定位SOHO：H3C SecPath F100防火墙评测

    随着金融危机的到来，越来越多的企业和个人在采购IT产品时更显理性。对于防火墙这种安全产品，针对小型企业或者SOHO一族的产品非常少。而H3C推出的SecPath F100系列防火墙中有三款专门应对小型企业安全，本次参与评测的型号为H3C SecPath F100-C-EI。

    SecPath  F100-C-EI 是H3C 公司开发的新一代专业火墙设备。具有以下功能特性：

    ●支持外部攻击防范、内网安全、流量监控、邮件过滤、网页过滤、应用层过滤等功能，能够有效的保证网络的安全；

    ●采用ASPF  （Application Specific Packet Filter）应用状态检测技术，可对连接状态过程和异常命令进行检测；

    ●提供多种智能分析和理手段，支持邮件告警，支持多种日志，提供网络管理监控，协助网络理员完成网络的安全管理；

    ●支持多种VPN 业务，如L2TP VPN、GRE VPN、IPSec VPN 和动态VPN 等，可以构建多种形式的VPN；

    ●提供基本的路由能力，支持RIP、OSPF、路由策略及策略路由；支持丰富的QoS 特性，提供流量监 、流量整形及多种队列调度策略。

H3C SecPath F100-C-EI

 

 
H3C SecPath F100-C-EI外观

    H3C SecPath F100-C-EI具有1个配置口（CON），1个备份口（AUX），4个LAN口1个WAN口，外型尺寸（H×W×D）44 ×300×260mm，最大功率11W，整机仅2Kg，整机非常精致，也体现了产品定位。

    界面配置

    在真正进入WEB界面配置前，需要先进行一些内部配置，该防火墙提供了一个 RS232异步串行配置口（CONSOLE），通过这个接口用户可完成对防火墙的配置操作。

    为使防火墙可以与其它网络设备互通，必须先将相应接口加入到某一安全区域中，且将缺省的过滤行为设置为允许，并为接口配置IP地址。在终端管理中，输入以下命令：

    [H3C] firewall zone trust

    [H3C-zone-trust] add interface Ethernet0/0

    [H3C-zone-trust] quit

    [H3C] firewall packet-filter default permit

    [H3C] interface Ethernet0/0

    [H3C-Ethernet0/0] ip address 192.168.0.1 255.255.255.0

    为让用户可以通过Web登录，并且有权限对防火墙进行管理，必须为管理员添加登录帐户并且赋予其权限。建立一个用户名和密码都为 admin，帐户类型为telnet，权限等级为3的管理员用户。

    [H3C] local-user admin

    [H3C-luser-admin] password simple admin

    [H3C-luser-admin] service-type telnet

    [H3C-luser-admin] level 3

    启动浏览器，在地址栏中输入http://192.168.0.1并访问，这样就可进入防火墙Web登录页面，使用admin帐户登录防火墙，也可以通过“Language”下拉框选择界面。

Web登录界面

    注意以上配置方式是在路由模式下。

    管理之信息篇

    进入管理界面后，首先会看到设备基本信息，包括设备类型、软硬件版本、设备运行时间等信息。

设备基本信息

    在系统资源面板中，可以看到设备当前的CPU和内存占用率。

系统资源信息

    左侧面板集成了Web管理的全部功能，可以看到SecPath  F100-C-EI的功能是非常丰富的。

功能菜单

    刚才通过CONSOLE添加了一个帐户，在用户配置中，还可以手动添加不同等级的用户，在访问权限中设定即可。

用户配置

    Web管理之功能篇

    在流过滤配置中，可以设定通过或者禁止。

流过滤配置

    攻击防范内置了多种防范类型，帮助用户快速抵御网络攻击，并且还有应对Flood洪水攻击的项目。

攻击防范

    邮件过滤模块可以很好的杜绝外部垃圾邮件，通过对关键字或者地址的过滤，合理保护内网用户信息安全。

邮件过滤

    对于常见的网内P2P和即时通信的控制，SecPath  F100-C-EI也不示弱。

  
P2P和即时通信的控制

    网内的流量分配也有很好的机制，管理员可以方便的限制网内主机的上下行速度和流量。

网内流量限制

    关于思博伦实验室

    此次测试与思博伦概念验证实验室共同完成。思博伦概念验证实验室（Spirent Proof of Concept, SPOC）全球网络将为客户提供业界领先的测试设备、解决方案和专业化服务能力，使设想变为现实。遍布全球的实验室网点，将为您提供全新的测试设备和领先的测试技术进行您所需要的测试验证，同时您将从测试专家的知识和经验中获益匪浅。

    无论是一致性测试、功能测试、还是性能测试，都需要具备数以百计的千兆以太网或万兆端口，思博伦概念验证实验室将帮助客户缩短开发周期、改善质量并加快产品投放市场的速度。

思博伦评测中心

    每个概念验证实验室都可为客户提供测试设备和专业服务，帮助客户：

 验证服务质量（QoS）
 测量体验质量（QoE）
 模拟复杂的“多重播放”场景
 开发测试方法或测试计划
 实现自动化设计与开发
 对数以百计的端口执行高密度测试

    思博伦概念验证实验室（SPOC）可提供全系列的测试产品，包括Spirent TestCenter、Avalanche、Landslide、Abacus等全新测试平台。思博伦全面的测试设备组合能够帮助客户进行全系列的应用测试，从以太网上的光纤通道（FCoE）到运营商以太网、再到WiMAX，可谓包罗万象。

    思博伦概念验证实验室（SPOC）除了提供全面测试设备与方法，同时它还是一个协作中心，允许客户在思博伦提供的优良环境中汇聚资源，设计并开发全新的测试解决方案，以应对全新的、令人兴奋的测试挑战。通过协作，不仅可以改善生产效率、缩短产品投放市场的时间，还可以在持续发展的技术环境中探讨共同感兴趣的测试话题。

    测试环境与测试结果

    本次测试采用了Spirent TestCenter 9000A，板卡为EDM-1003B，测试软件为TestCenter V2.32，测试方式为路由模式，采用了RFC2544方式测试，Frame Size（bytes）分别为：64、128、256、512、1024、1280、1518。

    在测试前将规则设置为Permit all模式，并且eth0（Lan）IP为192.168.0.1，eth4（Wan）IP为192.168.4.1。以下为测试平台示意图：

评测示意图

    最终的测试结果如下：

Frame Size (bytes)	Intended Load (%)	Offered Load (%)	Throughput (%)	Throughput (fps)	Theoretical Max Throughput (fps)
64	2.125	2.125	2.125	6,324	297,619
128	3.812	3.812	3.812	6,439	168,918
256	7.187	7.187	7.187	6,509	90,579
512	13.515	13.515	13.515	6,351	46,992
1,024	25.468	25.468	25.468	6,098	23,946
1,280	31.093	31.093	31.093	5,979	19,230
1,518	35.312	35.312	35.312	5,739	16,254

    最终吞吐量的结果也在测试人员意料之中，每次递增比例也较为正常，这款产品对于应付小型SOHO类网络还是比较合适的。当然更多的是其方便的应用功能可以解放管理员双手。

    评测总结

    无论是从产品外观到应用功能，还是从管理界面到核心性能，H3C SecPath F100-C-EI都是一款针对性极强的产品，它聚焦小型SOHO网络用户，在其方便管理内网的同时也保证了网络的整体安全。

    不但支持基础、扩展和基于接口的状态检测包过滤技术，而且其特有ASPF应用层报文过滤（Application Specific  Packet  Filter）协议也是应用亮点，产品本身包括多种DoS/DDoS 攻击范、ARP欺骗攻击的防范、超大ICMP报文攻击范、地址/端口扫描的防范、Tracert报文控制功能；静态和动态黑名单功能。

    在应用层方面，支持邮件过滤，提供SMTP邮件地址、标题、附件和内容过滤，支持网页过滤，提供HTTP URL和内容过滤。

    另外，专业灵活的VPN服务也是一项不错的功能，支持L2TP VPN、GRE VPN、IPSec VPN 和动态VPN 等多种VPN 业务模式，利用动态VPN（DVPN ）技术，简化VPN 配置，实现按需动态构建VPN网络。 

SecPath F100-C-EI 火墙结合VPN应用典型部署图

    应该说在现在IT采购紧缩的今天，不同的企业也在找寻最适合自己的产品。H3C SecPath F100-C-EI的出现无疑满足了一批小型用户，在资金状态有限的情况下仍然能够带来安全和易用的网络管理实属不易，相信这款产品在市场上也会有不俗表现。