华为USG5100E系列产品是华为技术有限公司推出的一款面向大中型企业的千兆级统一安全网关。USG5100E基于业界领先的软、硬件体系架构,基于用户的安全策略融合了IPS、AV、URL过滤、应用程序控制、邮件过滤等行业领先的专业安全技术,可精细化管理1200余种网络应用,全面支持IPv6协议,为用户提供强大、可扩展、持续的安全能力。在政府、金融、电力、电信、石油、教育、工业制造等行业得到广泛应用。
USG5100E系列产品包括USG5120E,USG5150E和USG5160E三个型号产品,均为模块化设备,提供多个扩展槽,支持多种I/O模块选配。同时支持多种接口卡,包括FE/GE/E1/CE1/ADSL/串口卡等,按使用槽位的不同,分为MIC、DMIC(双MIC高)、FIC、DFIC卡(双FIC高)。
本次中关村在线评测室选用的USG5120E,是华为USG5100E系列产品的2U平台的产品,设备标配6GE+2GE Combo接口,适应大多企业的组网需求;设备支持7个扩展槽位,支持FE/GE/E1/CE1/ADSL/WIFI/3G等接口扩展,满足企业的多种接入需求。
华为USG5100E系列产品提供专业、完善的防火墙功能。提供安全区域划分、静态/动态黑名单功能、MAC和IP绑定、访问控制列表(ACL)和攻击防范等基本功能,还提供基于状态的检测过滤、虚拟防火墙、VLAN透传等功能。能够防御ARP欺骗、TCP报文标志位不合法、Large ICMP报文、SYN flood、DNS flood、地址扫描和端口扫描等多种恶意攻击。
华为USG5120E
华为USG5100E系列产品节能稳定、绿色环保,通过RoHS绿色环保认证,为中小企业降低设备运维费用基于电信级的硬件平台,超过11万小时的平均无故障时间,保障业务连续性基于华为10余年全球商用的软件平台,成熟稳定为满足客户业务发展需求。
华为USG5100E系列产品提供智能上网行为管理和全面的流量管理功能,支持1200+种应用协议的识别,能精确检测迅雷、QQ、MSN、股票软件等应用程序,提供基于用户和应用的限速、阻断等多种控制方式,保障网络核心业务正常运行。海量网站过滤,URL库高达6500万条,搜索引擎关键字过滤、页面关键字过滤,规范员工上网行为、减少企业法律风险。
华为USG5100E系列产品简单易用,采用以用户为核心的安全策略配置,基于用户的访问控制、限流、网络应用控制和内容安全、策略路由等技术,提供细粒度的控制权限一体化安全策略,所有配置统一入口,减少跳转,快速部署基于WEB界面的专业配置向导,支持集中管理配置与安全审计,全面简化管理员操作流程。
华为USG5120E评测项目
本次评测我们主要从两个方面进行评测,一方面测试华为USG5120E的性能,另一方面测试华为USG5120E的功能。"工欲善其事,必先利其器",要完成华为USG5120E评测项目,我们需要专业的测试资源环境:
主要测试仪器
主要测试软件工具
测试环境:思博伦评测中心
思博伦概念验证实验室(Spirent Proof of Concept, SPOC)全球网络将为客户提供业界领先的测试设备、解决方案和专业化服务能力,使设想变为现实。遍布全球的实验室网点,将为您提供全新的测试设备和领先 的测试技术进行您所需要的测试验证,无论是一致性测试、功能测试、还是性能测试,都需要具备数以百计的千兆以太网或万兆端口,思博伦概念验证实验室将帮助 客户缩短开发周期、改善质量并加快产品投放市场的速度。
思博伦概念验证实验室
思博伦概念验证实验室(SPOC)可提供全系列的测试产品,包括Spirent TestCenter、Avalanche、Landslide、Abacus等全新测试平台。思博伦全面的测试设备组合能够帮助客户进行全系列的应用测试,从以太网上的光纤通道(FCoE)到运营商以太网、再到WiMAX,可谓包罗万象。
思博伦概念验证实验室
思博伦概念验证实验室(SPOC)除了提供全面测试设备与方法,同时它还是一个协作中心,允许客户在思博伦提供的优良环境中汇聚资源,设计并开发全新的测试解决方案,以应对全新的、令人兴奋的测试挑战。
评测实景照片:
评测实景照片
评测实景照片
评测实景照片
通过协作,不仅可以改善生产效率、缩短产品投放市场的时间,还可以在持续发展的技术环境中探讨共同感兴趣的测试话题。
性能参数是网络安全设备极其重要的一个指标,在评测USG5120E的性能参数中,以最大并发用户数和设备的实际吞吐量最为重要。对华为USG5120E这种大中型产品评测项目,我们采用思博伦通信的Avalanche 设备进行测试,通过专业性能测试仪器的考验来真正展示该设备的实力。
华为USG5120E并发性能测试:
在本项测试中,我们采用业界普遍认可的思博伦通信公司的Avalanche 3100B等专业测试仪器,Avalanche OS Version为2.6.10,控制软件版本号为3.90。考察华为USG5120E在开启防火墙模块、NAT工作模式等状态下的新建连接速率、最大并发连接数。
新建连接速率是测试一个网络设备所能承受最大新建速率的基本指标。新建连接速率说明了华为USG5120E在不丢失连接的基础上每秒能够成功处理的最大连接数,其测试结果的单位是连接/秒。
测试时,我们以Avalanche 3100B模拟内网客户机以不同速率,向外网模拟的Web服务器发送HTTP请求,并下载64字节的页面做有效性验证。通过二分法找到,华为USG5120E处理性能的极限情况,我们取极限情况下负载稳定期内的60秒平均值作为新建连接速率的测试结果。
最大并发连接数是测试一个网络设备所允许的最大并发连接容量的基本指标。最大并发连接说明了华为USG5120E在不丢失连接的基础上所能处理的最大连接数。这个指标除了和新建连接速率有关外,还和华为USG5120E本身的内存容量、连接数据存储结构有关。
测试时,我们以Avalanche 3100B模拟内网客户机,向外网模拟的Web服务器发送HTTP请求,并于Web服务器段设置每个连接的等待时间,以维持那些新建的连接,直到华为USG5120E达到并发处理的最大上限。
性能测试仪:新建并发应用层测试仪:Avalanche 3100B
性能测试仪:新建并发应用层测试仪:Avalanche 3100B
Avalanche OS Version为2.6.10,控制软件版本号为3.90
并发测试结果:配置爬坡时间为50s,配置最大并发数为220W,保持60s,下降时间设置为60s。通过结果可以看到按此配置测试成功,最后USG5120E测试结果为220W的最大并发数。
华为USG5120E吞吐量性能测试:
应用吞吐量是衡量网络设备对应用层数据处理能力的基本指标。测试时,我们使用Smartbits6000C吞吐量测试仪,测试华为USG5120E的应用吞吐量。为了测试USG5120E综合处理效率,我们还同时开启防火墙、VPN、防病毒以及入侵检测等模块进行应用吞吐量测试。在隧道建立后,我们要求USG5120E开启防病毒和入侵检测,对其内部传输的数据进行分析。
吞吐量测试仪
吞吐量测试仪
华为USG5120E性能测试结果:设置目标新建值为10W,爬坡时间为30s,保持时间为100s。通过结果可以看出,USG5120E可以稳定保持在10W新建,最终新建测试结果为100000 c/s,吞吐量测试结果为64bytes包长时吞吐量为1Gbps,1518byte包长时吞吐量为4Gbps。
华为USG5120E邮件过滤:
USG5120E拥有强大的反垃圾邮件能力,保护企业邮件服务器安全。根据邮件正文、标题、关键字、附件属性来控制员工的邮件行为,避免邮件泄密和不安全因素的引入。同时,USG5120E细致的行为审计可对各种P2P/IM、网络游戏、邮件和数据传输等行为提供细致的监控和记录,实现细粒度的网络行为审计管理。
华为USG5120E邮件过滤功能截图
华为USG5120E 深度包检测DPI 功能
华为USG5120E支持DPI技术,即Deep Packet Inspection深度包检测技术。DPI是一种基于应用层的流量检测和控制技术,当IP数据包、TCP或UDP数据流通过基于DPI技术的带宽管理系统时,该系统通过深入读取IP包载荷的内容来对OSI七层协议中的应用层信息进行重组,从而得到整个应用程序的内容,然后按照系统定义的管理策略对流量进行整形操作。
华为USG5120E DPI功能测试截图
华为USG5120E实时的病毒防护,采用赛门铁克公司国际一流的防病毒技术,病毒检出率达到99%,从而迅速、准确查杀网络流量中的病毒等恶意代码。精准的入侵防御:基于赛门铁克基于特征的入侵检测技术,实现零误报,精确识别并实时防范各种网络攻击和滥用行为。
华为USG5120E病毒库样本个数显示39459
华为USG5120E IPS库样本个数显示2755
华为USG5120E UTM功能测试截图: POP3推送提示
华为USG5120E UTM功能测试截图:病毒AV推送页面
华为USG5120E UTM功能测试截图:FTP病毒推送提示
华为USG5120E UTM功能测试截图:SMTP推送提示
另外,华为USG5120E还拥有丰富的VPN特性,支持IPSec VPN、L2TP VPN、SSL VPN、 MPLS VPN及GRE VPN等远程安全接入方式,同时CPU集成硬件加密引擎,提供超群的VPN处理性能。
1. 大中型企业外部威胁防护
客户挑战:
企业信息化程度不断提高,随之而来的来自互联网威胁不断,DDoS攻击、恶意入侵、病毒渗透等多种安全问题频发。
方案优势:
高并发连接数和每秒新建能力,轻松应对数百万包每秒的DDoS攻击;集成Symantec领先的IPS和AV技术,采用基于漏洞的、实时更新的特征库,保证IPS近乎为零的漏报及误报率,也使得AV保持高达99%的病毒检测率,全面防御来自Internet的各种安全威胁,保证内网安全。
大中型企业外部威胁防护
2. 企业VPN组网
客户挑战:
当今,随着网络业务的迅速发展,企业必须扩展其内网应用服务资源和数据资源的访问领域,以满足越来越多的远程接入需求,比如分支机构接入、合作伙伴接入、客户接入、远程办公接入等。接入的网络环境也越来越复杂,接入的场景更是千变万化。如何在保证内网安全的前提下,确保处于各种复杂的网络环境以及接入场景的合法用户,能够安全接入内网,对现代企业网络提出了新的挑战。
方案优势:
USG5100E系列防火墙/UTM提供了多种安全接入功能,满足企业分支之间、企业分支与总部之间、合作伙伴访问企业内部信息的需求。可根据需求建立IPSEC VPN、GRE VPN、L2TP VPN、MPLS VPN安全隧道,实现数据的安全访问与传输。
企业VPN组网
评测总结:
测试结果显示USG5120E具备220W的最大并发数。而在吞吐量方面,USG5120E的最终测试结果为100000c/s。同时,华为5120E拥有强大的反垃圾邮件能力:保护企业邮件服务器安全,实现细粒度的网络行为审计管理。采用赛门铁克公司国际一流的防病毒技术,病毒检出率达到99%,从而迅速、准确查杀网络流量中的病毒等恶意代码。精准的入侵防御:基于赛门铁克基于特征的入侵检测技术,实现零误报。
编辑总结:
华为USG5120E基于业界领先的软、硬件体系架构,以用户为核心的安全策略融合了IPS、AV、URL过滤、应用程序控制、邮件过滤等行业领先的专业安全技术,集安全、路由、交换、无线、3G于一体,是一款适用于政府、大中企业设计采购的统一安全网关。
华为USG5120E全面防护完善的防火墙功能,智能上网行为管理全面的流量管理,提供基于用户基于应用的限速、阻断等多种控制方式,保障网络核心业务正常运行。海量网站过滤,规范员工上网行为、减少企业法律风险。简单易用所有配置统一入口,减少跳转,快速部署基于WEB界面的专业配置向导,支持集中管理配置与安全审计,全面简化管理员操作流程。
