在70Byte小包时为1100Mbps,当测试数据包长达到512Byte之后均达到了5.9Gbps,显示出了十分强劲的网络层数据转发处理性能。
▲H3C SecPath F1000-C-G2多业务吞吐
上面进行路由吞吐测试非常给力,那么在开启多项功能之后呢?经过实际测试,H3C SecPath F1000-C-G2多业务吞吐流量达到了2Gbps,相比传统防火墙在开启多项业务之后性能会出现断崖式下滑,华三表现了非常强的性能!
▲H3C SecPath F1000-C-G2下一代防火墙新建速率:8万
从测试结果可以看出,此H3C SecPath F1000-C-G2下一代防火墙1秒所能够处理的HTTP新建连连接请求的数量是8万,单位时间内可以达到此性能还是很了不起的。
▲H3C SecPath F1000-C-G2多业务新建速率:5万
从测试结果可以看出,此H3C SecPath F1000-C-G2下一代防火墙1秒所能够处理的多业务新建连连接请求的数量是5万,满足了企业用户多业务同时执行的需求。
▲H3C SecPath F1000-C-G2多业务并发连接数
并发连接数,指在同一时间条件下,能够同时处理的点对点连接的最大数目,它反映出防火墙设备对多个连接的访问控制能力和连接状态跟踪能力,从测试结果可以看出,H3C SecPath F1000-C-G2在多业务开启的前提下,并发连接数达到了400万, 这是一个非常强的处理能力!
综合来讲,无论是吞吐量、多业务吞吐量、新建速率、多业务新建速率、并发连接数都表现出十分强劲的处理性能,即使在开启多项功能,依然强于其他同类产品,满足了中小型企业网络需求。
H3C SecPath F1000-C-G2功能测试
H3C SecPath F1000-C-G2防火墙主要定位于中小企业用户,所以华三通信充分考虑到用户的体验,同时提供命令行及WEB配置界面。用户可以利用WEB配置界面很方便的对防火墙进行必要的基本设定,整个设置过程相当简单,如果你是老鸟,还可以进入利用命令行界面进行更为详细的配置,充分享受命令行带来的快感。下面我们就以WEB界面为例简述此设备的配置。
▲H3C SecPath F1000-C-G2主设置页面
在此页面中,可以看到H3C SecPath F1000-C-G2下一代防火墙左侧是主要配置选项,如监控、设备、资源、用户、防火墙、应用安全、NAT、VPN、负载均衡、策略等,通过此页面可以实现多个功能模块配置,在这里也可以看到硬件使用率,设备基本信息、系统会话数、流量统计等。
▲H3C SecPath F1000-C-G2设备管理项
在此页面中,可以进行虚拟化设置,可以将一台虚拟化为多台设备,完全独立的资源分配,包括对虚拟防火墙的吞吐、新建、并发数以及策略规则数都可以进行分配,而其独立管理,独立运行业务,丝毫不受到其他虚拟设备干扰的完全虚拟化能力着实让人叹为观止。
▲H3C SecPath F1000-C-G2应用安全设置项
丰富的攻击防范功能:Land、Smurf、Fraggle、Ping of Death、Tear Drop、IP Spoofing、IP分片报文、TCP报文标志位不合法、超大ICMP报文、地址扫描、端口扫描等攻击防范,还包括针对SYN Flood、UPD Flood、ICMP Flood、DNS Flood、HTTP Flood等常见DDoS攻击的检测防御。
多维度的安全策略功能:传统防火墙通常根据IP来标识用户、根据端口来标识应用,在移动互联及WEB2.0时代,IP不再是固定的用户,端口也不再是固定的应用,迫切需要防火墙能动态地识别用户的身份信息,通过一些深度的特征识别出具体的应用信息。SecPath F1000-C-G2在传统的5元组控制的基础上增加了用户、应用等维度,无论用户身处何地,IP是否发生变化,也无论应用的端口是否是固定的端口,能够精准地基于单个用户或一组用户的具体应用进行访问控制。
全面的DPI深度安全防御功能:传统防火墙仅能防护网络层的攻击,对于一些基于漏洞的应用层攻击无能为力,F1000-C-G2集成了IPS、AV功能能够有效防御SQL注入、跨站脚本等应用层攻击及蠕虫、木马等病毒攻击。 内容及文件过滤功能可以过滤企业用户通过HTTP、FTP、邮件传输敏感文件信息及敏感关键词,防止企业机密信息泄露。作为企业管理员希望能够对企业上网用户的HTTP访问进行精细化管控,防止用户访问赌博、色情等非法网站,干扰正常工作,F1000-C-G2基于自定义及分类的URL过滤功能可以完美解决。 精细化的带宽管理功能:P2P流量、视频流量极大地挤占企业有限的出口带宽,QQ、微信等IM工具占用了正常的工作时间,如何限制工作时间内的这些非工作相关的流量及访问成为IT管理员最为头疼的问题之一,F1000-C-G2集成了精细化的应用控制及带宽管管理功能,可以基于全局及用户进行应用控制及流量的限速。同时,带宽管理功能通过父子策略实现分层带宽控制,满足IT管理员灵活的管控需求。
全面的BYOD支持能力:近年来,移动智能设备迅速普及,用户对于智能手机和平板电脑等移动终端的依赖也逐渐从日常生活向工作时间扩大。如今更多员工倾向于使用移动终端办公,这也推动了越来越多的企业部署BYOD策略。在此背景下,H3C SECPATH F1000-C-G2可实现适应多厂商终端并兼容无线和有线网络的统一BYOD方案。该方案以H3C公司自主研发的iMC UAM和EAD组件为基础,配合iMC智能管理中心,使用IPsec/L2TP/SSL VPN等多种VPN技术,支持radius、LDAP以及基于短信或邮箱验证的多维度认证手段,实现应用场景下的安全检查、流量监控、行为审计及用户自助等功能,可为企业实现强大的IT环境终端可视化云管理能力。
多出口智能优化功能:作为一款安全产品,仅仅提供安全性保障是不够的。企业出口网关通常会申请电信、联通、移动等多运营商出口链路,一方面增加链路可靠性,另外一方面也是解决跨运营商互访速度缓慢问题。作为企业出口网关如何能保证用户从多链路中选择最优的出口链路从而达到最好的访问体验,而对外提供业务时,如何让外部用户从非常好的的链路访问进来。H3C SECPATH F1000-C-G2设备集成了智能多链路选路功能, 通过内置的动态更新的ISP运营商表项,同时结合链路带宽、链路优先级进行选路,同时支持在链路带宽达到一定阈值后自动迁移到其他链路。在上述基本的选路策略基础上,F1000-C-G2还同时支持基于应用的选路,用户可以指定将低价值的P2P流量分发到价格相对低廉的链路,从而最大化节省投资。
▲链路负载均衡概览
先进的HA技术:传统的HA双机热备技术基于VRRP或路由方式实现,两台设备本质上还是两台独立的设备,从管理到网络部署上都是割裂的。管理上通过配置同步技术存在配置冲突问题。在部署方面,VRRP技术对上下行设备的依赖较大,地址占用较多,并且本质上一种网络切换协议,无法达到秒级以下的切换速度。H3C SECPATH F1000-C-G2防火墙的HA技术基于H3C先进的IRF技术可以实现HA两台设备的统一管理,对外呈现唯一的管理入口、审计入口及监控入口。同时两台设备虚拟化后对外呈现单一的网络节点,简化网络部署复杂度,同时采用专有的IRF协议可以实现ms级的切换速度。
H3C SecPath F1000-C-G2防火墙产品特性
H3C SecPath F1000-C-G2下一代防火墙相比传统防火墙基于设备的IP或MAC地址来下发安全策略,创新的推出了多维度用户识别功能,能够针对时间、位置、身份ID、终端类型等进行多维度用户识别,更具符合移动办公场景。同时既可以在防火墙上做本地认证,也可以配合认证服务器进行远程认证,也可以在用户身份识别之后,再进行用户策略下发,实现用户策略随行。
不仅如此,华三H3C SecPath F1000-C-G2下一代防火墙可以识别2000多种应用流量,能精确检测Thunder/Web Thunder(迅雷/Web迅雷)、BitTorrent、eMule(电骡)/eDonkey(电驴)、QQ、MSN、PPLive等P2P/IM/网络游戏/炒股/网络视频/网络多媒体等应用,支持P2P流量控制功能,通过对流量采用深度检测的方法,即通过将网络报文与P2P协议报文特征进行匹配,可以精确的识别P2P流量,以达到对P2P流量进行管理的目的,同时可提供不同的控制策略,实现灵活的P2P流量控制。同时采用Kaspersky公司的流引擎查毒技术,从而迅速、准确查杀网络流量中的病毒等恶意代码。华三也会紧跟网络安全领域的最新动态,从而保证特征库的及时准确更新。
对于H3C SecPath F1000-C-G2下一代防火墙与传统防火墙最显著的区别在于性能。防火墙在开启深度安全防御功能(包括杀毒、防漏洞攻击、应用识别和控制、流量控制等全部功能)后,性能折损在所难免,传统防火墙在开启后性能会出现断崖式下滑,性能下降到原有的20%左右,下一代防火墙业界公认DPI性能折损率是≤50%,而华三G2系列下一代防火墙DPI性能平均折损比≤40%,即性能下降不超过40%,性能依旧,可谓是业界最强。
除此之外,可靠性方面可谓是H3C SecPath F1000-C-G2下一代防火墙最大的亮点,相比传统的双机冗余备份,华三通过引入IRF2技术实现防火墙的虚拟化,使整个系统性能随设备数线性叠加,对外呈现单节点,单个IP,对内是多台设备多链路捆绑,通过一个管理界面统一管理,让运维管理更高效、更简单,创建了简单的无环路拓扑结构,同时也保证了冗余备份的需求也节省了用户投资。
同时H3C SecPath F1000-C-G2下一代防火墙还集合链路动态负载均衡功能,通过智能DNS技术再配合传统的链路状态检测、链路繁忙保护等技术,有效实现企业互联网出口双方向的多链路自动均衡和自动切换,使得双向的流量均能通过最优的线路进行传播,极大的加快了网络访问速度,提高链路利用率。
当然,H3C SecPath F1000-C-G2下一代防火墙更全面支持IPv6,支持IPv4/IPv6双协议栈, IPv6数据报文转发、静态路由、动态路由及组播路由等功能,并且支持IPv6各种过渡技术。
测评总结
H3C SecPath F1000-C-G2作为华三通信最新推出的下一代NGFW,在具备传统防火墙安全控制、攻击防范、NAT、VPN等功能基础上,融入了基于用户策略控制、海量应用识别与控制、等多项实用功能,基于最新的ComwareV7平台,该设备集成了业界最领先IRF高可靠机制及虚拟防火墙技术。
全新的WEB设置界面,运维人员可是比较直观的通过重要安全事件监测进行全局把控,对于有更加深入安全需求的企业也可以通过H3C SecPath F1000-C-G2的策略调整实现精细化管控。
H3C SecPath F1000-C-G2下一代防火墙由作为一款面向中型企业的产品,在性能测试中表现出非常强劲的性能,充分满足了客户需求,再加上其高性价比十分适用于当前市场,多方位的安全防护、多维度的审计能力、多角度的高可靠性支持、多功能化的体系模块加上前瞻性的技术水平和充分把握用户心理的高度体验,使得这款产品不仅仅是作为安全设备而存在,更有艺术品的体验,也是让企业全面放心的工作伙伴。
