隨著IT架構(gòu)的變革，今天的企業(yè)網(wǎng)絡(luò)正朝著移動(dòng)化、大數(shù)據(jù)、社交化和云服務(wù)為核心的下一代網(wǎng)絡(luò)演進(jìn)。處于開(kāi)放的前沿陣地，攻擊者通過(guò)身份仿冒、網(wǎng)站掛馬、惡意軟件、僵尸網(wǎng)絡(luò)等多種方式進(jìn)行網(wǎng)絡(luò)滲透，企業(yè)網(wǎng)絡(luò)面臨前所未有的安全風(fēng)險(xiǎn)。然而，傳統(tǒng)防火墻在面對(duì)這些變革卻無(wú)能為力，下一代防火墻的出現(xiàn)幫助企業(yè)很好的應(yīng)對(duì)了這些挑戰(zhàn)。

經(jīng)過(guò)近幾年的演變和發(fā)展，企業(yè)對(duì)于下一代防火墻的需求越來(lái)越廣，特別是對(duì)于中小型企業(yè)來(lái)說(shuō)，能擁有一臺(tái)性價(jià)比高、運(yùn)維簡(jiǎn)單、安全防護(hù)給力的下一代防火墻已經(jīng)成為趨勢(shì)。華為針對(duì)中小企業(yè)、連鎖機(jī)構(gòu)、企業(yè)分支、營(yíng)業(yè)網(wǎng)點(diǎn)等類(lèi)型的企業(yè)用戶推出了USG6300系列下一代防火墻。USG6300系列集防火墻、IPS、AV、VPN、上網(wǎng)行為管理等功能于一體，可以為企業(yè)用戶提供安全、靈活、便捷的一體化組網(wǎng)和接入解決方案。在本篇文章中我們將對(duì)USG6300系列中的USG6370型號(hào)下一代防火墻進(jìn)行一個(gè)全面的試用和評(píng)測(cè)，以便幫助更多的中小企業(yè)用戶對(duì)下一代防火墻的功能和性能有一個(gè)全方位的了解，對(duì)企業(yè)的產(chǎn)品選型提供參考依據(jù)。

　　本次評(píng)測(cè)步驟：

一、USG6370外觀介紹
二、USG6370特性介紹
三、USG6370防火墻配置
1、WEB方式登錄
2、WEB界面介紹
3、設(shè)置互聯(lián)網(wǎng)連接
四、USG6370防火墻功能
1、細(xì)粒度的訪問(wèn)控制
2、帶寬管理
3、Smart Policy智能策略
4、基于位置的訪問(wèn)控制策略
5、DLP
6、VPN配置
7、性能監(jiān)控
8、流量地圖和威脅地圖
9、實(shí)時(shí)升級(jí)中心
五、性能測(cè)試
六、評(píng)測(cè)總結(jié)

點(diǎn)擊這里或下一頁(yè)了解評(píng)測(cè)細(xì)節(jié)。

 

　　一、USG6370外觀介紹

華為USG6300系列下一代防火墻采用經(jīng)典黑色外觀設(shè)計(jì)，保持了一貫的嚴(yán)肅和大氣，在保持傳統(tǒng)工業(yè)深色調(diào)的同時(shí)彰顯商務(wù)風(fēng)格。標(biāo)準(zhǔn)1U機(jī)架，超薄的機(jī)身對(duì)于中小企業(yè)空間相對(duì)狹窄的機(jī)房和按機(jī)箱高度收費(fèi)的托管機(jī)房來(lái)說(shuō)，都具備很好的性價(jià)比。

管理口和控制口，Console口是配置設(shè)備使用的連接接口。當(dāng)我們需要用到命令行界面進(jìn)行設(shè)備管理時(shí)，需要用到此接口。電源指示燈POWER和狀態(tài)指示燈RUN。加電后，電源指示燈一直為綠色，狀態(tài)指示燈則為閃爍的綠色，當(dāng)狀態(tài)燈每2秒閃爍一次時(shí)，表示設(shè)備進(jìn)入正常運(yùn)行狀態(tài)。

標(biāo)準(zhǔn)配置8個(gè)全千兆接口以及四個(gè)可擴(kuò)展SFP高速光模塊接口。

強(qiáng)有力的電源接口以及電源開(kāi)關(guān)。設(shè)備的兩側(cè)設(shè)計(jì)成蜂窩狀散熱孔，加大設(shè)置內(nèi)部的空氣流動(dòng)，有助于防塵。

 

　　二、USG6370特性介紹

華為USG6300系列下一代防火墻共包含了7個(gè)型號(hào)，分別是USG6320、USG6330、USG6350、USG6360、USG6370、USG6380、USG6390，適應(yīng)了不同規(guī)模的企業(yè)用戶的需求。USG6300系列下一代防火墻除了規(guī)格上的不同，在產(chǎn)品特性上沒(méi)有太大差別，以下是其特性介紹：

細(xì)粒度的訪問(wèn)控制：為了應(yīng)對(duì)移動(dòng)化、虛擬化、社交化，除了價(jià)值應(yīng)用、用戶和內(nèi)容外，還應(yīng)該感知位置、風(fēng)險(xiǎn)和設(shè)備等。隨著配置維度的復(fù)雜化，管理會(huì)變?yōu)橐粋€(gè)瓶頸。USG6300系列下一代防火墻提供獨(dú)特的ACTUAL管控機(jī)制。通過(guò)六個(gè)維度進(jìn)行管控：A是App，C是Content，T是Time，U是User，A是Attack，L是Location，不僅可識(shí)別6000多種應(yīng)用，還可以識(shí)別應(yīng)用中的威脅和攻擊位置，提供細(xì)粒度的管控。

簡(jiǎn)單管理：華為的下一代防火墻提供了一種全新的管控視角，通過(guò)流量分析，自動(dòng)識(shí)別網(wǎng)絡(luò)中的應(yīng)用，風(fēng)險(xiǎn)和問(wèn)題，給出合理的意見(jiàn)和建議，方便使用者和管理者。主要體現(xiàn)在，1)預(yù)定義模板快速部署上線：通過(guò)對(duì)眾多網(wǎng)絡(luò)的調(diào)研和統(tǒng)計(jì)，華為總結(jié)了企業(yè)常見(jiàn)的安全防護(hù)場(chǎng)景，預(yù)定義了一系列安全策略模板,便于用戶快速部署基于不同應(yīng)用的安全防護(hù)。2)自動(dòng)流量學(xué)習(xí)，自動(dòng)化策略建議：根據(jù)網(wǎng)絡(luò)流量環(huán)境和應(yīng)用風(fēng)險(xiǎn)，遵循小權(quán)限控制原則，自動(dòng)生成策略優(yōu)化建議。3)策略精簡(jiǎn)取冗余：通過(guò)靜態(tài)和動(dòng)態(tài)的策略分析，發(fā)現(xiàn)冗余、失效的策略，有效控制策略規(guī)模，簡(jiǎn)化管理。

安全防護(hù)：在全面防護(hù)方面，華為利用遍布全球的安全中心，擁有豐富的可疑樣本來(lái)源，不僅要識(shí)別應(yīng)用，還要識(shí)別應(yīng)用威脅、識(shí)別風(fēng)險(xiǎn)、以及識(shí)別未知威脅，要擁有APT的防御技巧和手段。在云端采用沙箱技術(shù)，在模擬環(huán)境中監(jiān)控可疑樣本的運(yùn)行行為，高效發(fā)現(xiàn)未知威脅。

高性能：下一代防火墻的基礎(chǔ)性能是在同時(shí)開(kāi)啟防火墻和應(yīng)用識(shí)別時(shí)的產(chǎn)品性能，開(kāi)啟應(yīng)用識(shí)別后的性能，才能代表NGFW的基本性能。用過(guò)華為設(shè)備的朋友都知道，性能問(wèn)題在華為產(chǎn)品上從來(lái)不需要擔(dān)心，USG6300系列也是如此，覆蓋1G-8G應(yīng)用層性能，高達(dá)4G全威脅防護(hù)性能。電信級(jí)的硬件設(shè)計(jì)水平，配合單通道并行處理架構(gòu)，再搭配將網(wǎng)絡(luò)流量和內(nèi)容處理分布式處理的雙定制芯片，足可以保證在全威脅開(kāi)啟時(shí)性能衰減不高于50%。

 

　　三、USG6370防火墻配置

USG6300系列防火墻主要定位于中小企業(yè)用戶，華為充分考慮到用戶的體驗(yàn)，用戶可以利用WEB配置界面很方便的對(duì)防火墻進(jìn)行必要設(shè)定，整個(gè)設(shè)置過(guò)程相當(dāng)簡(jiǎn)單。當(dāng)然，如果您熟悉命令行配置方式，也可以連接Console口或者是CLI控制臺(tái)進(jìn)行配置。下面我們就以WEB界面為例簡(jiǎn)述此設(shè)備的配置，靜下心看下去，相信您一定會(huì)有所收獲。

　　1、WEB方式登錄

管理員將網(wǎng)線的一端連接設(shè)備的MGMT口，也就是管理接口;另一端連接電腦的網(wǎng)卡接口。

加電后，電源指示燈一直為綠色，狀態(tài)指示燈則為閃爍的綠色，當(dāng)狀態(tài)燈每2秒閃爍一次時(shí)，表示設(shè)備進(jìn)入正常運(yùn)行狀態(tài)。

電腦會(huì)自動(dòng)得到一個(gè)192.168.0.0網(wǎng)段的IP地址。打開(kāi)瀏覽器，推薦使用IE7.0及以上版本、Mozilla5.0及以上版本瀏覽器。在地址欄中輸入：https://192.168.0.1，忽略瀏覽器的證書(shū)安全提示，點(diǎn)擊繼續(xù)瀏覽此網(wǎng)站，就可以看到如下圖所示的界面：

在登錄界面輸入用戶名：admin，密碼:?Admin@123，然后單擊“登錄”進(jìn)入設(shè)備的WEB管理界面。首次登錄必須按提示修改密碼，如下圖所示：

 

　　2、WEB界面介紹

通過(guò)HTTPS登錄到Web界面之后，就可以實(shí)現(xiàn)對(duì)設(shè)備的管理和配置，但需要先熟悉WEB界面的一些覺(jué)見(jiàn)元素，如下圖所示：

整個(gè)窗口還算清晰，明白人不用細(xì)說(shuō)，如果在實(shí)際操作中有某些功能或者是按鈕不明白其意義可以點(diǎn)擊右上角的“幫助”尋找支持。

　　3、設(shè)置互聯(lián)網(wǎng)連接

成功登錄到管理界面之后，會(huì)自動(dòng)彈出“快速向?qū)А苯缑妫缦聢D所示：

點(diǎn)擊下一步，將開(kāi)始配置，首先會(huì)讓用戶修改計(jì)算機(jī)名，如下圖所示：

在正確配置系統(tǒng)時(shí)區(qū)和時(shí)間之后，將進(jìn)入互聯(lián)網(wǎng)接入方式選擇頁(yè)面，如下圖所示：

 

根據(jù)相應(yīng)的接入互聯(lián)網(wǎng)方式填寫(xiě)相關(guān)的參數(shù)，在此我的環(huán)境使用的PPPoE方式，因此會(huì)彈出與PPPoE相關(guān)的配置，選擇上網(wǎng)接口，即連接外網(wǎng)網(wǎng)線的接口，運(yùn)營(yíng)商提供的用戶名和密碼，如下圖所示：

設(shè)置好上網(wǎng)接口后，我們還需要設(shè)置局域網(wǎng)接口，即內(nèi)網(wǎng)員工使用的接口，在此我使用的是GE1/0/1接口，并且使用的IP地址是：10.0.0.1\24，如下圖所示：

那么，如果我內(nèi)網(wǎng)有多臺(tái)客戶端需要同時(shí)上網(wǎng)，IP地址如何分配呢，那么咱們的USG6300自帶有DHCP功能，如下圖所示：

下一步之后，彈出核對(duì)配置信息界面，以拓?fù)鋱D的方式顯示配置信息，真心要贊一個(gè)，不錯(cuò)!

確認(rèn)無(wú)誤后，點(diǎn)擊應(yīng)用，接入互聯(lián)網(wǎng)的操作就完成了，整個(gè)過(guò)程一氣呵成，干凈利索。配置完成后，客戶端就可以上網(wǎng)暢游了。

 

　　四、USG6370防火墻功能

　　1、細(xì)粒度的訪問(wèn)控制

USG6300系列下一代防火墻可以實(shí)現(xiàn)6維管控視角，6000+應(yīng)用識(shí)別的訪問(wèn)控制。下面，我們就要體驗(yàn)一下它的訪問(wèn)控制功能。很多公司都有控制員工訪問(wèn)外網(wǎng)的需求，例如有的公司不允許員工訪問(wèn)游戲網(wǎng)站，有的公司不允許員工使用QQ等即時(shí)通訊工具，有的公司禁止員工下載視頻文件，還有的公司只允許訪問(wèn)自家的門(mén)戶網(wǎng)站…..這些需求都可以很輕松的通過(guò)防火墻策略中的訪問(wèn)規(guī)則來(lái)加以實(shí)現(xiàn)。既然如此，那我們趕緊來(lái)寫(xiě)上幾條訪問(wèn)規(guī)則測(cè)試一下吧。別急，訪問(wèn)規(guī)則是由策略元素構(gòu)成的，我們要想寫(xiě)出訪問(wèn)規(guī)則，首先要掌握策略元素，USG6300內(nèi)置了地址和地址組、域名組、地區(qū)和地區(qū)組、服務(wù)和服務(wù)組、用戶和用戶組、應(yīng)用和應(yīng)用組、時(shí)間段等多種元素供用戶使用，下面咱們就看幾個(gè)實(shí)例：

實(shí)例：允許人力部門(mén)員工在工作時(shí)間，禁止QQ聊天。那么這里就用到了多個(gè)防火墻元素，如用戶、時(shí)間、應(yīng)用等，首先要根據(jù)需要?jiǎng)?chuàng)建相應(yīng)的元素，如用戶，我們需要先創(chuàng)建一個(gè)HR的用戶組，在此組中批量創(chuàng)建用戶，如下圖所示：

用戶的認(rèn)證類(lèi)型，可以使用“本地認(rèn)證”或者是“服務(wù)器認(rèn)證”，本地認(rèn)證指的是由防火墻來(lái)認(rèn)證用戶，因此需要在防火墻上創(chuàng)建用戶;“服務(wù)器認(rèn)證”表示由認(rèn)證服務(wù)器來(lái)認(rèn)證用戶，這里的認(rèn)證服務(wù)器可以是RADIUS服務(wù)器、微軟的AD服務(wù)器、LDAP服務(wù)器、SecurID、TSM服務(wù)器等主流的認(rèn)證服務(wù)器。

在應(yīng)用和應(yīng)用組選項(xiàng)卡中，我們可以看到此設(shè)備自帶大量的應(yīng)用元素，如下圖所示：

在這張圖中可以看到，共有6015條應(yīng)用相關(guān)的元素，如果不滿足用戶需要，還可以自定義創(chuàng)建。至于，其他元素操作方法類(lèi)似。那么接下來(lái)就是創(chuàng)建訪問(wèn)規(guī)則了：

那么，我們讓客戶以u(píng)ser01身份登錄，再次登錄QQ進(jìn)行測(cè)試，如下圖所示：

 

　　2、帶寬管理

內(nèi)網(wǎng)用戶訪問(wèn)Internet時(shí)，所需的帶寬遠(yuǎn)大于企業(yè)從運(yùn)營(yíng)商租用的帶寬，存在帶寬瓶頸。另外，P2P業(yè)務(wù)類(lèi)型的流量消耗了絕大部分的帶寬資源，致使關(guān)鍵業(yè)務(wù)得不到帶寬保證。Internet用戶訪問(wèn)內(nèi)網(wǎng)服務(wù)器時(shí)，大量的針對(duì)內(nèi)網(wǎng)服務(wù)器的訪問(wèn)需求導(dǎo)致服務(wù)器性能降低，無(wú)法正常提供服務(wù)。因此，需要對(duì)網(wǎng)絡(luò)帶寬進(jìn)行管理。下面的例子，針對(duì)每用戶進(jìn)行網(wǎng)絡(luò)限速，在限制之前，我們先看一下用戶通過(guò)迅雷的下載速度：

在限速之前，下載速度還是比較喜人的，但是企業(yè)中如果有這么幾個(gè)用戶同時(shí)下載的，其他用戶就要遭殃了，因此，限速是必須要做的，利用USG6300進(jìn)行限速還是很簡(jiǎn)單的，首先，我們創(chuàng)建一個(gè)帶寬通道：

在這個(gè)界面中，我們指定了每個(gè)IP的上行大帶寬和下午大帶寬限制在100Kbps,然后，再創(chuàng)建帶寬策略，引用剛才創(chuàng)建的帶寬通道，如下圖所示：

再次回到迅雷下載界面，可以看到，速度已經(jīng)降下來(lái)了，如下圖所示：

 

　　3、Smart Policy 智能策略

一般來(lái)說(shuō)，隨著防火墻功能的增加，則管理就會(huì)變得更加復(fù)雜。為了降低USG6300系列下一代防火墻的使用復(fù)雜度，華為通過(guò)總結(jié)企業(yè)自身上萬(wàn)條的防火墻管理經(jīng)驗(yàn)，實(shí)現(xiàn)了智能策略優(yōu)化Smart Policy技術(shù)，使其具備業(yè)界簡(jiǎn)單的安全管理能力。Smart Policy解決了安全策略管理方面的核心問(wèn)題，即：如何快速部署安全策略?部署的策略是否有效，如何調(diào)整?如何清理低效和無(wú)用的策略，控制策略規(guī)模?如下圖所示：

網(wǎng)絡(luò)管理員只需要知道，針對(duì)哪些對(duì)象，進(jìn)行何種控制?就能快速生成安全策略，避免了關(guān)鍵信息泄露。當(dāng)防火墻經(jīng)過(guò)一段時(shí)間的實(shí)際工作后， Smart Policy 會(huì)收集網(wǎng)絡(luò)流量的統(tǒng)計(jì)數(shù)據(jù)，結(jié)合原始策略做分析，然后分別基于應(yīng)用進(jìn)行策略冗余分析、策略命中分析以及應(yīng)用風(fēng)險(xiǎn)調(diào)優(yōu)，幫助網(wǎng)絡(luò)安全管理員找出冗余和長(zhǎng)期不使用的策略，使得防火墻始終工作于簡(jiǎn)潔而有效的工作狀態(tài)。下圖顯示的就是策略冗余分析的操作截圖：

管理員只需要點(diǎn)擊“策略”—“安全策略”—“策略冗余分析”，設(shè)備就會(huì)將高優(yōu)先級(jí)的策略依次與低優(yōu)先級(jí)的策略進(jìn)行遍歷比較，以分析是否存在冗余策略。另外，Smart Policy基于流量分析的應(yīng)用風(fēng)險(xiǎn)調(diào)優(yōu)對(duì)于管理員來(lái)說(shuō)也是非常實(shí)用的功能(如下兩圖)，展示了智能調(diào)優(yōu)和策略調(diào)優(yōu)處理的界面：

 

　　4、基于位置的訪問(wèn)控制

在前面的設(shè)備特性部分，我們介紹到USG6300系列下一代防火墻可以通過(guò)六個(gè)維度進(jìn)行安全管控，其中一個(gè)維度就是位置，即管理員可以很方便的以地區(qū)為單位創(chuàng)建訪問(wèn)控制策略，帶寬管理策略以及審計(jì)策略等。

地區(qū)識(shí)別特征庫(kù)會(huì)隨著系統(tǒng)軟件不定期發(fā)布，管理員可以通過(guò)手動(dòng)加載的方式進(jìn)行更新。

當(dāng)需要對(duì)多個(gè)地區(qū)同時(shí)進(jìn)行控制時(shí)，可以創(chuàng)建地區(qū)組然后在策略中引用此對(duì)象，地區(qū)組的成員可以包括預(yù)定義地區(qū)、自定義地區(qū)和嵌套的地區(qū)組。

　　5、DLP

隨著移動(dòng)化、BYOD技術(shù)以及Apps的迅速推廣，企業(yè)網(wǎng)絡(luò)架構(gòu)越來(lái)越復(fù)雜，網(wǎng)絡(luò)安全的壓力提升到了一個(gè)新的臺(tái)階。員工在使用互聯(lián)網(wǎng)的過(guò)程中難免會(huì)上傳或者是發(fā)布公司的機(jī)密信息至外網(wǎng)，導(dǎo)致公司機(jī)密泄露，或者是使用郵件、論壇、微博時(shí)對(duì)公司造成不好的影響甚至法律風(fēng)險(xiǎn)。華為的USG6300下一代防火墻設(shè)備可以保證公司員工正常訪問(wèn)互聯(lián)網(wǎng)，又能對(duì)員工接收和發(fā)送的信息內(nèi)容進(jìn)行過(guò)濾，以達(dá)到DLP(數(shù)據(jù)防泄露)的目的。實(shí)現(xiàn)方法非常簡(jiǎn)單，在定義內(nèi)容過(guò)濾配置前定義關(guān)鍵字組，然后在定義內(nèi)容過(guò)濾配置時(shí)引用關(guān)鍵字組。所謂關(guān)鍵字組就是需要過(guò)濾的關(guān)鍵字的組合，選擇“對(duì)象”—“關(guān)鍵字組”，然后單擊“新建”，即可配置關(guān)鍵字組，如下圖所示：

然后，管理員可以根據(jù)需要，對(duì)應(yīng)用或者是文件在上傳或者是下載方向上針對(duì)關(guān)鍵字組進(jìn)行過(guò)濾并采取不同的響應(yīng)動(dòng)作。

　　6、VPN配置

移動(dòng)互聯(lián)網(wǎng)的發(fā)展達(dá)到了前所未有的規(guī)模，在家辦公和移動(dòng)辦公被越來(lái)越多的企業(yè)所接受，VPN給企業(yè)提供了一種安全且方便的技術(shù)以滿足公司員工、客戶在企業(yè)之外實(shí)時(shí)安全地訪問(wèn)公司的內(nèi)部信息和應(yīng)用程序。展開(kāi)USG6300設(shè)備的菜單，我們可以看到支持多種VPN類(lèi)型，如IPSEC、L2TP、GRE、DSVPN、SSL VPN等，如下圖所示：

我們?cè)诖藢E1/0/2接口所處的網(wǎng)絡(luò)規(guī)定為VPN 網(wǎng)絡(luò)，在此需要為此網(wǎng)絡(luò)定義一個(gè)IP地址，172.16.0.1/24，下一步之后，繼續(xù)配置業(yè)務(wù)功能，如下圖所示：

網(wǎng)絡(luò)擴(kuò)展功能通過(guò)在客戶端安裝虛擬網(wǎng)卡，從SSL VPN網(wǎng)關(guān)獲取虛擬IP地址，實(shí)現(xiàn)了對(duì)所有基于IP的內(nèi)網(wǎng)業(yè)務(wù)的全面訪問(wèn)。用戶遠(yuǎn)程訪問(wèn)內(nèi)網(wǎng)資源就像訪問(wèn)本地局域網(wǎng)一樣方便，適用于各種復(fù)雜的業(yè)務(wù)功能。

接下來(lái)需要為VPN 拔入用戶指定IP地址，以及能夠訪問(wèn)的內(nèi)網(wǎng)網(wǎng)絡(luò)地址，當(dāng)然不要忘記創(chuàng)建安全策略，允許VPN客戶拔入到VPN網(wǎng)關(guān)，如下圖所示:

看了上面的操作之后，相信你也可以很快捷的創(chuàng)建一個(gè)SSL VPN，使用戶能夠在企業(yè)外部安全、高效的訪問(wèn)企業(yè)內(nèi)部的網(wǎng)絡(luò)資源。以上只是把USG6300中的幾個(gè)常用功能做了一個(gè)簡(jiǎn)單配置，但USG6300系統(tǒng)防火墻的功能遠(yuǎn)不僅如此，限于篇幅，不能詳述。

 

　　7、性能監(jiān)控

USG6300系列下一代防火墻提供了形象的監(jiān)視窗口，在本窗口可以查看設(shè)備上接口和指示燈的狀態(tài)?？梢院芊奖愕牟榭碈PU、內(nèi)存、CF卡以及硬盤(pán)的資源使用情況。

　　8、流量地圖和威脅地圖

管理員還可以通過(guò)查看日志和報(bào)表來(lái)獲知當(dāng)前使用網(wǎng)絡(luò)的用戶、應(yīng)用、安全事件以及流經(jīng)網(wǎng)絡(luò)的通信流量特征，并根據(jù)日志詳情和報(bào)表統(tǒng)計(jì)分析結(jié)果進(jìn)行相應(yīng)的防護(hù)控制。這其中有兩個(gè)亮點(diǎn)需要介紹一下，流量地圖和威脅地圖。

流量地圖形象地展現(xiàn)了流量在全球范圍內(nèi)的分布態(tài)勢(shì)，可以具體查看流量排名、大小、走向、源地區(qū)以及目的地區(qū)等信息，為管理員進(jìn)一步操作提供依據(jù)，如下圖所示：

上圖中默認(rèn)顯示的是國(guó)家級(jí)別的總體流量，管理員還可以單擊相應(yīng)的地圖進(jìn)一步查看省市的流量分布。管理員可以根據(jù)對(duì)應(yīng)地圖的數(shù)據(jù)流量分布，進(jìn)一步采取控制措施。

威脅地圖則宏觀展現(xiàn)了網(wǎng)絡(luò)中的威脅數(shù)據(jù)分布情況，管理員可以查看發(fā)起攻擊和被攻擊的地區(qū)以及詳細(xì)的攻擊信息，操作方法也非常簡(jiǎn)單，選擇“監(jiān)控”—“威脅地圖”，則顯示如下圖所示的界面：

同流量地圖類(lèi)似，管理員還可以單擊相應(yīng)的地圖進(jìn)一步查看省市的威脅分布。還可以在某個(gè)區(qū)域繼續(xù)查看攻擊者以及被攻擊者的詳細(xì)信息。

同時(shí)作為一款智能防火墻， USG6300系列產(chǎn)品能夠提供警報(bào)機(jī)制，在檢測(cè)到入侵或者是設(shè)備運(yùn)行異常時(shí)，可以郵件等方式通知管理員采取必要的措施。

　　9、實(shí)時(shí)升級(jí)中心

為了提供網(wǎng)絡(luò)安全設(shè)備的動(dòng)態(tài)安全防御功能，USG6300系列防火墻通過(guò)自帶的升級(jí)中心可以很方便地將特征庫(kù)升級(jí)到指定版本，及時(shí)升級(jí)特征庫(kù)可以提升設(shè)備對(duì)入侵行為、病毒、應(yīng)用和IP地址所屬地區(qū)的檢測(cè)能力和檢測(cè)效率，為企業(yè)的核心應(yīng)用提供#FormatImgID_47#固若金湯的安全防護(hù)。

 

　　五、USG6370性能測(cè)試

通過(guò)前面的特性以及功能介紹，可以看出USG6370確實(shí)是不負(fù)眾望。另外，防火墻的性能也將直接影響到企業(yè)網(wǎng)絡(luò)的正常應(yīng)用，下面，我們將對(duì)USG6370的吞吐量和并發(fā)等主要參數(shù)進(jìn)行測(cè)試。

在測(cè)試USG6370的吞吐量時(shí)我們使用IXIA測(cè)試儀，RFC2544模板，端口port_1和端口port_2發(fā)送雙向流量穿越防火墻，分別測(cè)試#FormatImgID_48##FormatImgID_49#64bytes，1518bytes字節(jié)時(shí)的吞吐量。

在進(jìn)行新建、并發(fā)、以及IPS的實(shí)際吞吐量測(cè)試時(shí)，我們使用了思博倫avalanche測(cè)試儀，port_1作為client，port_2作為server，流量穿越防火墻，使用http get測(cè)試。

▲8.9W新建

▲400W并發(fā)

▲IPS吞吐量2.4G

下表是我們針對(duì)USG6370的實(shí)際測(cè)試結(jié)果：

通過(guò)實(shí)際測(cè)試我們可以看出，USG6370 每秒所能夠處理的新建連接請(qǐng)求的數(shù)達(dá)89000條，防火墻并發(fā)數(shù)達(dá)4百萬(wàn)，作為一款中小企業(yè)防火墻單位時(shí)間內(nèi)可以達(dá)到此性能還是很了不起的。

通過(guò)網(wǎng)絡(luò)層吞吐量流量的統(tǒng)計(jì)，我們可以看出此款防火墻在測(cè)試數(shù)據(jù)幀為1518字節(jié)時(shí)，吞吐量達(dá)到4Gbit/s，數(shù)據(jù)幀為64字節(jié)時(shí)吞吐量達(dá)到1.4Gbit/s，顯示出了十分強(qiáng)勁的網(wǎng)絡(luò)層數(shù)據(jù)轉(zhuǎn)發(fā)處理性能。針對(duì)中小企業(yè)防火墻來(lái)說(shuō)，完全可以滿足500臺(tái)左右客戶端的使用環(huán)境，這樣的測(cè)試結(jié)果是非常令人滿意的。

 

　　六、測(cè)試總結(jié)

到了這里，本次評(píng)測(cè)就要結(jié)束了，下面我們針對(duì)此次的評(píng)測(cè)做個(gè)總結(jié)：在性能方面USG6370輕松實(shí)現(xiàn)4G吞吐量，每秒新建連接數(shù)高達(dá)89000條，可存儲(chǔ)400萬(wàn)個(gè)并發(fā)。功能方面USG6370提供獨(dú)特的ACTUAL管控機(jī)制、Smart Policy智能策略優(yōu)化、基于應(yīng)用或者是文件內(nèi)容的數(shù)據(jù)防泄露功能、VPN功能、可視的監(jiān)視窗口以及流量地圖和威脅地圖、輕松識(shí)別6000+的應(yīng)用。

如今的企業(yè)網(wǎng)絡(luò)，早已不再是數(shù)年前的“江湖”，傳統(tǒng)的安全老三樣也不再是企業(yè)安全的守護(hù)神，企業(yè)用戶需要的是一款能在這場(chǎng)IT變革的大潮中幫助企業(yè)用戶從容應(yīng)對(duì)一切安全挑戰(zhàn)的防護(hù)設(shè)備。而華為USG6370下一代防火墻無(wú)論從性能上來(lái)看，還是從功能、簡(jiǎn)化運(yùn)維等功能方面來(lái)說(shuō)，都是一款與時(shí)俱進(jìn)的產(chǎn)品，相信對(duì)于大多數(shù)中小企業(yè)用戶來(lái)說(shuō)，這會(huì)是一個(gè)不錯(cuò)的選擇。