ccidnet????

出版日期:2005-06-06 总期号:1417 本年期号:40

本期导读
要闻综合
中国信息化
网络与通信
产品与应用
渠道与市场
华东专刊
华南专刊
西北专刊
 清华比威UF-N207V防火墙评测

文 赛迪评测硬件与网络测试中心 何武红

  互联网的发展为我们的信息获取和传播提供了前所未有的便利,极大地促进了社会政治、经济、文化等各个领域的发展进步,随着政府、企业及个人对于互联网依赖程度的不断加深,网络安全已成为当前亟待解决的问题。作为网络安全的防护者,防火墙以其广泛的市场认知度,成为了用户用以保护内部网络安全的首选产品。

  对于防火墙的选择,不同用户的关注重点有很大不同,而对于一般的中小型企业用户而言,在功能和性能方面能够满足应用的前提下,价格也是他们最为关注的因素之一。近日,清华比威就面向这些中小企业推出了一款较高性价比的基于NP架构的百兆防火墙产品——UF-N207V。

  清华比威UF-N207V防火墙具有友好的配置界面、实用的产品功能、较高的安全性和性能,是一款面向中小企业应用的高性价比产品。

  产品设计

  清华比威UF-N207V采用嵌入式操作系统,具备非常高的安全性。由于NP处理器硬件功耗低,噪音低,无需风扇散热,这样也避免了由于防火墙散热问题造成的系统工作不正常、死机等问题。这款产品采用1U的机箱设计,在接口配置方面,它提供有console口,并提供了E2、E1、LAN1、LAN2、LAN3、LAN4和WAN共7个百兆RJ45口,可以满足用户不同的连接需要。

  功能设计

  在功能上,清华比威UF-N207V利用状态表跟踪每一个网络会话的状态,对每一个包的检查不仅根据规则表,更考虑了数据包是否符合会话所处的状态。因而提供了更完整的对传输层的控制能力。它能阻止畸形报文和拒绝服务,防止外部IP欺骗,可禁止员工上班时间查阅与工作无关信息。这款产品还支持透明代理,它具有多级过滤机制,能够提供HTTP、FTP、SMTP的应用代理。在防火墙的状态链中,不仅检测数据包的IP和TCP头,还会根据规则的要求对第七层协议的相关内容进行检测。

  同时,该产品也支持完整的NAT(网络地址转换)功能,如双向NAT功能以及IP地址与服务转换,提供IP映射的地址转换方式。其主要实现方法是对进入防火墙的数据包进行NAT规则的匹配,并根据规则将其源或目的IP地址与端口进行替换,达到内部或外部网络的路由要求。这种设计为用户带来的好处是可以隐藏内部的网络拓扑结构、对公开IP地址起到节约使用的目的,从而能够使外网访问到内网的指定主机。

  清华比威UF-N207V防火墙在功能上,除了具备防火墙的访问控制功能以外,还具有VPN功能。这款产品的VPN功能的实现采用了集成的VPN硬件加密引擎,可部署在中小网络出口,同总部网络建立双方静态IP和一方动态IP的端对端VPN连接。在加密算法方面支持主流的3DES(3DES-md5-96、3DES-shal-96)、AES(AES-md5-96、AES-shal-96)。

  清华比威UF-N207V防火墙还具有一个特色功能:虚拟防火墙功能VF(Virtual Firewall),它可以在一台物理防火墙设备上提供多个逻辑上完全独立的虚拟防火墙系统,每一台虚拟防火墙均可单独配置策略、帐户信息和日志审计等,每个VF都有独立的管理员及管理界面。根据虚拟防火墙的配置,来自不可信网络的数据会直接传输到具有相应的目标IP地址的虚拟防火墙上进行安全策略控制。从受保护网络到不可信任网络的流量,它们是基于相应的源IP地址,也会流经相应的虚拟防火墙根据安全策略传输出去。这样,每个虚拟防火墙为一个特定的用户群提供安全服务,各个用户群之间相互独立,可以各自维护自身的防火墙安全策略,进行安全审计,并降低用户的安全投资,以实现用户各系统、各部门之间的安全隔离与策略定制。

  在管理上,该产品易于安装,能通过Web浏览器或CLI(命令行)进行管理配置,也可以通过清华比威安全管理中心实现集中管理。通过Web方式管理防火墙时,有较强的安全措施。管理数据采用SSL加密传输,用户登录支持CA认证。可任意指定管理口、管理超时时间、登录失败次数,并设定禁止或允许管理的IP 、MAC地址。

  产品测试

  防火墙是一个网络中的网关设备,所以对它的数据转发能力有较高要求。在性能测试中,赛迪评测使用Spirent公司的SmartBits 6000B测试仪和SmartFlow测试软件,对清华比威UF-N207V防火墙的UDP双向包转发性能进行了测试,测试的时长均为120秒,在测试中, SmartFlow测试软件中设置了100对流来同时通过防火墙,以此来模拟正常的网络情况。该产品在1条规则和100条规则路由模式下,1280字节的双向吞吐量达到100%。

  清华比威UF-N207V防火墙内置VPN硬件加速引擎,在两台防火墙之间建立一条隧道的情况下,1024字节的双向吞吐量为25.258%、1280字节的双向吞吐量为29.56%,能够满足VPN用户的需求。通过清华比威UF-N207V防火墙可以高速、便捷地实现端对端、端对点的VPN互连。

  并发连接数的测试主要用来测试被测防火墙建立和维持TCP连接的性能,同时也能通过并发连接数的大小体现被测防火墙对来自于客户端的TCP连接请求的响应能力。通过测试,清华比威UF-N207V防火墙的最大并发连接数为282613个。厂商为了确保防火墙在实际应用中更稳定,将防火墙的最大并发限制在200000个连接。另外这款产品每秒可支持的新建连接数高达15500个。在正常使用中,完全可以满足企业的需要。

  在安全性方面,该产品有较强的DoS防御能力,提供7种安全策略专门针对Flood攻击和扫描,能有效提高防御能力。

  小结

  总体来讲,清华比威UF-N207V防火墙是一款便于安装、配置和使用的产品,其访问控制细粒度较高,而且功能也较为完善,同时还具有较高的安全性,其性能也能够满足中小企业的需求,是一款非常适合中小企业应用的防火墙产品。


  图1 清华比威UF-N207V防火墙


  图2 清华比威UF-N207V防火墙接口


  图3 清华比威UF-N207V防火墙管理界面


  图4 清华比威UF-N207V防火墙VF拓扑图