<em id="rt9bf"></em>

    <cite id="rt9bf"><font id="rt9bf"></font></cite><strike id="rt9bf"></strike>
    <span id="rt9bf"><thead id="rt9bf"><meter id="rt9bf"></meter></thead></span>

    <pre id="rt9bf"><font id="rt9bf"><p id="rt9bf"></p></font></pre>
    <span id="rt9bf"></span>
    <video id="rt9bf"></video>

    網絡安全 頻道

    H3C SecPath F1000-C-G防火墻獨家評測

      評測摘要:H3C SecPath F1000-C-G防火墻可輕松實現4G吞吐量,每秒新建連接數高達3萬條,可存儲100萬個鏈接,性能卓越;支持雙機配置、會話同步、秒級切換、鏈路狀況探測、鏈路聚合等高可靠特性;多出口智能鏈路負載均衡、針對連接數以及帶寬的限制、基于黑白名單用戶URL訪問控制、NAT、豐富的日志審計等多種應用。

      【IT168評測】隨著互聯網化的逐步深入,企業所面臨的安全威脅正在成倍遞增。網絡安全威脅不僅來自互聯網,由于工作疏忽等各種原因,導致局域網內病毒傳播、信息泄露的事件也時有發生。針對企業所面臨的這些安全威脅和安全接入互聯需求,H3C推出新一代SecPath F1000-C-G防火墻,該設備是H3C 面向大中型企業用戶開發的新一代專業防火墻,支持Web攻擊防范、內網安全、流量監控、郵件過濾、網頁過濾、應用層過濾等功能,融合多種實用功能于一體的F1000-C-G可以有效保證企業用戶的接入安全。

      接下來IT168安全頻道就將針對H3C SecPath F1000-C-G防火墻進行測試,本次測試內容涉及設備外觀、產品特性、性能以及諸多功能配置等方面。希望我們的本次評測能對您的防火墻產品選型有所幫助。

    H3C F1000防火墻評測

      本次評測流程介紹:

        一、F1000外觀介紹
        二、F1000性能測試
          1、新建連接速率
          2、并發連接數
          3、吞吐量
        三、F1000特性介紹
        四、F1000功能配置
          1、 開啟HTTP功能
          2、 WEB配置功能
          3、 NAT 地址轉換
          4、 多出口智能鏈路負載均衡
          5、 用戶訪問控制
          6、 SSL VPN設置
          7、 日志審計
          8、 穩定運行
        五、本次測試總結

      點擊這里進入測試內容:http://www.th508.com/a2013/1016/1545/000001545632_1.shtml

      一、外觀介紹

      H3C F1000-C-G防火墻繼續采用經典黑色加藍邊的外觀設計,保持了網絡安全產品一貫的嚴肅和大氣。

    F1000外觀介紹
    ▲圖:H3C SecPath F1000-C-G 防火墻

      F1000-G 高密度的業務接口,新一代F1000系列防火墻自帶12個光電復用接口,并可通過擴展插槽擴展出更多的業務接口,滿足各類不同安全場景對設備的接入要求。

    F1000外觀介紹
    ▲F1000-C-G側面

      設備的側面設計有大量的散熱孔,可保證它內部的熱量及時地散出,為用戶提供更加穩定可靠的網絡性能。

    F1000外觀介紹
    ▲F1000-C-G背面

      SecPath F1000-C-G 防火墻充分考慮網絡應用對高可靠性的要求,采用互為冗余備份的雙電源(1+1 備份)模塊,支持交、直流輸入電源模塊;提供機箱內部環境溫度檢測功能,并支持網管。

      二、性能測試

      作為出口網關,性能是防火墻設備的最基本要素。在本節的性能測試環節中,我們主要測試了F1000-C-G的吞吐量、并發數和新建連接速率。我們在F1000-C-G防火墻上接入四個千兆接口進行雙向全雙工的性能測試,分別抽取64Byte、128Byte、256Byte、512Byte、1024Byte、1280Byte、1518Byte七種標準包長時的測試數據。具體測試結果如下所示:

      新建連接速率:3萬

    F1000性能測試

    F1000性能測試

      從測試結果可以看出,此防火墻1秒所能夠處理的HTTP新建連連接請求的數量是3萬,單位時間內可以達到此性能還是很了不起的。

      并發連接數:100萬

    F1000性能測試

    F1000性能測試

      吞吐量:

    F1000性能測試

      IMIX吞吐量:3.2G

    F1000性能測試

      通過網絡層吞吐量流量轉發速率的統計結果,我們可以十分清晰的觀察到F1000-C-G的網絡層處理性能。F1000-C-G的流量轉發速率在64Byte小包時為675Mbps,當測試數據包長達到512Byte之后均達到了4Gbps,IMIX性能更能體現實際環境下的業務處理性能。IMIX吞吐量為3.2Gbps。可以實現線速的數據包轉發,顯示出了十分強勁的網絡層數據轉發處理性能。

      三、特性介紹

      在最開始的介紹中我們已經提到,F1000-C-G防火墻是H3C專門為大中型企業用戶所設計的一款專業防火墻。因此,為適應大中型企業的網絡環境,F1000-C-G具備了很多特性,如支持雙機熱備,可以保證業務的高可靠性;支持全部Web方式進行管理;支持虛擬防火墻;支持應用層狀態包過濾(ASPF)功能等等。

      下面我們將重點介紹一些F1000-C-G的特性:

      支持豐富的攻擊防范功能:包括Land、Smurf、Fraggle、Ping of Death、Tear Drop、IP Spoofing、IP分片報文、ARP欺騙、ARP主動反向查詢、TCP報文標志位不合法超大ICMP報文、地址掃描、支端口掃描等攻擊防范。還包括針對CC、DNS Query Flood、SYN Flood、UPD Flood、ICMP Flood、分片Flood等常見DDoS攻擊的檢測防御。

      應用層內容過濾:支持IPS 以及AV 防病毒功能,能夠有效精準的進行入侵檢測;支持郵件過濾,提供SMTP 郵件地址、標題、附件和內容過濾;支持網頁過濾,提供HTTP URL 和內容過濾;支持應用層過濾,提供Java/ActiveX Blocking 和SQL 注入攻擊防范。

      多種安全認證服務:支持RADIUS 和HWTACACS 協議及域認證;支持基于PKI /CA 體系的數字證書(X.509 格式)認證功能;在PPP 線路上支持CHAP 和PAP 驗證協議;支持用戶身份管理,不同身份的用戶擁有不同的命令執行權限;支持用戶視圖分級,不同級別的用戶賦予不同的管理配置權限。

      除此之外,在VPN方面F1000-C-G支持L2TP VPN、GRE VPN、IPSec VPN、SSL VPN 等多種VPN 業務模式;在IPV6方面,支持IPv4/IPv6 雙協議棧,并支持IPv6 數據報文轉發、靜態路由、動態路由及組播路由等功能。支持IPv6 各種過渡技術,包括NAT-PT、IPv6 Over IPv4 GRE 隧道、手工隧道、6to4 隧道、IPv4 兼容IPv6 自動隧道、ISATAP隧道、支持IPv6 ACL、Radius 等安全技術;同時支持智能網絡集成以及Qos保證。

      更多F1000-C-G特性請點擊:http://www.h3c.com.cn/Products___Technology/Products/IP_Security/FW_VPN/F1000/F1000-C-G/

      四、功能配置

      H3C考慮到用戶的體驗,F1000各款防火墻的配置界面基本相同,同時提供命令行及WEB配置界面。用戶可以利用WEB配置界面很方便的對設備進行必要的基本設定,整個設置過程相當簡單,管理員是網絡方面的專業人士,也可以進入利用命令行界面進行更為詳細的配置,下面我們就以WEB界面為例簡述此設備的配置。

      首先,我們先看一下典型的組網拓撲:

    F1000功能配置

      在這個拓撲中,充分體現了高可靠特性。用戶可以根據需要采用雙機狀態熱備技術,實現高可靠網絡設計以支持Active/Active 和Active/Passive 兩種工作模式,充分滿足網絡維護、升級、優化的需求;支持雙機狀態熱備,提供機箱內部環境溫度檢測功能,支持網管的統一管理。

      開啟HTTP功能

      防火墻在出廠時已經設置默認的Web登錄信息,并且HTTP功能已處于開啟狀態,可以直接使用該默認信息登錄防火墻的Web界面,默認用戶及密碼都是:admin。接口GigabitEthernet 0/0的IP地址是192.168.0.1。但不排除用戶更新啟動文件或者是手動將HTTP功能關閉的情況,那么如果希望通過WEB界面對設備進行管理就需要開啟HTTP功能,開啟方法也非常簡單。

      首先我們進行設置的連接,H3C F100防火墻為用戶提供了一個RS232異步串行配置口(CONSOLE),使用配置口電纜一頭壓接成RJ45插頭,插入防火墻的CONSOLE口;另一端則帶有一個DB9(母)連接器,可插入配置終端的串口。如下圖所示:

    F1000功能配置

      通過超級終端連接到設備后,我們就可以通過命令來啟動HTTP功能了,輸入以下的命令,我們先配置GigabitEthernet0/0接口的IP地址為192.168.0.1,子網掩碼為255.255.255.0。

    F1000功能配置

      然后,將接口GigabitEthernet0/0加入安全域Management,缺省情況下,接口GigabitEthernet0/0已經加入Management域。因為我拿到設備時重新升級的版本信息,因此需要重新加入:

    F1000功能配置

      再往下需要配置用戶信息,在此配置Web網管用戶名為admin,認證密碼為admin,。服務類型為web,用戶級別為3級。同時啟動HTTP功能。

    F1000功能配置

      下面,我們在計算機的瀏覽器地址欄內輸入設備的IP地址,在此我們設置的是192.168.0.1然后回車,瀏覽器將顯示Web網管的登錄頁面,如下圖所示:

    F1000功能配置

      WEB配置功能

      我們輸入正確的用戶信息即可登錄到WEB管理界面中,在屏幕的左側顯示的通過WEB界面可以實現的管理功能,如設備管理、資源管理、網絡管理、用戶管理、防火墻、攻擊防范、應用控制、VPN、高可靠性、日志管理等,功能之豐富,足以滿足中小企業的網絡安全應用。在屏幕的中間部分顯示設備的概覽信息,如系統資源的狀態、設備接口信息、近期發生的系統日志信息。最右側則顯示的是其他信息,如設備名稱、產品描述、設備位置、序列號等。

    F1000 WEB配置功能

      點開左側的任何一個功能選項,都會包含更為細微的功能,從中可以看出H3C在設計此款產品時的謹慎態度。具體功能配置均是以圖形化、表單的形式出現,操作極具人性化。因為包含功能之豐富,不能一一介紹,下面我們僅以NAT配置、攻擊防范和VPN配置為例來體驗一下WEB配置的便捷性。

      NAT 地址轉換

      NAT的主要作用是實現網絡地址轉換,目的是為了解決 IPv4 地址不足而使用的臨時性解決方案。

    F1000 WEB配置功能

      H3C F1000-C-G支持基本的靜態地址轉換,NAT可以對內部地址進行一對一的靜態轉換,這些靜態轉換條目是預先被手工配置好的,配置界面如下圖所示:

    F1000 WEB配置功能

      支持動態地址轉移,網絡管理員可以將一些連續的IP地址集合定義為一個地址池。當內部數據包通過NAT到達外部網絡時,將會從地址池中選擇某個地址作為轉換后的源地址。配置界面如下圖所示:

    F1000 WEB配置功能

    F1000 WEB配置功能

      內部服務器,NAT的另一項功能就是可以將內部的服務器發布到外部網絡上以供外部客戶訪問。通過配置內部服務器映射,可將相應的外部地址、端口等映射到內部的服務器上,這樣可以使外部網絡訪問內部服務器資源,同時也提高了內部服務器的安全性。配置界面如下圖所示:

    F1000 WEB配置功能

      NAT這種現在企業中廣泛使用的網絡地址轉移功能,管理員只需要通過簡單幾步就可以輕松搞定。

      多出口智能鏈路負載均衡

      除了基礎的安全防護功能, F1000系列防火墻在鏈路負載均衡上也有不俗的表現,能夠為企業出口鏈路部署提供更優解決方案。很多企業為了保證出口鏈路的高可用性和訪問效率,會租用兩條線路,如一條電信線路,一條聯通線路以實現多出口智能鏈路的負載均衡,F1000-C-G在豐富的鏈路選擇算法的基礎上,還可以按運營商地址選擇鏈路,以保證最優訪問體驗,同時智能檢測鏈路健康及擁塞情況,一旦某條鏈路發生故障或擁塞,能夠秒級無縫切換到另一條可用鏈路上,從而解決多個ISP出口訪問問題。管理員可以通過配置界面創建多條物理鏈路以實現多出口智能鏈路負載均衡,配置方法如下圖所示:

    多出口智能鏈路負載均衡

      用戶訪問控制

      H3C F1000-C-G防火墻支持針對每IP發起的連接數和帶寬進行限制,防火墻可以根據連接發起方向和連接的類型進行限制,或者是IP報文的出站,入站方向進行限制,方式靈活,可以滿足各種安全需求。一般企業內部用戶較多,沒有必要分別針對每個IP地址單獨設置一個帶寬或者是連接數,可以統一設置或者是分等級限制。

      限制每用戶連接數的方法是:打開防火墻----會話管理----連接數限制,如下圖所示:

    多出口智能鏈路負載均衡

      選擇“啟用連接數限制功能”之后,即可創建相應的限制策略,創建成功后,點擊“確定”按鈕,使此策略生效。

      限制每用戶帶寬的方法:打開“深度安全防御”---“帶寬管理”,首先我們需要定義帶寬管理策略,例如,在此例中,我定義的IT部門的員工,每個IP 可以使用的帶寬是上行帶寬512kbps,下行帶寬是1024kbps。如下圖所示:

    多出口智能鏈路負載均衡

      再切換到“帶寬管理策略應用”選項卡,我們定義某些源IP地址來應用此策略,如下圖所示:

    多出口智能鏈路負載均衡

      應用舉例:只允許企業內網用戶訪問www.sina.com.cn和www.163.com兩個網站,其他網站一律不準訪問。這種需求在F1000-C-G上實現起來很方便,我們只需要利用URL過濾功能就可輕松搞定,方法是,打開URL過濾節點,同時啟用自定義URL過濾功能,如下圖所示:

    多出口智能鏈路負載均衡

      然后,我們切換到URL過濾策略選項卡,創建自定義URL規則,在此界面中,定義www.sina.com.cn和www.163.com兩個網站所對應的規則,如下圖所示:

    多出口智能鏈路負載均衡

      最后,我們還需要應用此規則,切換到URL過濾策略應用選項卡,如下圖所示:

    多出口智能鏈路負載均衡

      當然,管理員可以根據需要進行較為詳細的編輯,例如,希望此URL過濾策略只針對某些IP地址生效,在此為空,表示策略對任意IP均有效。下面,測試一下我們的勞動成果:

    多出口智能鏈路負載均衡

      我們在內網訪問www.sina.com.cn和www.163.com是正常的,但訪問其他網站統統拒絕了,如下圖所示:

    多出口智能鏈路負載均衡

      另外,管理員還可以借助黑名單、白名單、時間等實現更為細微的控制。

    多出口智能鏈路負載均衡

      SSL VPN設置

      隨著互聯網的迅猛普及,在家辦公和移動辦公也開始興起,VPN給企業提供了一種安全且方便的技術以滿足公司員工、客戶在企業之外實時安全地訪問公司的內部信息和應用程序。SSL VPN與傳統VPN系統相比,有更好的易用性,無需用戶配置、客戶端免安裝免維護、部署簡單、安全性高、安全控制粒度大,極大地方便了企業的移動辦公用戶和網絡管理。從下圖中可以看到H3C F1000-C-G對SSL VPN提供了完美支持。

    F1000 SSL VPN設置

      管理員需要對SSL VPN的Web代理服務器進行簡單配置,以為用戶訪問Web服務器提供了一種安全的鏈接方式,并且可以阻止非法用戶訪問受保護的Web服務器,如下圖所示:

    F1000 SSL VPN設置

      接下來,配置資源組、用戶以及用戶組,并將它們關聯起來,如下圖所示:

    F1000 SSL VPN設置

      H3C F1000-C-G的SSL VPN可實現對網絡資源的細粒度的訪問控制,用戶有多種訪問資源的方式,如Web接入方式、TCP接入方式和IP接入方式。同時SSL VPN系統采用基于角色的權限管理方法,可以根據用戶登錄的身份,限制用戶可以訪問的資源。另外,SSL VPN系統通過安全策略的檢查,來檢測接入PC的安全性,進而實現動態分配用戶可訪問權限。

      日志審計

      查看系統日志是專業的網絡管理員必做的功課,因為通過查看系統日志可以幫助你分析及查明問題的原因。日志作為防火墻的信息樞紐而存在,信息中心接管大多數的信息輸出,并能進行細致的分類,從而能夠有效地進行信息篩選。它通過與Debug程序的結合,為網絡管理員和開發人員監控網絡運行情況和診斷網絡故障提供了強有力的支持。我們打開F1000-C-G的日志報表功能,就可以看到,日志信息非常豐富,如下圖所示:

    F1000 日志審計

      一般來說,攻擊防范、流量監控、黑名單和地址綁定產生的日志信息量小,因此采用Syslog方式以文本格式進行輸出。這些日志信息必須通過信息中心進行日志管理和輸出重定向,例如將其顯示在終端屏幕上,或將Syslog日志發送給日志主機進行存儲和分析。而且,用戶可以定義將日志發送到郵件中,如下圖所示:

    F1000 日志審計

      F1000-C-G防火墻為網絡管理員提供了功能強大的日志功能,日志類型全面,審計內容豐富。該日志審計服務器可以輔助管理人員監控網絡應用的各種情況,并提供多種輔助功能,包括管理員分級、日志信息導入導出、面向對象的安全策略執行狀況審計以及日志數據庫管理等功能,還有在磁盤空間耗盡時的行之有效的處理策略。網絡管理員可以根據日志審計服務器提供的日志信息實時地監控網絡的運行狀況并處理異常情況,能夠以強大的日志審計服務功能確保防火墻安全策略的準確執行和適時調整。

      穩定運行

      對于企業防火墻來說,用戶比較關心的就是設備的穩定性。而對于電子設備來說,它們的散熱好壞將直接決定設備的穩定性以及使用壽命。

    F1000 穩定運行
    ▲F1000-C-G 側面散熱孔

      內置風扇配合兩側大面積散熱孔設計可以保證即使溫度較高,在狹小的1U空間里設備也可以穩定持久地運行。那么用戶如何有效監控風扇的狀態呢?可以通過命令行方式,查看風扇的運行狀態,使用的命令是:display fan,如下圖所示:

    F1000 穩定運行

      這里顯示當前風扇的狀態是Normal表示風扇工作正常,如果是Absent表示風扇不在位,也就是風扇本身沒有問題,但轉速沒有達到要求,如果是?Fault則表示風扇出現故障,還是很簡潔的。關于其他組件如CPU、內存、CF卡、電源等也可以使用類似的命令進行查看。

      五、本次測試總結

      到了這里,本次評測就要結束了,下面我們針對此次的評測做個總結:

      外觀方面:H3C F1000-C-G防火墻延續了安全產品的經典黑色金屬外殼加上藍色勾勒線條,高貴大氣而不張揚。

      設置方面:F1000同時提供命令行及WEB配置界面,用戶可以利用WEB配置界面很方便的對防火墻進行必要的基本設定,整個設置過程相當簡單,如果你是老鳥,還可以進入利用命令行界面進行更為直接的配置,充分享受命令行帶來的快感。

      性能方面:在性能上,輕松實現4G吞吐量,每秒新建連接數高達3萬條,可存儲100萬個鏈接,性能卓越。

      功能方面:支持雙機配置、會話同步、秒級切換、鏈路狀況探測、鏈路聚合等高可靠特性;多出口智能鏈路負載均衡、針對連接數以及帶寬的限制、基于黑白名單用戶URL訪問控制、NAT、豐富的日志審計等多種應用。

      作為H3C面向中小企業網絡安全解決方案的核心設備,F1000-C-G防火墻是一款接口豐富、配置靈活、網絡適應能力好的防火墻產品,不僅繼承了H3C一貫高性能、高可靠的硬件平臺,為企業用戶提供了更加線速、穩定的應用體驗,可以廣泛應用于政府、運營商、金融、教育、醫療、軍隊、企業等行業。(完)

    4
    相關文章
      影视站,婷婷亚洲,色谷,老司机电影院