华为USG6370下一代防火墙独家评测

随着IT架构的变革,今天的企业网络正朝着移动化、大数据、社交化和云服务为核心的下一代网络演进。处于开放的前沿阵地,攻击者通过身份仿冒、网站挂马、恶意软件、僵尸网络等多种方式进行网络渗透,企业网络面临前所未有的安全风险。然而,传统防火墙在面对这些变革却无能为力,下一代防火墙的出现帮助企业很好的应对了这些挑战。

经过近几年的演变和发展,企业对于下一代防火墙的需求越来越广,特别是对于中小型企业来说,能拥有一台性价比高、运维简单、安全防护给力的下一代防火墙已经成为趋势。华为针对中小企业、连锁机构、企业分支、营业网点等类型的企业用户推出了USG6300系列下一代防火墙。USG6300系列集防火墙、IPS、AV、VPN、上网行为管理等功能于一体,可以为企业用户提供安全、灵活、便捷的一体化组网和接入解决方案。在本篇文章中我们将对USG6300系列中的USG6370型号下一代防火墙进行一个全面的试用和评测,以便帮助更多的中小企业用户对下一代防火墙的功能和性能有一个全方位的了解,对企业的产品选型提供参考依据。

USG6370评测介绍

  本次评测步骤:

一、USG6370外观介绍
二、USG6370特性介绍
三、USG6370防火墙配置
1、WEB方式登录
2、WEB界面介绍
3、设置互联网连接
四、USG6370防火墙功能
1、细粒度的访问控制
2、带宽管理
3、Smart Policy智能策略
4、基于位置的访问控制策略
5、DLP
6、VPN配置
7、性能监控
8、流量地图和威胁地图
9、实时升级中心
五、性能测试
六、评测总结

点击这里或下一页了解评测细节。

 

  一、USG6370外观介绍

华为USG6300系列下一代防火墙采用经典黑色外观设计,保持了一贯的严肃和大气,在保持传统工业深色调的同时彰显商务风格。标准1U机架,超薄的机身对于中小企业空间相对狭窄的机房和按机箱高度收费的托管机房来说,都具备很好的性价比。

一、USG6370外观介绍

管理口和控制口,Console口是配置设备使用的连接接口。当我们需要用到命令行界面进行设备管理时,需要用到此接口。电源指示灯POWER和状态指示灯RUN。加电后,电源指示灯一直为绿色,状态指示灯则为闪烁的绿色,当状态灯每2秒闪烁一次时,表示设备进入正常运行状态。

一、USG6370外观介绍

标准配置8个全千兆接口以及四个可扩展SFP高速光模块接口。

一、USG6370外观介绍

强有力的电源接口以及电源开关。设备的两侧设计成蜂窝状散热孔,加大设置内部的空气流动,有助于防尘。

一、USG6370外观介绍

一、USG6370外观介绍

 

  二、USG6370特性介绍

华为USG6300系列下一代防火墙共包含了7个型号,分别是USG6320USG6330USG6350USG6360USG6370USG6380USG6390,适应了不同规模的企业用户的需求。USG6300系列下一代防火墙除了规格上的不同,在产品特性上没有太大差别,以下是其特性介绍:

细粒度的访问控制:为了应对移动化、虚拟化、社交化,除了价值应用、用户和内容外,还应该感知位置、风险和设备等。随着配置维度的复杂化,管理会变为一个瓶颈。USG6300系列下一代防火墙提供独特的ACTUAL管控机制。通过六个维度进行管控:A是App,C是Content,T是Time,U是User,A是Attack,L是Location,不仅可识别6000多种应用,还可以识别应用中的威胁和攻击位置,提供细粒度的管控。

简单管理:华为的下一代防火墙提供了一种全新的管控视角,通过流量分析,自动识别网络中的应用,风险和问题,给出合理的意见和建议,方便使用者和管理者。主要体现在,1)预定义模板快速部署上线:通过对众多网络的调研和统计,华为总结了企业常见的安全防护场景,预定义了一系列安全策略模板,便于用户快速部署基于不同应用的安全防护。2)自动流量学习,自动化策略建议:根据网络流量环境和应用风险,遵循最小权限控制原则,自动生成策略优化建议。3)策略精简取冗余:通过静态和动态的策略分析,发现冗余、失效的策略,有效控制策略规模,简化管理。

安全防护:在全面防护方面,华为利用遍布全球的安全中心,拥有丰富的可疑样本来源,不仅要识别应用,还要识别应用威胁、识别风险、以及识别未知威胁,要拥有APT的防御技巧和手段。在云端采用沙箱技术,在模拟环境中监控可疑样本的运行行为,高效发现未知威胁。

高性能:下一代防火墙的基础性能是在同时开启防火墙和应用识别时的产品性能,开启应用识别后的性能,才能代表NGFW的基本性能。用过华为设备的朋友都知道,性能问题在华为产品上从来不需要担心,USG6300系列也是如此,覆盖1G-8G应用层性能,最高达4G全威胁防护性能。电信级的硬件设计水平,配合单通道并行处理架构,再搭配将网络流量和内容处理分布式处理的双定制芯片,足可以保证在全威胁开启时性能衰减不高于50%。

 

  三、USG6370防火墙配置

USG6300系列防火墙主要定位于中小企业用户,华为充分考虑到用户的体验,用户可以利用WEB配置界面很方便的对防火墙进行必要设定,整个设置过程相当简单。当然,如果您熟悉命令行配置方式,也可以连接Console口或者是CLI控制台进行配置。下面我们就以WEB界面为例简述此设备的配置,静下心看下去,相信您一定会有所收获。

  1、WEB方式登录

管理员将网线的一端连接设备的MGMT口,也就是管理接口;另一端连接电脑的网卡接口。

三、USG6370防火墙配置

加电后,电源指示灯一直为绿色,状态指示灯则为闪烁的绿色,当状态灯每2秒闪烁一次时,表示设备进入正常运行状态。

三、USG6370防火墙配置

电脑会自动得到一个192.168.0.0网段的IP地址。打开浏览器,推荐使用IE7.0及以上版本、Mozilla5.0及以上版本浏览器。在地址栏中输入:https://192.168.0.1,忽略浏览器的证书安全提示,点击继续浏览此网站,就可以看到如下图所示的界面:

三、USG6370防火墙配置

在登录界面输入用户名:admin,密码: Admin@123,然后单击“登录”进入设备的WEB管理界面。首次登录必须按提示修改密码,如下图所示:

三、USG6370防火墙配置

 

  2、WEB界面介绍

通过HTTPS登录到Web界面之后,就可以实现对设备的管理和配置,但需要先熟悉WEB界面的一些觉见元素,如下图所示:

三、USG6370防火墙配置

整个窗口还算清晰,明白人不用细说,如果在实际操作中有某些功能或者是按钮不明白其意义可以点击右上角的“帮助”寻找支持。

  3、设置互联网连接

成功登录到管理界面之后,会自动弹出“快速向导”界面,如下图所示:

三、USG6370防火墙配置

点击下一步,将开始配置,首先会让用户修改计算机名,如下图所示:

三、USG6370防火墙配置

在正确配置系统时区和时间之后,将进入互联网接入方式选择页面,如下图所示:

三、USG6370防火墙配置

 

根据相应的接入互联网方式填写相关的参数,在此我的环境使用的PPPoE方式,因此会弹出与PPPoE相关的配置,选择上网接口,即连接外网网线的接口,运营商提供的用户名和密码,如下图所示:

三、USG6370防火墙配置

设置好上网接口后,我们还需要设置局域网接口,即内网员工使用的接口,在此我使用的是GE1/0/1接口,并且使用的IP地址是:10.0.0.1\24,如下图所示:

三、USG6370防火墙配置

那么,如果我内网有多台客户端需要同时上网,IP地址如何分配呢,那么咱们的USG6300自带有DHCP功能,如下图所示:

三、USG6370防火墙配置

下一步之后,弹出核对配置信息界面,以拓扑图的方式显示配置信息,真心要赞一个,不错!

三、USG6370防火墙配置

确认无误后,点击应用,接入互联网的操作就完成了,整个过程一气呵成,干净利索。配置完成后,客户端就可以上网畅游了。

 

  四、USG6370防火墙功能

  1、细粒度的访问控制

USG6300系列下一代防火墙可以实现6维管控视角,6000+应用识别的访问控制。下面,我们就要体验一下它的访问控制功能。很多公司都有控制员工访问外网的需求,例如有的公司不允许员工访问游戏网站,有的公司不允许员工使用QQ等即时通讯工具,有的公司禁止员工下载视频文件,还有的公司只允许访问自家的门户网站…..这些需求都可以很轻松的通过防火墙策略中的访问规则来加以实现。既然如此,那我们赶紧来写上几条访问规则测试一下吧。别急,访问规则是由策略元素构成的,我们要想写出访问规则,首先要掌握策略元素,USG6300内置了地址和地址组、域名组、地区和地区组、服务和服务组、用户和用户组、应用和应用组、时间段等多种元素供用户使用,下面咱们就看几个实例:

实例:允许人力部门员工在工作时间,禁止QQ聊天。那么这里就用到了多个防火墙元素,如用户、时间、应用等,首先要根据需要创建相应的元素,如用户,我们需要先创建一个HR的用户组,在此组中批量创建用户,如下图所示:

四、USG6370防火墙功能

用户的认证类型,可以使用“本地认证”或者是“服务器认证”,本地认证指的是由防火墙来认证用户,因此需要在防火墙上创建用户;“服务器认证”表示由认证服务器来认证用户,这里的认证服务器可以是RADIUS服务器、微软的AD服务器、LDAP服务器、SecurID、TSM服务器等主流的认证服务器

在应用和应用组选项卡中,我们可以看到此设备自带大量的应用元素,如下图所示:

四、USG6370防火墙功能

在这张图中可以看到,共有6015条应用相关的元素,如果不满足用户需要,还可以自定义创建。至于,其他元素操作方法类似。那么接下来就是创建访问规则了:

四、USG6370防火墙功能

那么,我们让客户以user01身份登录,再次登录QQ进行测试,如下图所示:

四、USG6370防火墙功能

 

  2、带宽管理

内网用户访问Internet时,所需的带宽远大于企业从运营商租用的带宽,存在带宽瓶颈。另外,P2P业务类型的流量消耗了绝大部分的带宽资源,致使关键业务得不到带宽保证。Internet用户访问内网服务器时,大量的针对内网服务器的访问需求导致服务器性能降低,无法正常提供服务。因此,需要对网络带宽进行管理。下面的例子,针对每用户进行网络限速,在限制之前,我们先看一下用户通过迅雷的下载速度:

四、USG6370防火墙功能

在限速之前,下载速度还是比较喜人的,但是企业中如果有这么几个用户同时下载的,其他用户就要遭殃了,因此,限速是必须要做的,利用USG6300进行限速还是很简单的,首先,我们创建一个带宽通道:

四、USG6370防火墙功能

在这个界面中,我们指定了每个IP的上行最大带宽和下午最大带宽限制在100Kbps,然后,再创建带宽策略,引用刚才创建的带宽通道,如下图所示:

四、USG6370防火墙功能

再次回到迅雷下载界面,可以看到,速度已经降下来了,如下图所示:

四、USG6370防火墙功能

 

  3、Smart Policy 智能策略

一般来说,随着防火墙功能的增加,则管理就会变得更加复杂。为了降低USG6300系列下一代防火墙的使用复杂度,华为通过总结企业自身上万条的防火墙管理经验,实现了智能策略优化Smart Policy技术,使其具备业界最简单的安全管理能力。Smart Policy解决了安全策略管理方面的核心问题,即:如何快速部署安全策略?部署的策略是否有效,如何调整?如何清理低效和无用的策略,控制策略规模?如下图所示:

四、USG6370防火墙功能

网络管理员只需要知道,针对哪些对象,进行何种控制?就能快速生成安全策略,避免了关键信息泄露。当防火墙经过一段时间的实际工作后, Smart Policy 会收集网络流量的统计数据,结合原始策略做分析,然后分别基于应用进行策略冗余分析、策略命中分析以及应用风险调优,帮助网络安全管理员找出冗余和长期不使用的策略,使得防火墙始终工作于简洁而有效的工作状态。下图显示的就是策略冗余分析的操作截图:

四、USG6370防火墙功能

管理员只需要点击“策略”---“安全策略”—“策略冗余分析”,设备就会将高优先级的策略依次与低优先级的策略进行遍历比较,以分析是否存在冗余策略。另外,Smart Policy基于流量分析的应用风险调优对于管理员来说也是非常实用的功能(如下两图),展示了智能调优和策略调优处理的界面:

四、USG6370防火墙功能

四、USG6370防火墙功能

 

  4、基于位置的访问控制

在前面的设备特性部分,我们介绍到USG6300系列下一代防火墙可以通过六个维度进行安全管控,其中一个维度就是位置,即管理员可以很方便的以地区为单位创建访问控制策略,带宽管理策略以及审计策略等。

四、USG6370防火墙功能

地区识别特征库会随着系统软件不定期发布,管理员可以通过手动加载的方式进行更新。

四、USG6370防火墙功能

当需要对多个地区同时进行控制时,可以创建地区组然后在策略中引用此对象,地区组的成员可以包括预定义地区、自定义地区和嵌套的地区组。

  5、DLP

随着移动化、BYOD技术以及Apps的迅速推广,企业网络架构越来越复杂,网络安全的压力提升到了一个新的台阶。员工在使用互联网的过程中难免会上传或者是发布公司的机密信息至外网,导致公司机密泄露,或者是使用邮件、论坛、微博时对公司造成不好的影响甚至法律风险。华为的USG6300下一代防火墙设备可以保证公司员工正常访问互联网,又能对员工接收和发送的信息内容进行过滤,以达到DLP(数据防泄露)的目的。实现方法非常简单,在定义内容过滤配置前定义关键字组,然后在定义内容过滤配置时引用关键字组。所谓关键字组就是需要过滤的关键字的组合,选择“对象”---“关键字组”,然后单击“新建”,即可配置关键字组,如下图所示:

四、USG6370防火墙功能

然后,管理员可以根据需要,对应用或者是文件在上传或者是下载方向上针对关键字组进行过滤并采取不同的响应动作。

四、USG6370防火墙功能

  6、VPN配置

移动互联网的发展达到了前所未有的规模,在家办公和移动办公被越来越多的企业所接受,VPN给企业提供了一种安全且方便的技术以满足公司员工、客户在企业之外实时安全地访问公司的内部信息和应用程序。展开USG6300设备的菜单,我们可以看到支持多种VPN类型,如IPSEC、L2TP、GRE、DSVPN、SSL VPN等,如下图所示:

四、USG6370防火墙功能

我们在此将GE1/0/2接口所处的网络规定为VPN 网络,在此需要为此网络定义一个IP地址,172.16.0.1/24,下一步之后,继续配置业务功能,如下图所示:

四、USG6370防火墙功能

网络扩展功能通过在客户端安装虚拟网卡,从SSL VPN网关获取虚拟IP地址,实现了对所有基于IP的内网业务的全面访问。用户远程访问内网资源就像访问本地局域网一样方便,适用于各种复杂的业务功能。

四、USG6370防火墙功能

接下来需要为VPN 拔入用户指定IP地址,以及能够访问的内网网络地址,当然最后不要忘记创建安全策略,允许VPN客户拔入到VPN网关,如下图所示:

四、USG6370防火墙功能

看了上面的操作之后,相信你也可以很快捷的创建一个SSL VPN,使用户能够在企业外部安全、高效的访问企业内部的网络资源。以上只是把USG6300中的几个常用功能做了一个简单配置,但USG6300系统防火墙的功能远不仅如此,限于篇幅,不能详述。

 

  7、性能监控

四、USG6370防火墙功能

USG6300系列下一代防火墙提供了形象的监视窗口,在本窗口可以查看设备上接口和指示灯的状态。可以很方便的查看CPU、内存、CF卡以及硬盘的资源使用情况。

  8、流量地图和威胁地图

管理员还可以通过查看日志和报表来获知当前使用网络的用户、应用、安全事件以及流经网络的通信流量特征,并根据日志详情和报表统计分析结果进行相应的防护控制。这其中有两个亮点需要介绍一下,流量地图和威胁地图。

流量地图形象地展现了流量在全球范围内的分布态势,可以具体查看流量排名、大小、走向、源地区以及目的地区等信息,为管理员进一步操作提供依据,如下图所示:

四、USG6370防火墙功能

上图中默认显示的是国家级别的总体流量,管理员还可以单击相应的地图进一步查看省市的流量分布。管理员可以根据对应地图的数据流量分布,进一步采取控制措施。

威胁地图则宏观展现了网络中的威胁数据分布情况,管理员可以查看发起攻击和被攻击的地区以及详细的攻击信息,操作方法也非常简单,选择“监控”---“威胁地图”,则显示如下图所示的界面:

四、USG6370防火墙功能

同流量地图类似,管理员还可以单击相应的地图进一步查看省市的威胁分布。还可以在某个区域继续查看攻击者以及被攻击者的详细信息。

同时作为一款智能防火墙, USG6300系列产品能够提供警报机制,在检测到入侵或者是设备运行异常时,可以邮件等方式通知管理员采取必要的措施。

  9、实时升级中心

四、USG6370防火墙功能

为了提供网络安全设备的动态安全防御功能,USG6300系列防火墙通过自带的升级中心可以很方便地将特征库升级到指定版本,及时升级特征库可以提升设备对入侵行为、病毒、应用和IP地址所属地区的检测能力和检测效率,为企业的核心应用提供#FormatImgID_47#固若金汤的安全防护。

 

  五、USG6370性能测试

通过前面的特性以及功能介绍,可以看出USG6370确实是不负众望。另外,防火墙的性能也将直接影响到企业网络的正常应用,下面,我们将对USG6370的吞吐量和并发等主要参数进行测试。

在测试USG6370的吞吐量时我们使用IXIA测试仪,RFC2544模板,端口port_1和端口port_2发送双向流量穿越防火墙,分别测试#FormatImgID_48##FormatImgID_49#64bytes,1518bytes字节时的吞吐量。

五、USG6370性能测试

在进行新建、并发、以及IPS的实际吞吐量测试时,我们使用了思博伦avalanche测试仪,port_1作为client,port_2作为server,流量穿越防火墙,使用http get测试。

五、USG6370性能测试

五、USG6370性能测试
▲8.9W新建

五、USG6370性能测试
▲400W并发

五、USG6370性能测试
▲IPS吞吐量2.4G

下表是我们针对USG6370的实际测试结果:

五、USG6370性能测试

通过实际测试我们可以看出,USG6370 每秒所能够处理的新建连接请求的数达89000条,防火墙最大并发数达4百万,作为一款中小企业防火墙单位时间内可以达到此性能还是很了不起的。

通过网络层吞吐量流量的统计,我们可以看出此款防火墙在测试数据帧为1518字节时,吞吐量达到4Gbit/s,数据帧为64字节时吞吐量达到1.4Gbit/s,显示出了十分强劲的网络层数据转发处理性能。针对中小企业防火墙来说,完全可以满足500台左右客户端的使用环境,这样的测试结果是非常令人满意的。

 

  六、测试总结

到了这里,本次评测就要结束了,下面我们针对此次的评测做个总结:在性能方面USG6370轻松实现4G吞吐量,每秒新建连接数高达89000条,可存储400万个最大并发。功能方面USG6370提供独特的ACTUAL管控机制、Smart Policy智能策略优化、基于应用或者是文件内容的数据防泄露功能、VPN功能、可视的监视窗口以及流量地图和威胁地图、轻松识别6000+的应用。

如今的企业网络,早已不再是数年前的“江湖”,传统的安全老三样也不再是企业安全的守护神,企业用户需要的是一款能在这场IT变革的大潮中帮助企业用户从容应对一切安全挑战的防护设备。而华为USG6370下一代防火墙无论从性能上来看,还是从功能、简化运维等功能方面来说,都是一款与时俱进的产品,相信对于大多数中小企业用户来说,这会是一个不错的选择。