信息来源:安全焦点
写在前边的话:
断断续续敲了几天的字,也不知道该把这样的东西扔哪里,转悠了半天,还是扔到爱肉这里吧。写东西,扔砖头,我又不是第一次被人BS了,拼了老脸,继续被人BS吧。
书归正传,开始吧:
工作需要,借了一款网新易尚公司的防火墙ES903进行实测一把,顺便记录下来实测的内容,做为留念吧。
先来了解一下这款防火墙吧。网新易尚防火墙从市面上能看到的有9款产品,据说现在还有一款产品正在内部测试中,不久就能推向市场,那是后话。至于我所选择的这款ES903产品属于中档产品中的中档。因为低端产品有ES750和ES760产品,中档产品有ES800、ES903、ES904和ES912,高端产品有ES1000、ES2000和ES4000的千兆级产品,我所选择的就是中档产品中的ES903。其中从中档产品的ES904到ES4000都是可根据用户需求进行定制,比如可以定制多端口,或者是双电源冗余等等,可根据自己需求进行自己定制,那不属于我测试的范围,但是相对于用户来说可是好事了。
之所以选择网新易尚的防火墙来做测试,也是因为在市面上看了很久,发觉防火墙市场也真是混乱不堪,各家都在鼓吹自己的东西,俺也真心实意的被一些厂家邀请参加过一些有意义的技术交流会,但是都是拿着自己具有实力的产品跟别人同类产品中最差的一款比,然后罗列一堆所谓的见证数据,遇到这样的情况俺都是一笑走之,虽然他们都跟商业和利益挂了勾,跟俺没关系,因为俺是一个天真的用户。后来转悠到相关测评网站,他们更是可恶,拿了商家的钱再去鼓吹一番,欺蒙我们这些纯真的心,咳!~~可怜的利益呀。实在被逼无奈,就自己动手选择吧,网上各处溜达,可谓是踏遍大江南北,废寝忘食,功夫不负有心人,今天终于有了这篇文章。
我选择产品之前考虑几个硬性指标问题:
1、产品不能是老外的。
2、产品不能用CPU+BSD系统凑合,避免以后网络扩容产生麻烦,要有前瞻性呀,不然对不起咱自己的良心。
3、服务质量要保证,这东西发展太快了,没有服务,买了产品也是劳财伤民,那可不干。
4、功能齐全,至少应该具备流媒体、VPN、入侵检测和防病毒吧。还要有可管理和流量控制功能。
5、性能要好,性能不好买回来就是炸弹呀,到时候哭都没人管。
本着这几个硬性条件,又是画图,又是填表对比,终于挑出了几款,可惜NP因为那种可怕的阴影深深的笼罩在内心深处,曾经某公司投巨资把赌注押在NP上,最后因为停止开发而胎死腹中的事情,想想都后怕,NP排除,那就看上了ASIC架构的了。价格不是俺考虑的范畴,但也要了解,俺这里的每一分钱都是血汗呀,不能白花,那些没有背景和研发实力的也就筛选下去了。剩下的这几家产品,我把目光盯在了网新易尚的网关防火墙上了。价格不贵,这不是我要的主要条件。设计架构上跟NetScreen没区别,再看功能,不错,该有的都有了。那就看看性能吧,性能也不错噢,想要的都能实现,还有800服务。。。。耶!~~~~~通过交流,才知道网新易尚公司是OEM了FortiNet公司的防火墙,这一下,火热的心情一下子跌落到了冰谷,再去看看他们的背景吧,全部国内投资,后边虽然是浙大网新上市公司支持,但是具有浙大研发中心的背景做后盾,而且采用内核是ESOS系统也是经过浙大研发中心在搞的,虽然是O老外的,但是相关的证书已经齐全了,包括其内部病毒部分也通过了公安部的认证,那么,我的顾虑也就打消了,毕竟国内能做ASIC芯片架构防火墙的厂商,还没有出生,就它了。电话联系,约定测试,哈哈。。。水到渠成,下面咱们就看看我的测试手记吧,也算是抛砖引玉咯。
定制测试计划:
测试报告因为涉及问题面较广,还是保密吧。
测试策略就是检测功能和性能两个方面。
功能列表如下:
**系统管理功能
**防火墙功能
**VPN功能
**网络入侵检测功能
**病毒检查功能
**Web过滤功能
**电子邮件过滤功能
**日志与审计功能
性能列表如下:
**吞吐量
**并发连接数
**每秒新建连接数
搭建测试环境:
1、路由器CISCO2600一台,接防火墙External
2、交换机CISCO3524三台,一台接路由器外部,一台接DMZ口,剩下一台接Internal口
3、服务器IBMeserver345两台和EXP400磁盘柜一套做了冗余,搭建Oracle9i数据库服务器,两台Compaq750,一台做Mail服务器,另一台做WEB服务器,四台服务器全部扔DMZ,接DMZ交换机。
4、台式机dell三台,一台放外部做客户端,接外部交换机,一台放内部做管理端,接内部交换机,另一台接防火墙Console口,用来配置管理防火墙
5、笔记本IBM T41和X31各一台,T41用来放外部接外部交换机,X31放内部做客户端接内部交换机
6、IXIA测试仪一台
首先功能测试:
测试平台搭建完毕,把防火墙扔上机柜,随手翻了翻《网新易尚防火墙配置指南》,下面开始了功能测试。由于出厂设置完成了,所以我直接从内部口的X31上利用IE访问了。在IE浏览器里输入默认IP:
https://192.168.1.251后习惯性的按下了Enter键,先出来一个证书警告,确认“是”,进入了简洁的登陆界面,用户名和密码都是默认的,敲入后进入配置界面。随手把鼠标放在了左上角的一个小书本一样的图标上,居然现实“快速安装指南”。。。呵呵。。。看来真方便,配置防火墙就如同安装应用软件一样一步步的做下去,就是从来没有配置的人,只要安装过应用软件,都知道去按“下一步”。方便!~~
我可不准备按照傻瓜模式去做了,既然是测试,就要把功能全部挖出来看看吧。
应用方面的功能翻了几遍,从NAT模式、路由模式开始做,跟其他防火墙在这方面并没有太大的差别,当配置到VPN功能的时候,发现了一个有趣的问题,网新易尚防火墙有两种证书颁发方式,一种是挂接第三方证书服务器,另一种可以本地生成证书。感觉灵活了许多,用户可以根据自己的需求来定制,不失为一件好事。
除了这些经常大家再熟悉不过的功能,又翻了翻网络入侵检测、病毒检查、WEB过滤器和电子邮件过滤功能。看来非专业所能及的地方,应用功能上相对薄弱了很多,但最基本应该具备的功能都已经拥有了,与其他防火墙比比,也算是防火墙往混合型发展趋势中做的比较强的了。
性能测试:
功能测试折腾了两天,各种功能都搞了一边,算是温习温习曾经当做网管的美好时光。功能测试上除了感觉应用起来方便了很多之外,总是感觉还缺少什么,一时想不起来,暂时阁下吧,拉出IXIA,咱们开始后边的戏吧。性能测试主要靠IXIA了,公司花了几十万买来就是测设备了,不用白不用,放狗。
**首先是单规则吞吐量测试结果如下:
帧长(byte):64 外网到DMZ吞吐量(fps):49603 内网到外网吞吐量(fps):49603 总共吞吐量(fps):99206 平均吞吐率:33.33%帧长从64一直升到1518,平均吞吐率也从33.33%升到了99.71%
**后来添加了100条规则继续测试,帧长还是从64一直升到1518,平均吞吐率从31.99%升到了99.80%。
**单规则延时测试也是从64(byte)开始,到1518结束,延时时间(μs)从49.4到659.6.
**添加到100条规则测试延时,从64开始,到1518结束,延时时间从51.8到672.4.
**丢包率的测试结果是当帧长达到1518的时候,无论单规则还是多规则丢包率都是0.067%。
接下来就是测试安全审计的内容啦,因为都是一些重复来重复去的东西,只是动手做做,也没必要写了,
没的说,总结下来性能也不错,趴下来写报告去咯。
