据发改委资料显示,在中国中小企业有5200万户,占全部企业总数的99%。这些企业在现代化IT建设及IT安全人才储备方面都有很多不足,中小企业正面临着越来越多的网络攻击、设备丢失、保密或私有数据泄露等威胁。锐捷网络审时度势,推出业界首款面向中小网络的路由交换安全一体机下一代防火墙RG-WALL 1600-CC以解决中小企业网络环境中的安全问题。
锐捷网络把RG-WALL 1600-CC防火墙的高性价比、易用性,易管理性作为产品设计的首要原则。最大限度的降低设备配置以及管理的难度,同时融合交换、路由、防火墙、反垃圾邮件、VPN、IPS、防病毒、上网行为管理、WAF以及流控等十大设备功能,也就是使用最简易的方式,让大多数的普通网络用户享受到原来只有高端专业用户才能体验到的安全特性。
作为中小型企业网络解决方案的一部分,RG-WALL 1600-CC提供12个全线速高速千兆接口,能够提供强劲、可靠的千兆安全到桌面的需求,1600-CC将有线和无线网络融合一体,内置线速交换转发芯片,可扩展3G和无线模块,有效简化网络拓扑。
RA-WALL防火墙采用RG-Slab锐捷网络安全研究组最新发表的HiSpeed安全处理算法, 依托高性能多核硬件架构和一体化引擎,相对于传统的UTM产品,锐捷网络下一代防火墙在多业务安全防护功能开启后,性能下降只有25%。
RG-WALL 1600-CC防火墙彻底解决了目前市面相关产品使用复杂的问题,可以充分满足中小企业所有应用需求。堪比一个专业的网络管理人员,通过RG-WALL 1600-CC防火墙对企业网络进行安全管理,即使是一个“网盲”也可以轻松管理企业网络。
下面我们就针对锐捷RG-WALL 1600-CC防火墙做一个全面的评测,涉及到的评测内容将包括:外观、特性、功能、性能等多方面。好了,不多说了,开始吧!
锐捷RG-WALL 1600-CC防火墙采用经典黑色外观设计,保持了一贯的严肃和大气,在保持传统工业深色调的同时彰显商务风格。
标准1U机架,超薄的机身对于中小企业空间相对狭窄的机房和按机箱高度收费的电信机房来说,都具备很好的性价比。
▲包装附件
打开包装,首先看到的是咱们的主角RG-WALL 1600-CC。除此之外,一根电源线、一根Console线、一份保修手册、一张随机光盘以及上架耳片等附件,打开光盘可以看到有关RG-WALL 1600系列下一代防火墙安装手册、配置手机和命令手册。为用户考虑之细,非常贴心。
▲指示灯及Console口
Console口是配置设备使用的连接接口。当我们需要用到命令行界面进行设备管理时,需要用到此接口。电源指示灯POWER和状态指示灯RUN。加电后,电源指示灯一直为绿色,状态指示灯则为闪烁的黄色。
▲接口面板
1600-CC标准配置12个全千兆接口,内置线速交换芯片,局域网用户可实现线速交换。其中,GE0接口是默认管理接口,也可以通过该接口发送日志。 GE0至GE11口均为自协商千兆的电口。除此之外,打开机箱,还可以看到内置有USB接口,可用于存放日志信息或者加载版本。
▲强有力的电源接口
强有力的电源接口,动力十足。为设备的正常运行、稳定工作源源不断提供能量。
▲再一个侧面图
锐捷RG-WALL 1600-CC防火墙为中小型企业网络提供了一款易于使用的网络安全解决方案。 该产品具备下列特性:
化繁为简:1600-CC将有线和无线网络融合一体,配置12个千兆接口,内置线速交换转发芯片,可扩展3G和无线模块,通过融合让网络更简单。
对于10台终端以内小型网络,无需配置交换机、路由器,实现千兆安全到桌面;对于10台终端以上网络,1600-CC可以作为千兆核心交换机,下联接入层交换机,有效简化网络拓扑。
1600-CC同时又是一台3G路由器,支持多种3G及后续4G制式上网卡扩展,可通过3G链路访问互联网或将其做为备份链路。可通过扩展实现局域网无线上网,既可通过扩展内置无线模块实现,也可以外挂无线AP设备,网络接入更方便快捷。
更高价值回报:1600-CC同时是业界领先的下一代防火墙,突破传统UTM性能瓶颈,简化管理实现一体化配置。1600-CC相对传统UTM性能提升7倍,安全防护功能全部开启,性能只下降25%,网络访问依然流畅,速度与安全兼得。
1600-CC具备锐捷下一代防火墙全部特性,融合防病毒、IPS、上网行为管理、VPN等十大功能。一台设备就可以轻松搞定企业中所需要的防火墙、防病毒、IPS功能,实现网络实名制、上网行为管理,集成身份认证,防止内部信息泄漏。满足安全等级保护要求。同时集成高性能NAT、VPN、流控等功能,提高企业办公效率。
更低维护投入:考虑中小网络专业维护人员较少的条件,一个页面完成多个功能模块配置,工作量更小,所需时间更少,配置管理更简单。
支持先进技术:面对云计算时代带来的诸多挑战,RG-WALL 1600-CC采用多项领先的行业标准和创新技术,具备HiSpeed(高性能)、High integrated(高集成度)、High intelligence(高智能)三大特色,能够全面解决云计算面临的诸多安全挑战。
此防火墙主要定位于中小企业用户,所以锐捷网络充分考虑到用户的体验,同时提供命令行及WEB配置界面。用户可以利用WEB配置界面很方便的对防火墙进行必要的基本设定,整个设置过程相当简单,如果你是老鸟,还可以进入利用命令行界面进行更为详细的配置,充分享受命令行带来的快感。下面我们就以WEB界面为例简述此设备的配置。
WEB方式
管理员将网线的一端连接设备的GE0口,也就是管理接口;另一端连接电脑的网卡接口,打开浏览器,推荐使用IE7.0及以上版本、Mozilla5.0及以上版本浏览器。在地址栏中输入:https://192.168.1.200,忽略浏览器的证书安全提示,点击继续浏览此网站,就可以看到如下图所示的界面:
在此,我们需要输入有权限用户账号,系统默认的管理员用户为admin,密码为******。用户可以使用这个管理员账号从任何地址登录设备,并且使用设备的所有功能。审计员用户为audit,密码为******。用户可以使用这个账号对安全策略和日志系统进行审计。系统默认的用户管理员用户为useradmin,密码为******。用户可以使用这个账号用于配置系统管理员。企业可以根据实际需要使用不同的用户账号,为了安全可以更改密码等信息。点击登录后,看到防火墙的管理界面,如下图所示:
在此界面中,可以看到RG-WALL 1600-CC的主要配置选项,如系统管理、网络管理、路由管理、资源管理、防火墙、VPN入侵防御、病毒防护、应用控制、内容过滤、反垃圾邮件等。通过锐捷的一体化策略,实现一个页面完成多个功能模块配置,这也是区分“真”、“伪”下一代防火墙的重要判定依据。
每一个配置选项中包括若干配置子项,如系统管理的作用主要是系统配置和管理,包括状态、会话、管理员、维护和监控;网络管理的作用主要是网络相关配置选项,包括接口的配置、NAT配置、DHCP、透明桥以及双机热备等子项;路由管理主要是进行路由相关配置,包括查看路由表、配置路由表、静态路由、策略路由、动态路由和多播路由等; 资源管理主要是进行资源的相关配置,包括时间资源、服务资源、地址资源、认证用户以及CA中心的配置;在防火墙选项中包括安全策略、防ARP攻击、Web认证、MAC过滤配置等;在VPN选项中,包括IPSec、SSL远程接入、SSL网关、L2TP VPN和本地证书的配置等多个子项;入侵防御选项中包括基于特征的入侵防御、防攻击和Web防护等内容;在病毒防护选项中包括病毒特征、文件扫描列表和文件屏蔽列表的配置;应用控制选项中包括监控IM、P2P消息和文件传输,监控流媒体、网络游戏、股票软件等子项; 内容过滤中包括配置WEB过滤及邮件过滤功能;反垃圾邮件主要用于配置反垃圾邮件功能。包括IP地址分析、发件人认证、收件人认证、自定义策略及邮件日志等功能;另外管理员还可以在日志管理选项中配置和查看日志,包括基本的日志和NetFlow配置以及本地日志的查看。
可以看出,功能之详细完全可以满足企业的应用。只要一台设备就可以轻松搞定企业的网络需求。
具体功能配置均是以列表的形式出现,操作极具人性化,下面我们以NAT配置为例来体验一下WEB配置的便捷性。
我们看一个场景,例如某公司现有用户200人,使用的是内网地址段是:192.168.10.0/24,为了上网,申请的公网地址是116.6.21.10,连接公网的接口是GE5,默认路由是116.6.21.1。
RG-WALL 1600-CC中把NAT的配置分为:源地址转换(Source)、目的地址转换(Destination)及静态地址转换(Static)三种类型。根据要求此场景应该使用源地址转换,具体操作如下:
首先,我们去定义内网地址段,打开资源管理选项,再点击地址资源下面的地址节点,如下图所示:
现在默认存在一个名为any的地址节点,代表所有地址,我们需要创建一个名为“内网地址”的节点,来代表192.168.1.0/24网段,点击“新建”按钮,如下图所示:
点击“提交”即可完成内网地址的创建。接下来,我们打开网络管理选项,选择NAT子项下的NAT地址池,来创建一个“公网地址”。如下图所示:
点击“提交”后,就完成了公网地址的创建,下面就可以创建地址转换了。点击“NAT规则”,新建“源地址转换”。如下图所示:
源地址和目标地址是NAT规则匹配的用来充当源或目标地址,可以是地址节点或地址组。服务是指NAT规则匹配的服务名,可以是服务资源或服务组。 出接口是NAT规则匹配的出接口名。 转换后源地址是需要转换成的地址,可以是出接口的地址或地址池名称。 描述是对该转换规则的描述,可有可无。 并且可以根据需要,选择是否需要对该规则启用日志。 然后点击“提交”。
下面,还需要配置默认网关,这个操作也很简单,、进入网络管理,点击基本配置下面的缺省网关,点击新建,如下图所示:
到这里,基于源地址转换的NAT配置就结束了,还可以根据设置防火墙策略。怎么样,简单吧,只需要简单的动动鼠标就可以完成相应的配置。限于篇幅,其他相应功能在此不再论述。
命令行方式
有很多管理员习惯通过命令行的方式来完成相应的操作,我们的RG-WALL 1600-CC同样考虑到这部分用户的需求,利用随机附带的串口线一端连接防火墙上的Console口,另一端连接管理主机的串口,需要注意的是,现在有的PC机或笔记本没有串口,可以使用串口/USB转换线来完成。然后启动超级终端工具,一般需要将端口的参数设置成“还原为默认值”,如下图所示:
下面,咱们通过开启GE1接口的远程管理功能来体验一下命令行的配置,默认情况下GE0口也就是管理接口的Telnet功能是打开的,其他接口默认是不允许Telnet登录的。那么管理员现在需要开启GE1口的Telnet功能就可以通过下面的命令来完成:
连接Console口使用管理员账号登录到设备,在此使用的用户名是admin,密码是******;然后依次切换特权模式、配置模式和接口模式;为GE1接口配置管理IP地址;最后配置接口允许Telnet登录。具体命令如下图所示:
此后可以从该接口上以该接口的IP地址Telnet登录到设备命令行接口。但是telnet服务有一个致命的弱点,它以明文的方式传输用户名及口令,所以,很容易被别有用心的人窃取口令。目前,一种有效代替Telnet服务的有用工具就是SSH服务。SSH客户端与服务器端通讯时,用户名及口令均进行了加密,有效防止了对口令的窃听。RG-WALL 1600-CC同样支持SSH登录,只需要在上面操作的基础,再输入以下命令即可:
此后可以从该接口上以该接口的IP地址通过SSH命令登录到设备命令行接口。用户可以根据需要,通过show running-config显示当前的配置信息。通过这个小例子大家会发现,只要接触过想类似的产品,基于命令行方式的配置显得更为直接。
防火墙的性能高低直接影响到企业网络的正常应用。防火墙的网络性能指标被企业所重视,在防火墙评测中性能测试是必不可少的。
针对一般的网络设备来说,只要对二、三层的数据包转发性能进行考查和测试就可以确定性能瓶颈是存在于下层设备还是在上层协议,但对于防火墙来说,其需要对高层数据进行处理,这必然对性能造成一定的影响。因此,我们认为完整的防火墙网络性能测试应该由网络层测试、传输层测试和应用层测试三部分组成。
网络层性能测试指的是防火墙转发引擎对数据包的转发性能测试,吞吐量是进行网络支性能测试的基本指标,网络中的数据是由若干数据帧组成,防火墙对每个数据帧的处理要耗费资源。吞吐量就是指在没有数据帧丢失的情况下,防火墙能够接受并转发的最大速率。我们在此使用的测试方法是,通过测试仪表的发送端口以一定速率发送一定数量的帧,并计算所发送的字节数和分组数,在接收端口也计算所接收的字节数和分组数,如果发送的帧与接收的帧数量相等,那么就将发送速率提高并重新测试;如果接收帧少于发送帧则降低发送速率重新测试,直至得出最终结果。
在此,我们使用64、512、1518字节等多种不同长度的数据帧来进行测试,采用双向测试,测试时间为120s。
▲吞吐率测试
传输层性能测试指的是测试与防火墙状态相关的性能和扩展性,其主要考查TCP并发连接数,它是指穿越防火墙的主机之间或主机与防火墙之间能同时建立的最大连接数。它表示防火墙对其业务信息流的处理能力,反映出防火墙对多个连接的访问控制能力和连接状态跟踪能力,这个参数的大小直接影响到防火墙所能支持的最大信息点数。
应用层测试指的是获得处理HTTP应用层流量的防火墙基准性能,主要考查HTTP传输速率。该项指标的测试也是我们常说的有效吞吐量测试。如果有效吞吐量性能不好,即使二/三层的转发性能很好,仍会导致整个主机看起来运行缓慢。
综上所述,下表是我们实际测试结果:
通过此表可以看出,数据帧为1518字节时,吞吐量达到496Mbps,TCP并发连接数22万,应用层有效吞吐率为153Mbps。针对中小企业防火墙来说,完全可以满足100台左右电脑的使用环境,这个成绩是非常可喜的。
节能低耗
对于一款企业防火墙来说,稳定性是用户比较关心的。随着小暑节气的到来,暑气上升,气候炎热,特别是北京这样的天气,大家已经感觉到夏天的淫威。相信在随后的日子里,天气也会越来越热,而对于电子设备来说,它们的散热好坏将直接决定设备的稳定性以及使用寿命。
▲RG-WALL 1600-CC侧面散热孔
整机无风扇全静音设计,配合两侧大面积散热孔设计,在减少机械故障点的同时免除潮湿腐蚀和尘土侵害。那么没有风扇的话,设备在运行的时候,温度会不会过高呢?下面我们以一组数据来打消大家的顾虑。
当前室内温度:
▲室内温度
▲其他同类产品运行120分钟后的温度
▲RG-WALL 1600-CC运行120分钟后的温度
RG-WALL 1600-CC采用高效专用处理芯片,设备运行能耗更低,一只节能灯的用电量即可驱动,功耗只有其他同档次产品三分之一。此防火墙的设计宗旨是在不牺牲性能的情况下优化功耗、实现节能。此外,不配备风扇,因而能够安静、悄无声息地运行,同时还降低了电费成本。长期运行下来也为中小企业节约一定的成本。因为采用全静音无风扇设计,设备的放置无需专用机房,办公室环境也可以放置,适应性更强,节约设备安装成本。
到了这里,本次评测就要结束了,下面我们针对此次的评测做个总结:
外观方面:锐捷网络RG-WALL 1600-CC防火墙延续了安全产品的经典黑色金属外壳,高贵而不张扬。
设置方面:RG-WALL 1600-CC同时提供命令行及WEB配置界面。用户可以利用WEB配置界面很方便的对防火墙进行必要的基本设定,整个设置过程相当简单,如果你是老鸟,还可以进入利用命令行界面进行更为直接的配置,充分享受命令行带来的快感。
性能方面:在性能上,RG-WALL 1600-CC表现不俗。测试数据帧为1518字节时,吞吐量达到496Mbps,TCP并发连接数22万,应用层有效吞吐率为153Mbps。
功能方面:RG-WALL 1600-CC融合交换、路由、防火墙、反垃圾邮件、VPN、IPS、防病毒、上网行为管理、WAF以及流控等十大设备功能,成为业界首款面向中小网络的路由交换安全一体机。
能耗方面:RG-WALL 1600-CC采用高效专用处理芯片,设备运行能耗更低,实现25W低功能,相比于同类产品省电60%,真正做到绿色节能。
作为锐捷网络云安全解决方案的核心设备,RG-WALL 1600-CC下一代防火墙是一款接口丰富、配置灵活、网络适应能力好的千兆防火墙产品。它可以广泛应用于政府、运营商、金融、教育、医疗、军队、企业等行业的千兆网络环境。配合锐捷网络的交换机、路由器产品,可以为用户提供完整的端到端解决方案。时尚的外观设计、简便的操作、丰富的功能,而且绿色低耗。