自2013年H3C F1000-C-G防火墙推出至今已经时隔三年,下一代防火墙技术演进也发生了很大变化,以为精细化管控和威胁情报逐步引领的企业安全市场,下一代防火墙通过边界部署对“云、管、端”的深度分析也催生企业用户新的需求。
H3C F1000-C-G2下一代防火墙是华三面向Web2.0时代的到来并结合当前安全与网络深入融合的技术趋势,针对中小型企业、园区网互联网出口以及广域网分支市场推出的下一代高性能防火墙产品。
从市场定位上看是面向中型企业的下一代防火墙,在延续前代产品高性能基础上,在流量统计,负载均衡以及人机交互方面都有显著改善。安全厂商和网络设备供应商对于下一代安全的理念各有不同。安全防御能力和网络设备本身的性能往往此消彼长,H3C F1000-C-G2下一代防火墙对于功能和防火墙本身的性能平衡方面有了全面提升,安全统计、攻击防范、安全监控等传统安全手段也面向可视化安全和全局管控发展。
综合来看,这是一款结合了高性能软硬件处理平台和多重防护功能的升级产品,包括灵活性和深度安全管控等下一代安全理念的引入在体现在产品的方方面面。下面我们就深入分析这一华三力作-H3C F1000-C-G2下一代防火墙。
【产品外观】H3C F1000-C-G2防火墙产品采用了传统的黑色机框银色面板的外形设计。与前代产品相比,接口设计更加紧凑,主机自带8个千兆光口+16个千兆电口。
H3C F1000-C-G2防火墙正面图
侧面的散热孔能够很好的解决散热问题,进而提升产品运行稳定性。从外部结构来看散热问题无需顾虑。
H3C F1000-C-G2防火墙评测设备
H3C F1000-C-G2防火墙评测环境
作为H3C最新推出的下一代NGFW,在具备传统防火墙安全控制、攻击防范、NAT、VPN等功能基础上,融入了基于用户、基于应用等下一代防火墙典型功能特性,同时在一台设备中集成了IPS、AV、内容及文件过滤、应用控制及带宽管理等深度安全防御特性。多出口智能选路及智能DNS功能为企业上网用户提供最优访问体验。基于最新的ComwareV7平台,该设备集成了业界最领先IRF高可靠机制及虚拟防火墙技术。
【功能评测】全面的状态监控:H3C F1000-C-G2下一代防火墙概览界面展示了设备的状态、主要的性能指标及关键的安全事件信息。
丰富的攻击防范功能:Land、Smurf、Fraggle、Ping of Death、Tear Drop、IP Spoofing、IP分片报文、TCP报文标志位不合法、超大ICMP报文、地址扫描、端口扫描等攻击防范,还包括针对SYN Flood、UPD Flood、ICMP Flood、DNS Flood、HTTP Flood等常见DDoS攻击的检测防御。
多维度的安全策略功能:传统防火墙通常根据IP来标识用户、根据端口来标识应用,在移动互联及WEB2.0时代,IP不再是固定的用户,端口也不再是固定的应用,迫切需要防火墙能动态地识别用户的身份信息,通过一些深度的特征识别出具体的应用信息。SecPath F1000-C-G2在传统的5元组控制的基础上增加了用户、应用等维度,无论用户身处何地,IP是否发生变化,也无论应用的端口是否是固定的端口,能够精准地基于单个用户或一组用户的具体应用进行访问控制。
全面的DPI深度安全防御功能:传统防火墙仅能防护网络层的攻击,对于一些基于漏洞的应用层攻击无能为力,F1000-C-G2集成了IPS、AV功能能够有效防御SQL注入、跨站脚本等应用层攻击及蠕虫、木马等病毒攻击。 内容及文件过滤功能可以过滤企业用户通过HTTP、FTP、邮件传输敏感文件信息及敏感关键词,防止企业机密信息泄露。作为企业管理员希望能够对企业上网用户的HTTP访问进行精细化管控,防止用户访问赌博、色情等非法网站,干扰正常工作,F1000-C-G2基于自定义及分类的URL过滤功能可以完美解决。
精细化的带宽管理功能:P2P流量、视频流量极大地挤占企业有限的出口带宽,QQ、微信等IM工具占用了正常的工作时间,如何限制工作时间内的这些非工作相关的流量及访问成为IT管理员最为头疼的问题之一,F1000-C-G2集成了精细化的应用控制及带宽管管理功能,可以基于全局及用户进行应用控制及流量的限速。同时,带宽管理功能通过父子策略实现分层带宽控制,满足IT管理员灵活的管控需求。
基于应用的带宽管理
全面的BYOD支持能力:近年来,移动智能设备迅速普及,用户对于智能手机和平板电脑等移动终端的依赖也逐渐从日常生活向工作时间扩大。如今更多员工倾向于使用移动终端办公,这也推动了越来越多的企业部署BYOD策略。在此背景下,H3C F1000-C-G2可实现适应多厂商终端并兼容无线和有线网络的统一BYOD方案。该方案以H3C公司自主研发的iMC UAM和EAD组件为基础,配合iMC智能管理中心,使用IPsec/L2TP/SSL VPN等多种VPN技术,支持radius、LDAP以及基于短信或邮箱验证的多维度认证手段,实现应用场景下的安全检查、流量监控、行为审计及用户自助等功能,可为企业实现强大的IT环境终端可视化云管理能力。
多出口智能优化功能:作为一款安全产品,仅仅提供安全性保障是不够的。企业出口网关通常会申请电信、联通、移动等多运营商出口链路,一方面增加链路可靠性,另外一方面也是解决跨运营商互访速度缓慢问题。作为企业出口网关如何能保证用户从多链路中选择最优的出口链路从而达到很好的访问体验,而对外提供业务时,如何让外部用户从很好的链路访问进来。H3C F1000-C-G2设备集成了智能多链路选路功能, 通过内置的动态更新的ISP运营商表项,同时结合链路带宽、链路优先级进行选路,同时支持在链路带宽达到一定阈值后自动迁移到其他链路。在上述基本的选路策略基础上,F1000-C-G2还同时支持基于应用的选路,用户可以指定将低价值的P2P流量分发到价格相对低廉的链路,从而最大化节省投资。
链路负载均衡概览
先进的HA技术:传统的HA双机热备技术基于VRRP或路由方式实现,两台设备本质上还是两台独立的设备,从管理到网络部署上都是割裂的。管理上通过配置同步技术存在配置冲突问题。在部署方面,VRRP技术对上下行设备的依赖较大,地址占用较多,并且本质上一种网络切换协议,无法达到秒级以下的切换速度。H3C F1000-C-G2防火墙的HA技术基于H3C先进的IRF技术可以实现HA两台设备的统一管理,对外呈现唯一的管理入口、审计入口及监控入口。同时两台设备虚拟化后对外呈现单一的网络节点,简化网络部署复杂度,同时采用专有的IRF协议可以实现ms级的切换速度。
业界领先的1:N虚拟化能力:提到防火墙虚拟化,H3C公司的虚拟防火墙技术独占鳌头。完全独立的资源分配,包括对虚拟防火墙的 吞吐、新建、并发数以及策略规则数都可以进行分配,而其独立管理,独立运行业务,丝毫不受到其他虚拟设备干扰的完全虚拟化能力着实让人叹为观止。
虚拟机设备独立分配接口和各项资源功能
【性能评测】H3C F1000-C-G2的性能提升是其显著优势,在性能方面,着重测试了性能折损比、吞吐量和并发性能。作为一款带机量2000以上的防火墙H3C F1000-C-G2实现了6Gbps峰值,在业务全开的峰值达到了2Gbps.
防火墙吞吐
多业务吞吐
防火墙新建
多业务新建
多业务并发
综合来讲,无论是吞吐量还是业务并发H3C F1000-C-G2都实现了十分强劲的处理性能。无论是网络层还是应用层都能在不损耗企业业务情况下实现全方面安全防护。
【测评总结】
H3C F1000-C-G2下一代防火墙具备强大的安全防护功能,业务覆盖范围广泛,能够适应用户的多种需求并迎合了未来技术发展趋势。这一产品的定位和理念充分体现了华三“大安全”理念。防护攻击方式多样性和深度安全防护上都考虑充分,于此同时保证了设备的功能和性能稳定。
在链路负载均衡(LLB)以及服务器负载均衡(SLB)功能是用户对于防火墙本身的需求,服务器负载均衡也是目前业界领先技术,华三将这一技术引入到防火墙产品中也是其云网融合理念落地的实践。最优链路选择和多业务并发性能是H3C F1000-C-G2这款防火墙的突出特征。功能概览中,运维人员可是比较直观的通过重要安全事件监测进行全局把控,对于有深入安全需求的企业也可以通过H3C F1000-C-G2的策略调整实现精细化管控。
从当今网络安全市场来看,边界防护依然是IT运维管理人员倚重的最有效产品。而基于用户和基于应用的精细化管理以及面向移动终端的管理功能也很自然的成为下一代企业路由的必备功能。
H3C F1000-C-G2下一代防火墙由作为一款面向中型企业的产品,其高性价比和功能都十分适用于当前市场,多方位的安全防护、多维度的审计能力、多角度的高可靠性支持、多功能化的体系模块加上前瞻性的技术水平和充分把握用户心理的高度体验,使得这款产品不仅仅是作为安全设备而存在,更有艺术品的体验,也是让企业全面放心的工作伙伴。
关于:中科研拓
深圳市中科研拓科技有限公司专注提供软件外包、app开发、智能硬件开发、O2O电商平台、手机应用程序、大数据系统、物联网项目等开发外包服务,十年研发经验,上百成功案例,中科院软件外包合作企业。通过IT技术实现创造客户和社会的价值,致力于为用户提供很好的软件解决方案。联系电话400-0316-532,邮箱sales@zhongkerd.com,网址www.zhongkerd.com