銳捷網(wǎng)絡(luò)把RG-WALL 1600-CC防火墻的高性價比、易用性�,易管理性作為產(chǎn)品設(shè)計的首要原則。最大限度的降低設(shè)備配置以及管理的難度����,同時融合交換、路由��、防火墻����、反垃圾郵件、VPN�����、IPS��、防病毒����、上網(wǎng)行為管理���、WAF以及流控等十大設(shè)備功能,也就是使用最簡易的方式���,讓大多數(shù)的普通網(wǎng)絡(luò)用戶享受到原來只有高端專業(yè)用戶才能體驗到的安全特性。
作為中小型企業(yè)網(wǎng)絡(luò)解決方案的一部分���,RG-WALL 1600-CC提供12個全線速高速千兆接口�,能夠提供強(qiáng)勁����、可靠的千兆安全到桌面的需求,1600-CC將有線和無線網(wǎng)絡(luò)融合一體���,內(nèi)置線速交換轉(zhuǎn)發(fā)芯片���,可擴(kuò)展3G和無線模塊,有效簡化網(wǎng)絡(luò)拓?fù)洹?/p>
RA-WALL防火墻采用RG-Slab銳捷網(wǎng)絡(luò)安全研究組最新發(fā)表的HiSpeed安全處理算法��, 依托高性能多核硬件架構(gòu)和一體化引擎����,相對于傳統(tǒng)的UTM產(chǎn)品�����,銳捷網(wǎng)絡(luò)下一代防火墻在多業(yè)務(wù)安全防護(hù)功能開啟后�����,性能下降只有25%�����。
RG-WALL 1600-CC防火墻徹底解決了目前市面相關(guān)產(chǎn)品使用復(fù)雜的問題�,可以充分滿足中小企業(yè)所有應(yīng)用需求���?���?氨纫粋€專業(yè)的網(wǎng)絡(luò)管理人員�����,通過RG-WALL 1600-CC防火墻對企業(yè)網(wǎng)絡(luò)進(jìn)行安全管理�����,即使是一個“網(wǎng)盲”也可以輕松管理企業(yè)網(wǎng)絡(luò)。
下面我們就針對銳捷RG-WALL 1600-CC防火墻做一個全面的評測����,涉及到的評測內(nèi)容將包括:外觀、特性��、功能�����、性能等多方面��。好了�����,不多說了��,開始吧!
銳捷RG-WALL 1600-CC防火墻采用經(jīng)典黑色外觀設(shè)計��,保持了一貫的嚴(yán)肅和大氣�,在保持傳統(tǒng)工業(yè)深色調(diào)的同時彰顯商務(wù)風(fēng)格��。
標(biāo)準(zhǔn)1U機(jī)架����,超薄的機(jī)身對于中小企業(yè)空間相對狹窄的機(jī)房和按機(jī)箱高度收費的電信機(jī)房來說���,都具備很好的性價比。
▲包裝附件
打開包裝�,首先看到的是咱們的主角RG-WALL 1600-CC。除此之外�����,一根電源線����、一根Console線、一份保修手冊��、一張隨機(jī)光盤以及上架耳片等附件�����,打開光盤可以看到有關(guān)RG-WALL 1600系列下一代防火墻安裝手冊���、配置手機(jī)和命令手冊�。為用戶考慮之細(xì)�,非常貼心��。
▲指示燈及Console口
Console口是配置設(shè)備使用的連接接口���。當(dāng)我們需要用到命令行界面進(jìn)行設(shè)備管理時,需要用到此接口����。電源指示燈POWER和狀態(tài)指示燈RUN。加電后���,電源指示燈一直為綠色����,狀態(tài)指示燈則為閃爍的黃色���。
▲接口面板
1600-CC標(biāo)準(zhǔn)配置12個全千兆接口,內(nèi)置線速交換芯片��,局域網(wǎng)用戶可實現(xiàn)線速交換���。其中���,GE0接口是默認(rèn)管理接口�����,也可以通過該接口發(fā)送日志��。 GE0至GE11口均為自協(xié)商千兆的電口�。除此之外��,打開機(jī)箱����,還可以看到內(nèi)置有USB接口,可用于存放日志信息或者加載版本�����。
▲強(qiáng)有力的電源接口
強(qiáng)有力的電源接口���,動力十足�。為設(shè)備的正常運行�、穩(wěn)定工作源源不斷提供能量。
▲再一個側(cè)面圖
銳捷RG-WALL 1600-CC防火墻為中小型企業(yè)網(wǎng)絡(luò)提供了一款易于使用的網(wǎng)絡(luò)安全解決方案��。 該產(chǎn)品具備下列特性:
化繁為簡:1600-CC將有線和無線網(wǎng)絡(luò)融合一體,配置12個千兆接口�����,內(nèi)置線速交換轉(zhuǎn)發(fā)芯片��,可擴(kuò)展3G和無線模塊����,通過融合讓網(wǎng)絡(luò)更簡單。
對于10臺終端以內(nèi)小型網(wǎng)絡(luò)�,無需配置交換機(jī)、路由器����,實現(xiàn)千兆安全到桌面;對于10臺終端以上網(wǎng)絡(luò),1600-CC可以作為千兆核心交換機(jī)����,下聯(lián)接入層交換機(jī)��,有效簡化網(wǎng)絡(luò)拓?fù)洹?/p>
1600-CC同時又是一臺3G路由器���,支持多種3G及后續(xù)4G制式上網(wǎng)卡擴(kuò)展����,可通過3G鏈路訪問互聯(lián)網(wǎng)或?qū)⑵渥鰹閭浞萱溌贰���?赏ㄟ^擴(kuò)展實現(xiàn)局域網(wǎng)無線上網(wǎng)�,既可通過擴(kuò)展內(nèi)置無線模塊實現(xiàn)���,也可以外掛無線AP設(shè)備�����,網(wǎng)絡(luò)接入更方便快捷�。
更高價值回報:1600-CC同時是業(yè)界領(lǐng)先的下一代防火墻�,突破傳統(tǒng)UTM性能瓶頸,簡化管理實現(xiàn)一體化配置����。1600-CC相對傳統(tǒng)UTM性能提升7倍,安全防護(hù)功能全部開啟����,性能只下降25%,網(wǎng)絡(luò)訪問依然流暢���,速度與安全兼得�。
1600-CC具備銳捷下一代防火墻全部特性,融合防病毒�����、IPS����、上網(wǎng)行為管理、VPN等十大功能�。一臺設(shè)備就可以輕松搞定企業(yè)中所需要的防火墻、防病毒�、IPS功能,實現(xiàn)網(wǎng)絡(luò)實名制�����、上網(wǎng)行為管理�����,集成身份認(rèn)證����,防止內(nèi)部信息泄漏。滿足安全等級保護(hù)要求��。同時集成高性能NAT�����、VPN����、流控等功能,提高企業(yè)辦公效率�。
更低維護(hù)投入:考慮中小網(wǎng)絡(luò)專業(yè)維護(hù)人員較少的條件,一個頁面完成多個功能模塊配置��,工作量更小�����,所需時間更少�����,配置管理更簡單����。
支持先進(jìn)技術(shù):面對云計算時代帶來的諸多挑戰(zhàn)�����,RG-WALL 1600-CC采用多項領(lǐng)先的行業(yè)標(biāo)準(zhǔn)和創(chuàng)新技術(shù)����,具備HiSpeed(高性能)�����、High integrated(高集成度)�����、High intelligence(高智能)三大特色��,能夠全面解決云計算面臨的諸多安全挑戰(zhàn)���。
此防火墻主要定位于中小企業(yè)用戶���,所以銳捷網(wǎng)絡(luò)充分考慮到用戶的體驗,同時提供命令行及WEB配置界面�。用戶可以利用WEB配置界面很方便的對防火墻進(jìn)行必要的基本設(shè)定,整個設(shè)置過程相當(dāng)簡單��,如果你是老鳥,還可以進(jìn)入利用命令行界面進(jìn)行更為詳細(xì)的配置��,充分享受命令行帶來的快感�。下面我們就以WEB界面為例簡述此設(shè)備的配置�。
WEB方式
管理員將網(wǎng)線的一端連接設(shè)備的GE0口,也就是管理接口;另一端連接電腦的網(wǎng)卡接口�,打開瀏覽器,推薦使用IE7.0及以上版本�、Mozilla5.0及以上版本瀏覽器。在地址欄中輸入:https://192.168.1.200�����,忽略瀏覽器的證書安全提示����,點擊繼續(xù)瀏覽此網(wǎng)站,就可以看到如下圖所示的界面:
在此��,我們需要輸入有權(quán)限用戶賬號���,系統(tǒng)默認(rèn)的管理員用戶為admin�����,密碼為******�。用戶可以使用這個管理員賬號從任何地址登錄設(shè)備,并且使用設(shè)備的所有功能����。審計員用戶為audit,密碼為******��。用戶可以使用這個賬號對安全策略和日志系統(tǒng)進(jìn)行審計����。系統(tǒng)默認(rèn)的用戶管理員用戶為useradmin,密碼為******�。用戶可以使用這個賬號用于配置系統(tǒng)管理員。企業(yè)可以根據(jù)實際需要使用不同的用戶賬號��,為了安全可以更改密碼等信息����。點擊登錄后,看到防火墻的管理界面�����,如下圖所示:
在此界面中,可以看到RG-WALL 1600-CC的主要配置選項��,如系統(tǒng)管理��、網(wǎng)絡(luò)管理�����、路由管理��、資源管理��、防火墻�����、VPN入侵防御����、病毒防護(hù)����、應(yīng)用控制、內(nèi)容過濾����、反垃圾郵件等�。通過銳捷的一體化策略�����,實現(xiàn)一個頁面完成多個功能模塊配置�,這也是區(qū)分“真”、“偽”下一代防火墻的重要判定依據(jù)�。
每一個配置選項中包括若干配置子項,如系統(tǒng)管理的作用主要是系統(tǒng)配置和管理�����,包括狀態(tài)�����、會話����、管理員、維護(hù)和監(jiān)控;網(wǎng)絡(luò)管理的作用主要是網(wǎng)絡(luò)相關(guān)配置選項���,包括接口的配置�����、NAT配置�����、DHCP���、透明橋以及雙機(jī)熱備等子項;路由管理主要是進(jìn)行路由相關(guān)配置�����,包括查看路由表、配置路由表�����、靜態(tài)路由��、策略路由��、動態(tài)路由和多播路由等; 資源管理主要是進(jìn)行資源的相關(guān)配置����,包括時間資源、服務(wù)資源、地址資源��、認(rèn)證用戶以及CA中心的配置;在防火墻選項中包括安全策略�����、防ARP攻擊����、Web認(rèn)證、MAC過濾配置等;在VPN選項中���,包括IPSec��、SSL遠(yuǎn)程接入����、SSL網(wǎng)關(guān)��、L2TP VPN和本地證書的配置等多個子項;入侵防御選項中包括基于特征的入侵防御��、防攻擊和Web防護(hù)等內(nèi)容;在病毒防護(hù)選項中包括病毒特征���、文件掃描列表和文件屏蔽列表的配置;應(yīng)用控制選項中包括監(jiān)控IM����、P2P消息和文件傳輸,監(jiān)控流媒體���、網(wǎng)絡(luò)游戲�����、股票軟件等子項; 內(nèi)容過濾中包括配置WEB過濾及郵件過濾功能;反垃圾郵件主要用于配置反垃圾郵件功能�����。包括IP地址分析���、發(fā)件人認(rèn)證��、收件人認(rèn)證�����、自定義策略及郵件日志等功能;另外管理員還可以在日志管理選項中配置和查看日志�,包括基本的日志和NetFlow配置以及本地日志的查看。
可以看出�����,功能之詳細(xì)完全可以滿足企業(yè)的應(yīng)用。只要一臺設(shè)備就可以輕松搞定企業(yè)的網(wǎng)絡(luò)需求�。
具體功能配置均是以列表的形式出現(xiàn),操作極具人性化�,下面我們以NAT配置為例來體驗一下WEB配置的便捷性。
我們看一個場景����,例如某公司現(xiàn)有用戶200人,使用的是內(nèi)網(wǎng)地址段是:192.168.10.0/24���,為了上網(wǎng)�����,申請的公網(wǎng)地址是116.6.21.10��,連接公網(wǎng)的接口是GE5�����,默認(rèn)路由是116.6.21.1��。
RG-WALL 1600-CC中把NAT的配置分為:源地址轉(zhuǎn)換(Source)�����、目的地址轉(zhuǎn)換(Destination)及靜態(tài)地址轉(zhuǎn)換(Static)三種類型��。根據(jù)要求此場景應(yīng)該使用源地址轉(zhuǎn)換�����,具體操作如下:
首先����,我們?nèi)ザx內(nèi)網(wǎng)地址段,打開資源管理選項��,再點擊地址資源下面的地址節(jié)點��,如下圖所示:
現(xiàn)在默認(rèn)存在一個名為any的地址節(jié)點����,代表所有地址����,我們需要創(chuàng)建一個名為“內(nèi)網(wǎng)地址”的節(jié)點,來代表192.168.1.0/24網(wǎng)段��,點擊“新建”按鈕,如下圖所示:
點擊“提交”即可完成內(nèi)網(wǎng)地址的創(chuàng)建��。接下來���,我們打開網(wǎng)絡(luò)管理選項�����,選擇NAT子項下的NAT地址池�,來創(chuàng)建一個“公網(wǎng)地址”�����。如下圖所示:
點擊“提交”后��,就完成了公網(wǎng)地址的創(chuàng)建��,下面就可以創(chuàng)建地址轉(zhuǎn)換了����。點擊“NAT規(guī)則”,新建“源地址轉(zhuǎn)換”��。如下圖所示:
源地址和目標(biāo)地址是NAT規(guī)則匹配的用來充當(dāng)源或目標(biāo)地址���,可以是地址節(jié)點或地址組����。服務(wù)是指NAT規(guī)則匹配的服務(wù)名,可以是服務(wù)資源或服務(wù)組��。 出接口是NAT規(guī)則匹配的出接口名�。 轉(zhuǎn)換后源地址是需要轉(zhuǎn)換成的地址,可以是出接口的地址或地址池名稱���。 描述是對該轉(zhuǎn)換規(guī)則的描述�����,可有可無��。 并且可以根據(jù)需要��,選擇是否需要對該規(guī)則啟用日志�。 然后點擊“提交”�����。
下面�,還需要配置默認(rèn)網(wǎng)關(guān),這個操作也很簡單��,���、進(jìn)入網(wǎng)絡(luò)管理����,點擊基本配置下面的缺省網(wǎng)關(guān)����,點擊新建,如下圖所示:
到這里��,基于源地址轉(zhuǎn)換的NAT配置就結(jié)束了�����,還可以根據(jù)設(shè)置防火墻策略���。怎么樣��,簡單吧�,只需要簡單的動動鼠標(biāo)就可以完成相應(yīng)的配置。限于篇幅��,其他相應(yīng)功能在此不再論述���。
命令行方式
有很多管理員習(xí)慣通過命令行的方式來完成相應(yīng)的操作����,我們的RG-WALL 1600-CC同樣考慮到這部分用戶的需求���,利用隨機(jī)附帶的串口線一端連接防火墻上的Console口����,另一端連接管理主機(jī)的串口�,需要注意的是,現(xiàn)在有的PC機(jī)或筆記本沒有串口��,可以使用串口/USB轉(zhuǎn)換線來完成���。然后啟動超級終端工具�,一般需要將端口的參數(shù)設(shè)置成“還原為默認(rèn)值”�����,如下圖所示:
下面,咱們通過開啟GE1接口的遠(yuǎn)程管理功能來體驗一下命令行的配置���,默認(rèn)情況下GE0口也就是管理接口的Telnet功能是打開的,其他接口默認(rèn)是不允許Telnet登錄的�。那么管理員現(xiàn)在需要開啟GE1口的Telnet功能就可以通過下面的命令來完成:
連接Console口使用管理員賬號登錄到設(shè)備,在此使用的用戶名是admin�,密碼是******;然后依次切換特權(quán)模式、配置模式和接口模式;為GE1接口配置管理IP地址;最后配置接口允許Telnet登錄�����。具體命令如下圖所示:
此后可以從該接口上以該接口的IP地址Telnet登錄到設(shè)備命令行接口���。但是telnet服務(wù)有一個致命的弱點��,它以明文的方式傳輸用戶名及口令�����,所以���,很容易被別有用心的人竊取口令。目前�,一種有效代替Telnet服務(wù)的有用工具就是SSH服務(wù)。SSH客戶端與服務(wù)器端通訊時,用戶名及口令均進(jìn)行了加密�,有效防止了對口令的竊聽。RG-WALL 1600-CC同樣支持SSH登錄�,只需要在上面操作的基礎(chǔ),再輸入以下命令即可:
此后可以從該接口上以該接口的IP地址通過SSH命令登錄到設(shè)備命令行接口��。用戶可以根據(jù)需要����,通過show running-config顯示當(dāng)前的配置信息。通過這個小例子大家會發(fā)現(xiàn)����,只要接觸過想類似的產(chǎn)品,基于命令行方式的配置顯得更為直接����。
防火墻的性能高低直接影響到企業(yè)網(wǎng)絡(luò)的正常應(yīng)用。防火墻的網(wǎng)絡(luò)性能指標(biāo)被企業(yè)所重視��,在防火墻評測中性能測試是必不可少的����。
針對一般的網(wǎng)絡(luò)設(shè)備來說,只要對二�、三層的數(shù)據(jù)包轉(zhuǎn)發(fā)性能進(jìn)行考查和測試就可以確定性能瓶頸是存在于下層設(shè)備還是在上層協(xié)議�,但對于防火墻來說�,其需要對高層數(shù)據(jù)進(jìn)行處理,這必然對性能造成一定的影響��。因此�����,我們認(rèn)為完整的防火墻網(wǎng)絡(luò)性能測試應(yīng)該由網(wǎng)絡(luò)層測試����、傳輸層測試和應(yīng)用層測試三部分組成��。
網(wǎng)絡(luò)層性能測試指的是防火墻轉(zhuǎn)發(fā)引擎對數(shù)據(jù)包的轉(zhuǎn)發(fā)性能測試�,吞吐量是進(jìn)行網(wǎng)絡(luò)支性能測試的基本指標(biāo),網(wǎng)絡(luò)中的數(shù)據(jù)是由若干數(shù)據(jù)幀組成�,防火墻對每個數(shù)據(jù)幀的處理要耗費資源。吞吐量就是指在沒有數(shù)據(jù)幀丟失的情況下�,防火墻能夠接受并轉(zhuǎn)發(fā)的最大速率。我們在此使用的測試方法是���,通過測試儀表的發(fā)送端口以一定速率發(fā)送一定數(shù)量的幀�,并計算所發(fā)送的字節(jié)數(shù)和分組數(shù)�,在接收端口也計算所接收的字節(jié)數(shù)和分組數(shù)���,如果發(fā)送的幀與接收的幀數(shù)量相等,那么就將發(fā)送速率提高并重新測試;如果接收幀少于發(fā)送幀則降低發(fā)送速率重新測試��,直至得出最終結(jié)果���。
在此��,我們使用64�����、512�、1518字節(jié)等多種不同長度的數(shù)據(jù)幀來進(jìn)行測試�,采用雙向測試,測試時間為120s��。
▲吞吐率測試
傳輸層性能測試指的是測試與防火墻狀態(tài)相關(guān)的性能和擴(kuò)展性�,其主要考查TCP并發(fā)連接數(shù),它是指穿越防火墻的主機(jī)之間或主機(jī)與防火墻之間能同時建立的最大連接數(shù)��。它表示防火墻對其業(yè)務(wù)信息流的處理能力����,反映出防火墻對多個連接的訪問控制能力和連接狀態(tài)跟蹤能力���,這個參數(shù)的大小直接影響到防火墻所能支持的最大信息點數(shù)。
應(yīng)用層測試指的是獲得處理HTTP應(yīng)用層流量的防火墻基準(zhǔn)性能����,主要考查HTTP傳輸速率。該項指標(biāo)的測試也是我們常說的有效吞吐量測試����。如果有效吞吐量性能不好,即使二/三層的轉(zhuǎn)發(fā)性能很好�,仍會導(dǎo)致整個主機(jī)看起來運行緩慢�����。
綜上所述����,下表是我們實際測試結(jié)果:
通過此表可以看出,數(shù)據(jù)幀為1518字節(jié)時���,吞吐量達(dá)到496Mbps���,TCP并發(fā)連接數(shù)22萬����,應(yīng)用層有效吞吐率為153Mbps����。針對中小企業(yè)防火墻來說,完全可以滿足100臺左右電腦的使用環(huán)境�,這個成績是非常可喜的�。
節(jié)能低耗
對于一款企業(yè)防火墻來說,穩(wěn)定性是用戶比較關(guān)心的����。隨著小暑節(jié)氣的到來,暑氣上升���,氣候炎熱��,特別是北京這樣的天氣�,大家已經(jīng)感覺到夏天的淫威����。相信在隨后的日子里,天氣也會越來越熱�����,而對于電子設(shè)備來說,它們的散熱好壞將直接決定設(shè)備的穩(wěn)定性以及使用壽命���。
▲RG-WALL 1600-CC側(cè)面散熱孔
整機(jī)無風(fēng)扇全靜音設(shè)計���,配合兩側(cè)大面積散熱孔設(shè)計,在減少機(jī)械故障點的同時免除潮濕腐蝕和塵土侵害��。那么沒有風(fēng)扇的話�,設(shè)備在運行的時候,溫度會不會過高呢?下面我們以一組數(shù)據(jù)來打消大家的顧慮��。
當(dāng)前室內(nèi)溫度:
▲室內(nèi)溫度
▲其他同類產(chǎn)品運行120分鐘后的溫度
▲RG-WALL 1600-CC運行120分鐘后的溫度
RG-WALL 1600-CC采用高效專用處理芯片����,設(shè)備運行能耗更低�,一只節(jié)能燈的用電量即可驅(qū)動,功耗只有其他同檔次產(chǎn)品三分之一�����。此防火墻的設(shè)計宗旨是在不犧牲性能的情況下優(yōu)化功耗�、實現(xiàn)節(jié)能�。此外����,不配備風(fēng)扇,因而能夠安靜�����、悄無聲息地運行�����,同時還降低了電費成本����。長期運行下來也為中小企業(yè)節(jié)約一定的成本。因為采用全靜音無風(fēng)扇設(shè)計��,設(shè)備的放置無需專用機(jī)房���,辦公室環(huán)境也可以放置�����,適應(yīng)性更強(qiáng)���,節(jié)約設(shè)備安裝成本�����。
到了這里���,本次評測就要結(jié)束了,下面我們針對此次的評測做個總結(jié):
外觀方面:銳捷網(wǎng)絡(luò)RG-WALL 1600-CC防火墻延續(xù)了安全產(chǎn)品的經(jīng)典黑色金屬外殼���,高貴而不張揚(yáng)�����。
設(shè)置方面:RG-WALL 1600-CC同時提供命令行及WEB配置界面�����。用戶可以利用WEB配置界面很方便的對防火墻進(jìn)行必要的基本設(shè)定��,整個設(shè)置過程相當(dāng)簡單,如果你是老鳥���,還可以進(jìn)入利用命令行界面進(jìn)行更為直接的配置����,充分享受命令行帶來的快感。
性能方面:在性能上����,RG-WALL 1600-CC表現(xiàn)不俗。測試數(shù)據(jù)幀為1518字節(jié)時�����,吞吐量達(dá)到496Mbps�,TCP并發(fā)連接數(shù)22萬,應(yīng)用層有效吞吐率為153Mbps����。
功能方面:RG-WALL 1600-CC融合交換、路由�、防火墻、反垃圾郵件���、VPN�����、IPS�����、防病毒�����、上網(wǎng)行為管理�����、WAF以及流控等十大設(shè)備功能���,成為業(yè)界首款面向中小網(wǎng)絡(luò)的路由交換安全一體機(jī)����。
能耗方面:RG-WALL 1600-CC采用高效專用處理芯片��,設(shè)備運行能耗更低��,實現(xiàn)25W低功能�����,相比于同類產(chǎn)品省電60%����,真正做到綠色節(jié)能。
作為銳捷網(wǎng)絡(luò)云安全解決方案的核心設(shè)備����,RG-WALL 1600-CC下一代防火墻是一款接口豐富、配置靈活�����、網(wǎng)絡(luò)適應(yīng)能力好的千兆防火墻產(chǎn)品�����。它可以廣泛應(yīng)用于政府��、運營商��、金融�����、教育����、醫(yī)療�����、軍隊����、企業(yè)等行業(yè)的千兆網(wǎng)絡(luò)環(huán)境�。配合銳捷網(wǎng)絡(luò)的交換機(jī)、路由器產(chǎn)品����,可以為用戶提供完整的端到端解決方案。時尚的外觀設(shè)計�、簡便的操作、豐富的功能�,而且綠色低耗。
