2008年8月8日,国内信息安全厂商三强的金山面向企业安全市场重炮推出首款全程防护新品金山KingGate中小企业安全套装。 金山KingGate中小企业安全套装专门为响应中小企业的网络安全需求而量身打造,它借助金山全程防御战略的跨界概念,利用硬件UTM网关功能和金山毒霸核心技术,在业界首推软硬联防的全程防护安全新品,为信息安全长远发展开辟了网络威胁防范的第三空间。 这次我们测试的就是其中入门级的一款产品:金山KingGate MBG+25。金山KingGate MBG+25安全套装采用的是基于NP平台的第三代PowerPC芯片方案,该方案基于RSIC指令集,架构优于X86结构,为网络高端设备广泛采用。该机采用的平面完全分离的软件体系架构以及 CPU 内部的流水线和指令优先处理机制的设计都能有效保障实现MBG+25的高性能。该机具有2个百兆WAN口,支持线路探测,支持链路备份/冗余多种接入模式,支NAT、路由、网桥运行模式,支持静态IP、PPPOE、DHCP Server方式接入。同时,该机具有4个百兆LAN口,内置交换功能。 除了专业的路由功能,该机具有VPN(虚拟专用网络)功能,支持IPsec VPN以及PPTP VPN,支持DDNS(Oray、3322)可以为小型企业提供出差人员以及分支机构提供私有的网络安全通道。 除此之外,KingGate MBG+安全套装最为独特的是,内嵌了金山毒霸中小企业专用版,提供了客户端病毒查杀工具,实行网内防护,并于网关形成无缝联动。也就是说,网关职能检测桌面端安全状态,当网关发现客户端未装防毒软件,或杀毒软件引擎过低,或数据异常等各种非正常状态时,都会拒绝用户上网,以保证整个局域网络的安全。 产品介绍:
2回顶部 金山KingGate MBG+25的前面板,与一般多WAN口路由器无异,具有两个WAN口,四个LAN口和一个console口,通过console可以在超级终端下对金山KingGate MBG+25进行简单的系统命令操作。
软件功能介绍:
4回顶部
5回顶部
我们打开用户上网认证功能,在浏览器上会出现认证窗口: 可以看到在下方有QQ监控客户端和金山毒霸2008套装下载,也即是你如果打开QQ监控功能的话,用户需要安装QQ监控客户端之后,他才能正常使用QQ,这样的话CIO或网管就能对员工的IM使用进行完全监控了(因为MSN的消息是没有经过加密就传输的,所以MSN监控不用装客户端,而QQ的消息是经过高度加密之后传输,解密相当有难度,所以必须装上客户端。这也是很多公司只允许使用MSN而不允许使用QQ的一个重要原因。)
性能测试: 1、用Chariot对MBG+25进行LAN to WAN的吞吐量测试。 2、开启设备的所有ARP防护功能,在内网客户端PC-1上使用“欣全向ARP工具”仿造网关地址进行攻击,此刻其他PC不受影响正常上网,设备日志能够发现并阻断攻击数据,则为可以防御。 3、用HGod对设备进行100个并发连接的SYN攻击,如果其它PC不受影响正常上网,则视为可以防御。
首先我们进行吞吐量测试,首先关闭所有应用和防火墙,建立10个pairs,由LAN to WAN,可以看到成绩为40.941Mbps,属于中等水平。
接下来将并发连接增加到50pairs,发现成绩略有下降,为38.603Mbps。
那么MBG+25在开启应用下的表现会如何呢?我们将防火墙所有设置打开,继续用50pairs测试,发现成绩下降很明显,到了18.951Mbps,也即是说MBG+25在打开防火墙所有应用的情况下性能为应用全关下效能的48%左右。 接下来再查看测试过程中的系统使用率,发现CPU已经是满负荷运行了。 为了进一步验证防火墙的功能,我们将防火墙中的“并发连接数TCP”设置为49个(即超过49个的话,防火墙会阻挡超出的连接)。然后继续用50个并发测试:结果如下,我们发现测试还是顺利完成了,但其中有两个pair完全没有数据传送成功,即防火墙只通过了48条连接。证明该功能是可以良好运行的。 接下来是攻击防范测试,我们选取了其中两个:ARP攻击和SYN攻击。通过软件模拟地址欺骗和SYN攻击,结果两个测试MBG+25均顺利通过,在100个并发的攻击下,其它PC仍然可以正常访问外网。 总结: 金山KingGate MBG+25可以说是一款大而全的产品,在它上面集成了基本的路由、交换功能,初级防火墙功能,上网行为管理功能(其实是内容记录功能),还有与金山毒霸结合的立体防御。在基本性能方面,金山KingGate MBG+25能够满足50人以下的中小型网络的上网与数据交换需求,而初级防火墙的功能比较全面,可以防范一般的ARP、SYN、IP分片攻击等,不过开启之后会对性能造成50%的影响,这个时候带机量也会有所下降。在上网行为管理方面,QQ与MSN均采用目前主流的监控方式,而P2P流量控制则是采用特征码的方式,这个比较被动,不能对所有P2P软件进行控制,在开启的情况下,小绵羊就用chariot模拟P2P流量成功地“完成下载”,当然这也是由于产品的定位和成本的关系,不可能对所有封包进行完全的拆解。而与金山毒霸结合的立体防御是一个亮点,通过提供安全软件下载,把内网病毒和攻击抑制在发芽阶段,可以窥见一点与NAP和NAC相同的理念。 总的来说,金山KingGate MBG+25安全套装提供了一般中小企业所需的大部分功能,功能都比较简单,但应能满足日常应用。 |
正在阅读:功能全面的入门级防火墙 金山KingGate MBG+25评测功能全面的入门级防火墙 金山KingGate MBG+25评测
2008-11-07 18:09
出处:PConline原创
责任编辑:xiexiaomian