安全智聯 超越無限——H3C F5000-AK515防火牆功能評測

至頂網報道

作者：董培欣

現如今防火牆在一個企業中已經不只是安全防護這一個單一的角色。隨著企業分支機構的增長和移動信息化的技術發展。利用防火牆建立起一條條與分支機構可靠互聯的安全通道，實現企業與分支機構間的信息共享，自如溝通是當前防火牆產品所需要擔負起的另一個重要使命。紫光旗下新華三集團（以下簡稱「新華三」）最新推出的支持雙主控，具備電信級高可靠性的H3C F5000-AK515防火牆就是這樣的一款產品。

H3C F5000-AK515防火牆

豐富介面滿足多種連接需求

H3C F5000-AK515防火牆主機高度為2U，自帶4個SFP/GE COMBO介面，同時對外提供兩個主控和6個可擴展介面槽位。可適配介面卡類型包括：4埠千兆電（自帶bypass功能）、8埠千兆電、8埠千兆光、8埠萬兆光、4埠千兆光4埠萬兆光，2埠40G介面卡六種。用戶可以根據需求靈活選擇介面板類型。

除此之外，新華三防火牆從低端到高端全系列產品均支持豐富的介面類型。低端F1000系列除了自帶介面，還可以配置3種類型的介面卡：4埠千兆電（自帶bypass功能）、4埠千兆光和4埠萬兆光，進行介面擴展。

同時為了滿足用戶採用IPv6協議進行數據傳輸的應用需求，無論是在新華三的高端防火牆還是低端防火牆產品中，均已加入對IPv6協議的支持。

零配置國密智能專線保障用戶可靠連接

國密演算法SM1、SM2、SM3和SM4是國家密碼管理局認證的商用密碼演算法，某些涉密場景對信息保密程度要求較高，需要使用國密加密演算法。在H3C F5000-AK515防火牆的IPSecVPN功能中，就可以支持使用國密演算法做加解密和認證，滿足用戶高安全性要求。

但IPSec VPN的連接建立畢竟還是比較複雜，一些中小企業和分支網點有可能不具備這種安全運維能力。這時候，只需要總部系統管理員做好配置後，將文件發給分支網點人員，讓他們將設備加電並插好網線，然後將配置文件拷貝到U盤並插到設備上，再重新啟動設備，分支網點的設備就可以自動配置完成了。並且新華三的防火牆還可以和新華三的統一管理系統配合，實現配置統一下發和零配置上線，滿足分支網點或者中小企業零配置上線需求。

此外，新華三防火牆的IPSec還支持智能選路功能。可以實現多條IPSec隧道間動態切換。當網關設備之間存在多條可通信的鏈路，使用其中一條鏈路建立IPSec隧道後，網關設備能實時檢測已有IPSec隧道的時延和丟包率。在時延和丟包率高於設定的閾值時，動態切換到備用鏈路上重新建立IPSec隧道。用戶在切換過程中無感知。並且新華三防火牆支持根據acl自動建立隧道，無需流量觸發，滿足部分用戶要求隧道一直存在的需求。

同時，新華三的防火牆還可以支持SSL VPN功能，用戶可通過互聯網，使用內嵌SSL協議的瀏覽器與遠端的Web伺服器建立安全的連接，訪問內部資源。企業或機構可通過SSL VPN來為移動用戶或者外部用戶提供訪問內部資源的服務並保證安全性。

用戶可以通過IP/TCP/WEB三種方式接入到SSL VPN之中，可以滿足不同用戶、在不同場景中的使用需求。並且IP客戶端可以和新華三 EMO+EIA伺服器配合，實現認證、終端安全檢測、遠程桌面和應用發布等功能，滿足企業移動辦公需求。

並且新華三防火牆支持SSL卸載功能，客戶端的HTTPS請求命中防火牆上的SSL解密代理策略時，防火牆將作為代理伺服器與客戶端進行SSL握手，建立一條SSL連接。同時，防火牆作為代理客戶端與伺服器進行SSL握手，建立另一條SSL連接。後續客戶端和伺服器之間傳送應用數據時，防火牆首先對客戶端（或伺服器）發來的HTTPS流量解密，完成內容安全檢測和審計後重新加密發送給伺服器（或客戶端）。

4G+動態鏈路 上網靈活認證便捷

除了通過固定IP與外網進行連接之外，為了節省成本，很多企業尤其是一些小企業和分支機構都會選用PPPoE或者4G上網等方式進行相互間的數據傳輸。而傳統的出口鏈路負載分擔，主要針對較大用戶的固定IP地址，他們的IP地址及下一跳IP地址都是靜態配置的。這樣採用PPPoE動態獲取的IP地址，就無法實現鏈路負載均衡的功能。

而新華三防火牆可以支持指定出介面為PPPoE鏈路，在outbound鏈路負載、DNS透明代理的時候支持調用PPPoE撥號鏈路，並在此基礎上運行防火牆業務，從而實現動態鏈路的負載均衡功能。

同樣，在新華三的低端防火牆中，還具備支持4G上網的能力，滿足中小企業和分支網點等場景的上網需求和鏈路備份需求。

風險調優、冗餘分析讓用戶的防火牆更加便於管理

安全管理畢竟是一門複雜的學問，有多少企業因為缺乏專業性的網路安全管理人才，而不得不將防火牆僅僅當作路由器和VPN來進行使用。新華三防火牆的應用風險調優功能，可以解決用戶安全管理的難題，成為用戶網路安全的好管家。

應用風險調優功能是當管理員對內網流量情況了解不全面的情況下，可先在設備上配置寬泛的安全策略，流量經過防火牆一段時間以後，識別出當前網路環境下流量的應用類別和應用風險。根據應用的風險級別和安全風險生成調優建議。

除了應用風險之外，在防火牆的長時間使用過程中，往往會積累下大量的網路安全策略，這些策略是否依然有效，很難一一去進行判斷，這就需要有一種智能化的策略分析功能來對這些安全策略進行冗餘分析。

新華三防火牆也為用戶提供了這樣的策略冗餘分析能力。可以對設備配置的已啟用的安全策略進行比對判斷，得出哪些冗餘策略，最終向用戶展示出被冗餘策略和冗餘策略，用戶可以對其進行修改或刪除。

並且還可以通過策略命中分析功能，分析出指定時間段內的安全策略是否被命中過，並將未命中的安全策略按照從高到低的優先順序順序呈現，以幫助管理員對設備上的安全策略進行深度分析和處理。幫助管理員清理長期存在的無用策略，或者了解網路流量情況。

雲端防護應用無憂

用戶的網路業務應用，不但對網路連接安全有著很高的要求，對網路應用的安全同樣不能忽視。新華三防火牆在為用戶提供了連接安全的同時，也具備了防病毒、URL過濾等應用安全功能，在保障用戶網路安全的同時，也提高了用戶應用安全的防護能力。

新華三防火牆支持本地百萬級別的病毒識別，具備高識別率，和開啟防病毒時設備的高處理性能。同時，新華三下一代防火牆還支持病毒雲查殺功能。流經設備的報文首先會與該防病毒策略中的規則匹配。如果匹配失敗並且在防病毒策略中使能雲端查詢功能，則觸發雲查詢。

同時新華三防火牆還提供了多級Cache的方式來完成和部署URL分類過濾功能。幫助客戶用最高的性能和最節省的成本實現海量URL的分類和過濾。在設備本地URL庫中能夠找到對應分類的URL不再去往雲端URL查詢，設備本地URL庫會隨著用戶的訪問習慣和互聯網的變化進行優勝劣汰，但本地URL庫的規格保持穩定。

報文示蹤、網頁診斷協助用戶定位故障溯本追源

在網路應用中，難免會出現一些未知的網路故障，需要管理員去花費大量時間進行排查。在這方面新華三防火牆提供的報文示蹤和網頁診斷功能可以有效的解決此類問題的出現。

報文示蹤功能可以根據用戶需求，配置入介面、源IP地址、目的IP地址、源埠、目的埠、協議等過濾條件，對進入設備的報文，進行示蹤，將報文在設備中的路徑清晰展現出來。該特性提供真實流量、導入報文和構造報文三種診斷方式，滿足用戶不同場景需求。

當網路出現故障時，網路管理員可以根據經過設備的真實流量進行追蹤和分析。或者通過捕獲的文件（必須是「.cap」或「.pcap」格式的文件）對報文進行分析，對報文被處理的過程進行回放。還可以通過構造報文的方法，驗證和查看已配置的安全業務功能對此報文的處理結果。通過這些方式滿足用戶不同場景的故障定位需求。

當內網用戶訪問網頁出現故障時，網頁診斷可以通過一鍵診斷功能對網頁訪問故障進行快速、系統的排查和分析，並輸出簡單易懂的故障提示信息，方便管理員處理網路故障。

多虛一、一虛多的高可靠性統一管理

SCF是新華三自主研發的軟體虛擬化技術。它的核心思想是將多台設備連接在一起，進行必要的配置後，虛擬化成一台設備。使用這種虛擬化技術可以集合多台設備的硬體資源和軟體處理能力，實現多台設備的協同工作、統一管理和不間斷維護。

SCF技術可以把多台防火牆虛擬成一個「聯合設備」，使用和配置都如同一台設備，而且擴展埠數量和交換能力，同時也通過多台設備之間的互相備份增強了設備的可靠性，提供毫秒級的鏈路收斂能力。簡化了管理過程，降低管理成本，並可根據實際需求平滑擴容網路容量。支持基於硬體的豐富的故障檢測機制，實現毫秒級鏈路故障檢測。另外新華三的SCF虛擬化技術還可根據組網的要求支持長距離（80KM）的普通乙太網萬兆光纖堆疊。

此外，新華三防火牆還可以通過唯一的OS內核對系統硬體資源進行管理，每個虛擬防火牆作為一個容器實例運行在同一個內核之上，容器之間運行空間獨立，具備獨立的控制平面、管理平面和數據平面，所以相比傳統的基於VPN實例進行部分業務改造的虛擬防火牆技術，H3C的虛擬防火牆的功能與實體牆功能一致，是真正的虛擬化。

在虛牆資源分配方面，除具備傳統的介面、VLAN等邏輯資源外，基於統一的OS內核，可以細粒度的控制分配給每一個虛擬防火牆的CPU、內存、存儲等硬體資源，值得一提的是分配虛牆的CPU資源是可保證的，不會被其他的虛擬防火牆搶佔。對用戶而言相當於具備了一台獨立的物理防火牆。同時根據各虛擬防火牆業務需求能力的變化，root管理員還可以動態對分配給虛擬防火牆的資源進行在線調整。獨有的介面虛擬化技術為VPC應用場景量身定製，相比業界採用IPSec VRF aware技術更符合雲服務提供商的業務開展模型。

下面我們對新華三防火牆「版本不間斷升級」和SCF功能進行驗證。

我們首先將兩台H3C硬體防火牆虛擬成了一個邏輯上的防火牆，然後分別對其進行備份控制板版本升級、主備控制板相互切換、和訪問鏈路切換三個動作。下面測試圖顯示，在備份控制板版本升級時沒有傳輸丟包現象出現，在主備控制板相互切換時，僅出現了一個ping包丟失，在傳輸鏈路切換時，ping包丟失數量為5個。顯示出了出色的鏈路數據傳輸的保障能力。

備份控制板版本升級未丟包

主備切換丟包1個

鏈路切換丟包5個

事無巨細，有容乃大

安全設備的日誌、報表等信息在日常運維過程中尤其重要，常見的解決方案是將日誌輸出到日誌伺服器做統一的存儲，但是這種解決方案無法滿足所有用戶的要求。隨著網路安全的重要性增強，用戶的安全意識逐漸提高，越來越多的用戶逐步開始部署安全設備，本地日誌存儲和報表分析的需求也越來越多。

H3C F5000-AK515防火牆配備了大容量硬碟，標配480G SSD硬碟並支持雙硬碟擴展，為日誌本地存儲和本地報表分析提供了充裕的硬體基礎。

高可靠、高安全、智能維護為用戶創造無限網路應用空間

通過對H3C F5000-AK515的功能性測試我們可以了解，在網路連接方面，F5000-AK515提供了豐富且具備多種不同類型的網路介面，可滿足不同類型的網路應用。並且可以和其低端防火牆利用4G或PPPoE等方式靈活進行組網。在連接可靠性方面，可以通過國密加密演算法的支持，為企業提供可靠的虛擬鏈路保障。在網路安全管理方面，可以通過風險調優、冗餘分析功能讓用戶更加便捷的對防火牆進行管理，並且可以通過防病毒、URL過濾等方式保護用戶網路應用的安全。並且可以通過報文示蹤、網頁診斷功能迅速對網路問題進行定位，減少用戶網路故障的排查時間。多虛一、一虛多的統一管理功能，又可以為用戶帶來高可靠性和靈活易用的防火牆使用模式。而大容量的海量日誌存儲功能又可以為用戶提供充裕的日誌存儲空間，滿足用戶日誌報表分析的需求。

通過上述功能評測可知，H3C F5000-AK515產品所提供的高可靠性、高安全性、高可維護性解決方案，必然可以滿足目前大型園區網和數據中心用戶的實際應用需求，為這些用戶創造出無限寬廣的網路應用空間。

-END-

至頂網

一個談新技術和新商業模式的信息服務平台，致力於記錄和推動數字化創新，服務CIO、CTO等技術和商業的決策者、從業者。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！