<thead id="nebme"></thead>

        <optgroup id="nebme"></optgroup>
        <form id="nebme"></form>
        <nav id="nebme"></nav>
        <form id="nebme"></form>
      1. 網絡安全 頻道

        華為USG6370下一代防火墻獨家評測

          【IT168評測】隨著IT架構的變革,今天的企業網絡正朝著移動化、大數據、社交化和云服務為核心的下一代網絡演進。處于開放的前沿陣地,攻擊者通過身份仿冒、網站掛馬、惡意軟件、僵尸網絡等多種方式進行網絡滲透,企業網絡面臨前所未有的安全風險。然而,傳統防火墻在面對這些變革卻無能為力,下一代防火墻的出現幫助企業很好的應對了這些挑戰。

          經過近幾年的演變和發展,企業對于下一代防火墻的需求越來越廣,特別是對于中小型企業來說,能擁有一臺性價比高、運維簡單、安全防護給力的下一代防火墻已經成為趨勢。華為針對中小企業、連鎖機構、企業分支、營業網點等類型的企業用戶推出了USG6300系列下一代防火墻。USG6300系列集防火墻、IPS、AV、VPN、上網行為管理等功能于一體,可以為企業用戶提供安全、靈活、便捷的一體化組網和接入解決方案。在本篇文章中我們將對USG6300系列中的USG6370型號下一代防火墻進行一個全面的試用和評測,以便幫助更多的中小企業用戶對下一代防火墻的功能和性能有一個全方位的了解,對企業的產品選型提供參考依據。

        USG6370評測介紹

          本次評測步驟:

          一、USG6370外觀介紹
          二、USG6370特性介紹
          三、USG6370防火墻配置
            1、WEB方式登錄
            2、WEB界面介紹
            3、設置互聯網連接
          四、USG6370防火墻功能
            1、細粒度的訪問控制
            2、帶寬管理
            3、Smart Policy智能策略
            4、基于位置的訪問控制策略
            5、DLP
            6、VPN配置
            7、性能監控
            8、流量地圖和威脅地圖
            9、實時升級中心
          五、性能測試
          六、評測總結

          點擊這里或下一頁了解評測細節。

          一、USG6370外觀介紹

          華為USG6300系列下一代防火墻采用經典黑色外觀設計,保持了一貫的嚴肅和大氣,在保持傳統工業深色調的同時彰顯商務風格。標準1U機架,超薄的機身對于中小企業空間相對狹窄的機房和按機箱高度收費的托管機房來說,都具備很好的性價比。

        一、USG6370外觀介紹

          管理口和控制口,Console口是配置設備使用的連接接口。當我們需要用到命令行界面進行設備管理時,需要用到此接口。電源指示燈POWER和狀態指示燈RUN。加電后,電源指示燈一直為綠色,狀態指示燈則為閃爍的綠色,當狀態燈每2秒閃爍一次時,表示設備進入正常運行狀態。

        一、USG6370外觀介紹

          標準配置8個全千兆接口以及四個可擴展SFP高速光模塊接口。

        一、USG6370外觀介紹

          強有力的電源接口以及電源開關。設備的兩側設計成蜂窩狀散熱孔,加大設置內部的空氣流動,有助于防塵。

        一、USG6370外觀介紹

        一、USG6370外觀介紹

          二、USG6370特性介紹

          華為USG6300系列下一代防火墻共包含了7個型號,分別是USG6320、USG6330、USG6350、USG6360、USG6370、USG6380、USG6390,適應了不同規模的企業用戶的需求。USG6300系列下一代防火墻除了規格上的不同,在產品特性上沒有太大差別,以下是其特性介紹:

          細粒度的訪問控制:為了應對移動化、虛擬化、社交化,除了價值應用、用戶和內容外,還應該感知位置、風險和設備等。隨著配置維度的復雜化,管理會變為一個瓶頸。USG6300系列下一代防火墻提供獨特的ACTUAL管控機制。通過六個維度進行管控:A是App,C是Content,T是Time,U是User,A是Attack,L是Location,不僅可識別6000多種應用,還可以識別應用中的威脅和攻擊位置,提供細粒度的管控。

          簡單管理:華為的下一代防火墻提供了一種全新的管控視角,通過流量分析,自動識別網絡中的應用,風險和問題,給出合理的意見和建議,方便使用者和管理者。主要體現在,1)預定義模板快速部署上線:通過對眾多網絡的調研和統計,華為總結了企業常見的安全防護場景,預定義了一系列安全策略模板,便于用戶快速部署基于不同應用的安全防護。2)自動流量學習,自動化策略建議:根據網絡流量環境和應用風險,遵循最小權限控制原則,自動生成策略優化建議。3)策略精簡取冗余:通過靜態和動態的策略分析,發現冗余、失效的策略,有效控制策略規模,簡化管理。

          安全防護:在全面防護方面,華為利用遍布全球的安全中心,擁有豐富的可疑樣本來源,不僅要識別應用,還要識別應用威脅、識別風險、以及識別未知威脅,要擁有APT的防御技巧和手段。在云端采用沙箱技術,在模擬環境中監控可疑樣本的運行行為,高效發現未知威脅。

          高性能:下一代防火墻的基礎性能是在同時開啟防火墻和應用識別時的產品性能,開啟應用識別后的性能,才能代表NGFW的基本性能。用過華為設備的朋友都知道,性能問題在華為產品上從來不需要擔心,USG6300系列也是如此,覆蓋1G-8G應用層性能,最高達4G全威脅防護性能。電信級的硬件設計水平,配合單通道并行處理架構,再搭配將網絡流量和內容處理分布式處理的雙定制芯片,足可以保證在全威脅開啟時性能衰減不高于50%。

          三、USG6370防火墻配置

          USG6300系列防火墻主要定位于中小企業用戶,華為充分考慮到用戶的體驗,用戶可以利用WEB配置界面很方便的對防火墻進行必要設定,整個設置過程相當簡單。當然,如果您熟悉命令行配置方式,也可以連接Console口或者是CLI控制臺進行配置。下面我們就以WEB界面為例簡述此設備的配置,靜下心看下去,相信您一定會有所收獲。

          1、WEB方式登錄

          管理員將網線的一端連接設備的MGMT口,也就是管理接口;另一端連接電腦的網卡接口。

        三、USG6370防火墻配置

          加電后,電源指示燈一直為綠色,狀態指示燈則為閃爍的綠色,當狀態燈每2秒閃爍一次時,表示設備進入正常運行狀態。

        三、USG6370防火墻配置

          電腦會自動得到一個192.168.0.0網段的IP地址。打開瀏覽器,推薦使用IE7.0及以上版本、Mozilla5.0及以上版本瀏覽器。在地址欄中輸入:https://192.168.0.1,忽略瀏覽器的證書安全提示,點擊繼續瀏覽此網站,就可以看到如下圖所示的界面:

        三、USG6370防火墻配置

          在登錄界面輸入用戶名:admin,密碼: Admin@123,然后單擊“登錄”進入設備的WEB管理界面。首次登錄必須按提示修改密碼,如下圖所示:

        三、USG6370防火墻配置

          2、WEB界面介紹

          通過HTTPS登錄到Web界面之后,就可以實現對設備的管理和配置,但需要先熟悉WEB界面的一些覺見元素,如下圖所示:

        三、USG6370防火墻配置

          整個窗口還算清晰,明白人不用細說,如果在實際操作中有某些功能或者是按鈕不明白其意義可以點擊右上角的“幫助”尋找支持。

          3、設置互聯網連接

          成功登錄到管理界面之后,會自動彈出“快速向導”界面,如下圖所示:

        三、USG6370防火墻配置

          點擊下一步,將開始配置,首先會讓用戶修改計算機名,如下圖所示:

        三、USG6370防火墻配置

          在正確配置系統時區和時間之后,將進入互聯網接入方式選擇頁面,如下圖所示:

        三、USG6370防火墻配置

          根據相應的接入互聯網方式填寫相關的參數,在此我的環境使用的PPPoE方式,因此會彈出與PPPoE相關的配置,選擇上網接口,即連接外網網線的接口,運營商提供的用戶名和密碼,如下圖所示:

        三、USG6370防火墻配置

          設置好上網接口后,我們還需要設置局域網接口,即內網員工使用的接口,在此我使用的是GE1/0/1接口,并且使用的IP地址是:10.0.0.1\24,如下圖所示:

        三、USG6370防火墻配置

          那么,如果我內網有多臺客戶端需要同時上網,IP地址如何分配呢,那么咱們的USG6300自帶有DHCP功能,如下圖所示:

        三、USG6370防火墻配置

          下一步之后,彈出核對配置信息界面,以拓撲圖的方式顯示配置信息,真心要贊一個,不錯!

        三、USG6370防火墻配置

          確認無誤后,點擊應用,接入互聯網的操作就完成了,整個過程一氣呵成,干凈利索。配置完成后,客戶端就可以上網暢游了。

          四、USG6370防火墻功能

          1、細粒度的訪問控制

          USG6300系列下一代防火墻可以實現6維管控視角,6000+應用識別的訪問控制。下面,我們就要體驗一下它的訪問控制功能。很多公司都有控制員工訪問外網的需求,例如有的公司不允許員工訪問游戲網站,有的公司不允許員工使用QQ等即時通訊工具,有的公司禁止員工下載視頻文件,還有的公司只允許訪問自家的門戶網站…..這些需求都可以很輕松的通過防火墻策略中的訪問規則來加以實現。既然如此,那我們趕緊來寫上幾條訪問規則測試一下吧。別急,訪問規則是由策略元素構成的,我們要想寫出訪問規則,首先要掌握策略元素,USG6300內置了地址和地址組、域名組、地區和地區組、服務和服務組、用戶和用戶組、應用和應用組、時間段等多種元素供用戶使用,下面咱們就看幾個實例:

          實例:允許人力部門員工在工作時間,禁止QQ聊天。那么這里就用到了多個防火墻元素,如用戶、時間、應用等,首先要根據需要創建相應的元素,如用戶,我們需要先創建一個HR的用戶組,在此組中批量創建用戶,如下圖所示:

        四、USG6370防火墻功能

          用戶的認證類型,可以使用“本地認證”或者是“服務器認證”,本地認證指的是由防火墻來認證用戶,因此需要在防火墻上創建用戶;“服務器認證”表示由認證服務器來認證用戶,這里的認證服務器可以是RADIUS服務器、微軟的AD服務器、LDAP服務器、SecurID、TSM服務器等主流的認證服務器。

          在應用和應用組選項卡中,我們可以看到此設備自帶大量的應用元素,如下圖所示:

        四、USG6370防火墻功能

          在這張圖中可以看到,共有6015條應用相關的元素,如果不滿足用戶需要,還可以自定義創建。至于,其他元素操作方法類似。那么接下來就是創建訪問規則了:

        四、USG6370防火墻功能

          那么,我們讓客戶以user01身份登錄,再次登錄QQ進行測試,如下圖所示:

        四、USG6370防火墻功能

          2、帶寬管理

          內網用戶訪問Internet時,所需的帶寬遠大于企業從運營商租用的帶寬,存在帶寬瓶頸。另外,P2P業務類型的流量消耗了絕大部分的帶寬資源,致使關鍵業務得不到帶寬保證。Internet用戶訪問內網服務器時,大量的針對內網服務器的訪問需求導致服務器性能降低,無法正常提供服務。因此,需要對網絡帶寬進行管理。下面的例子,針對每用戶進行網絡限速,在限制之前,我們先看一下用戶通過迅雷的下載速度:

        四、USG6370防火墻功能

          在限速之前,下載速度還是比較喜人的,但是企業中如果有這么幾個用戶同時下載的,其他用戶就要遭殃了,因此,限速是必須要做的,利用USG6300進行限速還是很簡單的,首先,我們創建一個帶寬通道:

        四、USG6370防火墻功能

          在這個界面中,我們指定了每個IP的上行最大帶寬和下午最大帶寬限制在100Kbps,然后,再創建帶寬策略,引用剛才創建的帶寬通道,如下圖所示:

        四、USG6370防火墻功能

          再次回到迅雷下載界面,可以看到,速度已經降下來了,如下圖所示:

        四、USG6370防火墻功能

          3、Smart Policy 智能策略

          一般來說,隨著防火墻功能的增加,則管理就會變得更加復雜。為了降低USG6300系列下一代防火墻的使用復雜度,華為通過總結企業自身上萬條的防火墻管理經驗,實現了智能策略優化Smart Policy技術,使其具備業界最簡單的安全管理能力。Smart Policy解決了安全策略管理方面的核心問題,即:如何快速部署安全策略?部署的策略是否有效,如何調整?如何清理低效和無用的策略,控制策略規模?如下圖所示:

        四、USG6370防火墻功能

          網絡管理員只需要知道,針對哪些對象,進行何種控制?就能快速生成安全策略,避免了關鍵信息泄露。當防火墻經過一段時間的實際工作后, Smart Policy 會收集網絡流量的統計數據,結合原始策略做分析,然后分別基于應用進行策略冗余分析、策略命中分析以及應用風險調優,幫助網絡安全管理員找出冗余和長期不使用的策略,使得防火墻始終工作于簡潔而有效的工作狀態。下圖顯示的就是策略冗余分析的操作截圖:

        四、USG6370防火墻功能

          管理員只需要點擊“策略”---“安全策略”—“策略冗余分析”,設備就會將高優先級的策略依次與低優先級的策略進行遍歷比較,以分析是否存在冗余策略。另外,Smart Policy基于流量分析的應用風險調優對于管理員來說也是非常實用的功能(如下兩圖),展示了智能調優和策略調優處理的界面:

        四、USG6370防火墻功能

        四、USG6370防火墻功能

          4、基于位置的訪問控制

          在前面的設備特性部分,我們介紹到USG6300系列下一代防火墻可以通過六個維度進行安全管控,其中一個維度就是位置,即管理員可以很方便的以地區為單位創建訪問控制策略,帶寬管理策略以及審計策略等。

        四、USG6370防火墻功能

          地區識別特征庫會隨著系統軟件不定期發布,管理員可以通過手動加載的方式進行更新。

        四、USG6370防火墻功能

          當需要對多個地區同時進行控制時,可以創建地區組然后在策略中引用此對象,地區組的成員可以包括預定義地區、自定義地區和嵌套的地區組。

          5、DLP

          隨著移動化、BYOD技術以及Apps的迅速推廣,企業網絡架構越來越復雜,網絡安全的壓力提升到了一個新的臺階。員工在使用互聯網的過程中難免會上傳或者是發布公司的機密信息至外網,導致公司機密泄露,或者是使用郵件、論壇、微博時對公司造成不好的影響甚至法律風險。華為的USG6300下一代防火墻設備可以保證公司員工正常訪問互聯網,又能對員工接收和發送的信息內容進行過濾,以達到DLP(數據防泄露)的目的。實現方法非常簡單,在定義內容過濾配置前定義關鍵字組,然后在定義內容過濾配置時引用關鍵字組。所謂關鍵字組就是需要過濾的關鍵字的組合,選擇“對象”---“關鍵字組”,然后單擊“新建”,即可配置關鍵字組,如下圖所示:

        四、USG6370防火墻功能

          然后,管理員可以根據需要,對應用或者是文件在上傳或者是下載方向上針對關鍵字組進行過濾并采取不同的響應動作。

        四、USG6370防火墻功能

          6、VPN配置

          移動互聯網的發展達到了前所未有的規模,在家辦公和移動辦公被越來越多的企業所接受,VPN給企業提供了一種安全且方便的技術以滿足公司員工、客戶在企業之外實時安全地訪問公司的內部信息和應用程序。展開USG6300設備的菜單,我們可以看到支持多種VPN類型,如IPSEC、L2TP、GRE、DSVPN、SSL VPN等,如下圖所示:

        四、USG6370防火墻功能

          我們在此將GE1/0/2接口所處的網絡規定為VPN 網絡,在此需要為此網絡定義一個IP地址,172.16.0.1/24,下一步之后,繼續配置業務功能,如下圖所示:

        四、USG6370防火墻功能

          網絡擴展功能通過在客戶端安裝虛擬網卡,從SSL VPN網關獲取虛擬IP地址,實現了對所有基于IP的內網業務的全面訪問。用戶遠程訪問內網資源就像訪問本地局域網一樣方便,適用于各種復雜的業務功能。

        四、USG6370防火墻功能

          接下來需要為VPN 拔入用戶指定IP地址,以及能夠訪問的內網網絡地址,當然最后不要忘記創建安全策略,允許VPN客戶拔入到VPN網關,如下圖所示:

        四、USG6370防火墻功能

          看了上面的操作之后,相信你也可以很快捷的創建一個SSL VPN,使用戶能夠在企業外部安全、高效的訪問企業內部的網絡資源。以上只是把USG6300中的幾個常用功能做了一個簡單配置,但USG6300系統防火墻的功能遠不僅如此,限于篇幅,不能詳述。

          7、性能監控

        四、USG6370防火墻功能

          USG6300系列下一代防火墻提供了形象的監視窗口,在本窗口可以查看設備上接口和指示燈的狀態。可以很方便的查看CPU、內存、CF卡以及硬盤的資源使用情況。

          8、流量地圖和威脅地圖

          管理員還可以通過查看日志和報表來獲知當前使用網絡的用戶、應用、安全事件以及流經網絡的通信流量特征,并根據日志詳情和報表統計分析結果進行相應的防護控制。這其中有兩個亮點需要介紹一下,流量地圖和威脅地圖。

          流量地圖形象地展現了流量在全球范圍內的分布態勢,可以具體查看流量排名、大小、走向、源地區以及目的地區等信息,為管理員進一步操作提供依據,如下圖所示:

        四、USG6370防火墻功能

          上圖中默認顯示的是國家級別的總體流量,管理員還可以單擊相應的地圖進一步查看省市的流量分布。管理員可以根據對應地圖的數據流量分布,進一步采取控制措施。

          威脅地圖則宏觀展現了網絡中的威脅數據分布情況,管理員可以查看發起攻擊和被攻擊的地區以及詳細的攻擊信息,操作方法也非常簡單,選擇“監控”---“威脅地圖”,則顯示如下圖所示的界面:

        四、USG6370防火墻功能

          同流量地圖類似,管理員還可以單擊相應的地圖進一步查看省市的威脅分布。還可以在某個區域繼續查看攻擊者以及被攻擊者的詳細信息。

          同時作為一款智能防火墻, USG6300系列產品能夠提供警報機制,在檢測到入侵或者是設備運行異常時,可以郵件等方式通知管理員采取必要的措施。

          9、實時升級中心

        四、USG6370防火墻功能

          為了提供網絡安全設備的動態安全防御功能,USG6300系列防火墻通過自帶的升級中心可以很方便地將特征庫升級到指定版本,及時升級特征庫可以提升設備對入侵行為、病毒、應用和IP地址所屬地區的檢測能力和檢測效率,為企業的核心應用提供#FormatImgID_47#固若金湯的安全防護。

          五、USG6370性能測試

          通過前面的特性以及功能介紹,可以看出USG6370確實是不負眾望。另外,防火墻的性能也將直接影響到企業網絡的正常應用,下面,我們將對USG6370的吞吐量和并發等主要參數進行測試。

          在測試USG6370的吞吐量時我們使用IXIA測試儀,RFC2544模板,端口port_1和端口port_2發送雙向流量穿越防火墻,分別測試#FormatImgID_48##FormatImgID_49#64bytes,1518bytes字節時的吞吐量。

        五、USG6370性能測試

          在進行新建、并發、以及IPS的實際吞吐量測試時,我們使用了思博倫avalanche測試儀,port_1作為client,port_2作為server,流量穿越防火墻,使用http get測試。

        五、USG6370性能測試

        五、USG6370性能測試
        ▲8.9W新建

        五、USG6370性能測試
        ▲400W并發

        五、USG6370性能測試
        ▲IPS吞吐量2.4G

          下表是我們針對USG6370的實際測試結果:

        五、USG6370性能測試

          通過實際測試我們可以看出,USG6370 每秒所能夠處理的新建連接請求的數達89000條,防火墻最大并發數達4百萬,作為一款中小企業防火墻單位時間內可以達到此性能還是很了不起的。

          通過網絡層吞吐量流量的統計,我們可以看出此款防火墻在測試數據幀為1518字節時,吞吐量達到4Gbit/s,數據幀為64字節時吞吐量達到1.4Gbit/s,顯示出了十分強勁的網絡層數據轉發處理性能。針對中小企業防火墻來說,完全可以滿足500臺左右客戶端的使用環境,這樣的測試結果是非常令人滿意的。

          六、測試總結

          到了這里,本次評測就要結束了,下面我們針對此次的評測做個總結:在性能方面USG6370輕松實現4G吞吐量,每秒新建連接數高達89000條,可存儲400萬個最大并發。功能方面USG6370提供獨特的ACTUAL管控機制、Smart Policy智能策略優化、基于應用或者是文件內容的數據防泄露功能、VPN功能、可視的監視窗口以及流量地圖和威脅地圖、輕松識別6000+的應用。

          如今的企業網絡,早已不再是數年前的“江湖”,傳統的安全老三樣也不再是企業安全的守護神,企業用戶需要的是一款能在這場IT變革的大潮中幫助企業用戶從容應對一切安全挑戰的防護設備。而華為USG6370下一代防火墻無論從性能上來看,還是從功能、簡化運維等功能方面來說,都是一款與時俱進的產品,相信對于大多數中小企業用戶來說,這會是一個不錯的選擇。

        11
        相關文章
          影视站