华为USG6320下一代防火墙产品功能及应用性能验证测试报告

注：评测报告内容以“网界网”评测频道发布为准第1页共67页产品功能及应用性能验证测试报告项目名称华为USG6320下一代防火墙产品确认验证测试检测样品送检单位单位名称华为技术有限公司联系人陈科邮政编码100085单位属性独立科研机构通讯地址北京市海淀区上地信息路3号华为大厦大专院校工矿企业E-mailLeonardo.chen@huawei.com集体个体电话/传真010-82882751其它性质遵循标准《网络世界》评测实验室产品功能及应用性能验证测试标准相关国内、国际功能及性能评测标准检测单位《网络世界》评测实验室检测地点《网络世界》评测实验室样品名称华为USG6320下一代防火墙产品样品接受日期2013/11样品检测日期2013/11/18至2013/11/20测试工具IXIABPS测试人员董培欣日期2013.12注：评测报告内容以“网界网”评测频道发布为准第2页共67页评测简介《网络世界》评测实验室于2013年12月份，受华为技术有限公司委托，根据自身媒体评测标准和厂商提供的产品技术白皮书，对华为技术有限公司的“华为USG6320下一代防火墙产品”进行了功能及应用性能确认验证测试。评测结论1、高性能防火墙应用：华为USG6320下一代防火墙产品在防火墙安全防护性能测试中，网络层传输速率可以达到504Mbps（64字节小包）而在1518字节时传输速率可达到4Gbps左右，具备很高的网络层数据传输能力。应用层可以同时保持50万TCP的并发连接，在开启防火墙及应用识别后TCP新建连接处理能力可达到3.4万CPS。2、周全防火墙安全防护功能设计华为USG6320下一代防火墙产品包含了传统防火墙功能、IPS功能、网关杀毒功能和WEB应用安全防护等功能可以针对应用层不同协议流量高精度、高灵活性的对网络流量进行管理控制。同时其独具特色的SmartPolicy（智能策略）功能可以智能化的完成策略快速部署、策略调优等网络安全管理功能。在极大减少网络安全策略管理的维护工作的同时，对网络安全防护能力还可以产生有效进行提升的效果。3、高可靠的防火墙架构设计华为USG6320在系统架构上设计合理，在保证数据包转发处理性能的同时，满足大流量高带宽的网络应用需求，可以很好的应对企业网络流量的快速增长。并且华为USG6320在应用控制功能开启后性能没有明显下降，在充分了保证了应用层检测性能的基础上，可以更加从容的实现更深度内容安全检测及安全防御功能。4、接口扩展灵活华为的NGFW有着出色的高端企业与电信级产品架构设计，使得产品在保有极高的稳定性及可靠性的同时，可以满足企业按需扩展，平滑升级的实际应用需求。评测总结：通过本次测试可以了解，华为技术有限公司的华为USG6320下一代防火墙产品具备高效、安全、可靠的特性，可以提供万兆级的网关及内网防护功能，同时具备高可靠性的功能设计。可以为用户提供实用、可靠的网络安全解决方案。测试人员：董培欣批准日期：2013年12月注：评测报告内容以“网界网”评测频道发布为准第3页共67页华为USG6320下一代防火墙产品功能及应用性能测试报告1概述为了增强对华为USG6000系列下一代防火墙产品的了解，本次《网络世界》评测实验室对其华为USG6320下一代防火墙产品进行了一次全面的功能及应用性能评测。附注：USG6000系列下一代防火墙全系列具有相同的功能。只是在性能上有部分差异。1.1被测产品概述华为USG6320下一代防火墙产品是华为技术有限公司面向运营商、企业出口、行业数据中心开发的业界领先的防火墙产品。华为USG6320下一代防火墙产品包含了传统防火墙功能、IPS功能、网关杀毒功能和WEB应用安全防护等功能可以针对应用层不同协议流量高精度、高灵活性的对网络流量进行管理控制。同时其独具特色的SmartPolicy（智能策略）功能可以智能化的完成策略快速部署、策略调优等网络安全管理功能。在极大减少网络安全策略管理的维护工作的同时，对网络安全防护能力还可以产生有效进行提升的效果。华为USG6320在系统架构上设计合理，在保证数据包转发处理性能的同时，满足大流量高带宽的网络应用需求，可以很好的应对企业网络流量的快速增长。并且华为USG6320在应用控制功能开启后性能没有明显下降，在充分了保证了应用层检测性能的基础上，可以更加从容的实现更深度内容安全检测及安全防御功能。注：评测报告内容以“网界网”评测频道发布为准第4页共67页1.2测试内容概述本次测试在《网络世界》评测实验室采用IXIA公司应用性能测试仪表IXIABPS对华为USG6320下一代防火墙产品的安全防护功能和性能进行验证，我们对其网络层及应用层的处理性能、安全策略可视化、网络及应用安全防功能进行了测试。注：评测报告内容以“网界网”评测频道发布为准第5页共67页2功能及应用性能验证项目2.1项目简述根据防火墙产品的应用特性及GB/T18336-2001、GB/T20281-2006、RFC2544、RFC3511等相关国内国际标准，特选择以下几种测试内容，对华为USG6320下一代防火墙产品的网络性能及功能进行了测试。基本性能测试：吞吐量时延IPSec吞吐量并发连接新建连接应用功能1、管理功能2、监控功能——日志3、监控功能——报表4、智能策略5、攻击防范6、应用层网关（NATALG）7、网络功能8、系统功能9、虚拟系统10、快速向导注：评测报告内容以“网界网”评测频道发布为准第6页共67页2.2测试环境2.2.1测试环境软硬件配置性能特性测试环境软硬件配置表设备或软件名称描述数量被测设备华为USG6320下一代防火墙产品1测试仪表IXIABPS1控制台DellOPTIPLEX98012.2.2测试拓扑：防火墙网络及应用性能测试拓扑注：评测报告内容以“网界网”评测频道发布为准第7页共67页2.3产品规格列表型号USG6320固定接口8GE扩展槽位无产品形态桌面型（加挂耳可用于机架）尺寸（W×D×H）mm300×220×44.5满配重量1.7KgHDD无电源AC100～240V最大功率60W工作环境温度：0℃～40℃/湿度：10%～90%非工作环境温度：-40℃～70℃/湿度：5%～95%硬件信息采用非X86多核架构，处理器为4核，2G内存华为USG6320注：评测报告内容以“网界网”评测频道发布为准第8页共67页2.4测试项目列表基本性能及功能测试项目清单基本性能测试项目：测试项目测试子项目测试结果基本性能验证吞吐量测试64Byte：504Mbps1518Byte：4Gbps延迟测试64Byte：9.7微秒1518Byte：18微秒IPsec吞吐量测试64Byte：181Mbps1420Byte：1.54Gbps并发连接测试50万每秒新建连接性能测试3.4万注：评测报告内容以“网界网”评测频道发布为准第9页共67页基本性能验证吞吐量测试测试目的检测吞吐量测试配置利用IXIABPS测试吞吐量测试过程1.2对千兆端口设置为双向路由模式2.测试多核安全网关吞吐量并记录测试结果帧长（字节）641518路由模式吞吐量（Mbps）504.0624000测试点评功能有效其它说明和注意事项时延测试测试目的检测时延测试配置利用IXIABPS测试时延测试过程1.2对千兆端口设置为双向路由模式2.测试平均时延并记录测试结果帧长（字节）641518路由模式时延（微秒）9.7118.093测试点评功能有效其它说明和注意事项注：评测报告内容以“网界网”评测频道发布为准第10页共67页IPSec吞吐量测试测试目的检测IPSec吞吐量测试配置利用IXIABPS测试IPSec吞吐量测试过程1.2对千兆端口设置为双向路由模式2.开启IPSec功能，并建立通道3.测试多核安全网关吞吐量并记录测试结果帧长（字节）641420路由模式吞吐量（Mbps）1811540测试点评功能有效其它说明和注意事项并发连接测试测试目的检测被测设备在传输层并发连接处理能力测试配置IXIABPS测试仪表共虚拟了12个服务器IP以及200个客户端IP客户端向服务器端访问文件大小为64ByteHTTP协议为1.0多核安全网关设备配置为透明模式测试过程1.2对千兆接口测试模块发出10000新建连接/秒HTTPGet应用请求并保持2.统计客户端接收流量数据测试结果测试仪表上记录的多核安全网关设备七层并发连接数为50万HTTP并发连接测试点评功能有效其它说明和注意事项注：评测报告内容以“网界网”评测频道发布为准第11页共67页新建连接测试测试目的检测被测设备在传输层新建连接处理能力测试配置IXIABPS测试仪表共虚拟了12个服务器IP以及200个客户端IP客户端向服务器端访问文件大小为64ByteHTTP协议为1.1多核安全网关设备配置为透明模式测试过程1.2对千兆接口测试模块发出HTTPGet应用请求2.统计客户端接收流量数据测试结果测试仪表上记录的多核安全网关设备七层新建连接数为3.4万HTTP新建连接测试点评功能有效其它说明和注意事项注：评测报告内容以“网界网”评测频道发布为准第12页共67页功能测试项目：项目编号测试项目测试子项目编号测试子项目测试结果T01管理功能T01-1可视化管理通过T02监控功能——日志T02-1流量日志查看通过T02-2威胁日志查看通过T02-3URL日志查看通过T02-4内容日志查看通过T02-5操作日志查看通过T02-6系统日志查看通过T02-7用户活动日志查看通过T02-8策略命中日志查看通过T02-9邮件过滤日志查看通过T03监控功能——报表T03-1创建报表通过T03-2流量报报表查看通过T03-3查看基于源地址/目地地址/用户/应用/源地区/目的地区下的详细排名通过T03-4威胁报表通过T03-5查看基于应用/用户/攻击者/攻击对象/威胁名称/攻击地区/被攻击地区下的详细排名通过T03-6流量地图通过T03-7威胁地图通过T03-8系统统计通过T03-9诊断中心通过T04智能策略（SmartPolicy）T04-1策略快速部署通过T04-2策略调优通过T04-3策略精简通过T04-4NAT策略通过T04-5策略路由通过注：评测报告内容以“网界网”评测频道发布为准第13页共67页项目编号测试项目测试子项目编号测试子项目测试结果T04-6带宽策略通过T04-7父子策略通过T05攻击防范T05-1DDoS防范通过T05-2DDOS流量自学习通过T05-3单包攻击通过T05-4黑名单通过T06应用层网关(NATALG)T06-1NATALG支持协议通过T06-2应用识别对象通过T06-3URL过滤通过T06-4用户管理——认证服务器通过T06-5用户管理——支持页面定制通过T06-6用户管理——登录后页面跳转通过T06-7用户管理——登录后页面跳转通过T06-8反病毒——支持协议通过T06-9反病毒——推送信息通过T06-10IPS——检测率通过T06-11文件类型过滤通过T06-12文件内容过滤通过T06-13HTTP、FTP行为控制通过T06-14邮件过滤通过T06-15升级通过T07网络T07-1安全区域通过T07-2DDNS通过T07-3DHCP通过T07-4多出口通过T07-5路由通过T07-6VPN通过T07-7DSVPN（DynamicSmartVirtualPrivateNetwork）通过注：评测报告内容以“网界网”评测频道发布为准