华为USG6500系列体验

By | 2017/04/26

华为USG6500系列防火墙是华为公司面向中小企业推出的企业级下一代防火墙。防火墙的一般功能都是齐全的,比如防DOS攻击、异常IP报文检测等。同时具有IPS的功能,可以提供入侵防御、反病毒、数据防泄漏等功能。

华为是从做路由、交换机开始的,所以这款防火墙也具有明显的华为命令行配置的感觉(据说之前的华为防火墙连Web界面都没有,未考证)。总得来说Web界面的配置就是命令行的可视版,不过通过Web界面来进行配置已经足够了,对比其他品牌防火墙的Web功能一点都不弱。只是在debug的时候,使用命令行会感觉更方便一些。

配置上,首先需要先定义“网络”,支持trunk、access、虚拟线等等,不过需要研究后才能熟练使用;然后进行“对象”配置,可以对IP组、域名、地域、协议类型等等网络资源进行定义,方便后面制定策略的时候使用。最后进行“策略”的定制,即可实现防护功能。

策略可控制的颗粒度还是很细的,比较好玩的是IPS的功能也是在策略这一层上进行定制,与其他防火墙不同,IPS功能没有单独的配置项。虽然这种统一设置在配置的时候感觉比较麻烦,但这种统一的配置项,反而能跟好的进行配置和查看。而且在策略的列表页面,可以很轻松的查看策略内容,这点很赞。

 

 

目前总体使用情况来说,感觉还可以,可以给5.5分(满分10分)。下面说说个人在使用中的优缺点,首先说说优点:

  1. 默认支持虚拟系统,可以在根系统的基础上虚拟出多大100的虚拟系统,比较适合分配给不同的用户使用。
  2. 默认自带SSL VPN授权,这样在部署VPN的时候就不用单独买授权了。
  3. web页面自带CLI控制台,在调试的时候很方便,就不用单独再开一个SSH了。
  4. 策略制定颗粒度细,查看方便。

然后就是缺点的,这也是为啥给了5.5分的原因,因为有些功能确实影响到了使用:

  1. 虚拟系统功能有限,很多设置仅允许根墙配置或使用。而且有些设置项会造成理解上的混淆。
  2. 会话识别机制有问题,不知道是否是我网络问题,墙无法正常识别会话,这样进出就需要设置两遍策略,这一点是无法理解的。内部访问外网的流量,回来就变成了外部访问内部。还有就是对ping包的解析有问题,导致ping结果无返回,但抓包发现有返回结果,不过本人也具体查ping的rfc规范,不排除华为是按照规范处理的情况。
  3. 标配没有硬盘,所以没有日志记录。其实2和3这两点就完全可以放弃这款防火墙。作为一个防火墙竟然不全部标配硬盘,这也意味着没有防护记录,没有记录怎么查询策略的防护结果?数据包被拦截了都无处查询。但可以加硬盘,几千块。
  4. 报警功能,加硬盘后有周期的报表可以发邮箱,但是竟然没有实时告警的通知功能,这个……反正我个人认为有通知这事很重要。

总结的话,就是防火墙还是使用专业的好。比如我目前的需求,别的防火墙启用子接口就实现的事,这个防火墙就死活不行(官方售后配置哦),非得启用虚拟墙,但启用虚拟墙又有好多功能不能用。而且产品线多,官方的售后也不是啥也会的(有个功能告诉我不行,最后自己看帮助配的),所以,蛋疼啊……

发表评论

电子邮件地址不会被公开。

此站点使用Akismet来减少垃圾评论。了解我们如何处理您的评论数据