正在阅读：功能全面的入门级防火墙 金山KingGate MBG+25评测功能全面的入门级防火墙 金山KingGate MBG+25评测

　　2008年8月8日，国内信息安全厂商三强的金山面向企业安全市场重炮推出首款全程防护新品金山KingGate中小企业安全套装。

　　金山KingGate中小企业安全套装专门为响应中小企业的网络安全需求而量身打造，它借助金山全程防御战略的跨界概念，利用硬件UTM网关功能和金山毒霸核心技术，在业界首推软硬联防的全程防护安全新品，为信息安全长远发展开辟了网络威胁防范的第三空间。

　　这次我们测试的就是其中入门级的一款产品：金山KingGate MBG+25。金山KingGate MBG+25安全套装采用的是基于NP平台的第三代PowerPC芯片方案，该方案基于RSIC指令集，架构优于X86结构，为网络高端设备广泛采用。该机采用的平面完全分离的软件体系架构以及 CPU 内部的流水线和指令优先处理机制的设计都能有效保障实现MBG+25的高性能。该机具有2个百兆WAN口，支持线路探测，支持链路备份/冗余多种接入模式，支NAT、路由、网桥运行模式，支持静态IP、PPPOE、DHCP Server方式接入。同时，该机具有4个百兆LAN口，内置交换功能。

　　除了专业的路由功能，该机具有VPN（虚拟专用网络）功能，支持IPsec VPN以及PPTP VPN，支持DDNS（Oray、3322）可以为小型企业提供出差人员以及分支机构提供私有的网络安全通道。

　　除此之外，KingGate MBG+安全套装最为独特的是，内嵌了金山毒霸中小企业专用版，提供了客户端病毒查杀工具，实行网内防护，并于网关形成无缝联动。也就是说，网关职能检测桌面端安全状态，当网关发现客户端未装防毒软件，或杀毒软件引擎过低，或数据异常等各种非正常状态时，都会拒绝用户上网，以保证整个局域网络的安全。

产品介绍：

金山KingGate MBG+25

在包装上我们可以看到金山KingGate MBG+25已经通过各种认证，包括微软的Vista认证

　　金山KingGate MBG+25的前面板，与一般多WAN口路由器无异，具有两个WAN口，四个LAN口和一个console口，通过console可以在超级终端下对金山KingGate MBG+25进行简单的系统命令操作。

“金山KingGate”的标志位于左侧，收购招商卓尔之后建立的金山KingGat技术实力不容小觑

通风孔在左右两侧

背面也是“大众化”，有一个电源接口和一个开关

在背面左侧很显眼地贴着网络安全产品销售许可，这也是金山KingGate MBG+25的质量和安全的保证

软件功能介绍：

作为一个双WAN口的防火墙网关，MBG+25提供了网关和网桥两种模式，支持静态、动态和拨号三种上网方式。

在负载均衡方面，WAN1和WAN2都是采用手动选择接入网络的方式实现，也就是基于运营商分类的策略路由。

在DHCP方面支持MAC地址绑定，这个在防范第一代ARP攻击上具有一定作用。

用户上网认证是MBG+25的一个特色，可以通过设置不同的门槛实现不同用户的上网管控

包括有一个免认证地址，比如企业老总的电脑就可以免去这一步操作

MBG+25支持IPsec VPN以及PPTP VPN，支持DDNS（Oray、3322）可以为小型企业提供出差人员以及分支机构提供私有的网络安全通道。

MBG+25提供了基本的网络攻击防范及流量控制措施，像限制连接数、过滤地址欺骗，也即ARP攻击，还有过滤ICMP包的功能，即IP分片攻击，等等。

虚拟IP在有些路由器上也叫做虚拟服务器，通过它我们可以从外网直接访问内网的机器，在有些应用下还是很有用的。

防火墙里面还提供了文件类型过滤的功能，包括像动画、脚本、视频、音频、图片等，可以根据企业自身的情况结合设置。

应用控制也是MBG+25的一个亮点，我们可以通过MBG+25对MSN、QQ进行过滤或监控，当然各种P2P应用也不在话下。

中小企业内网的管理也是CIO和网管们所头疼的，通过MBG+25的地址管理组件，就可以实现对不同用户的分组管理，省了不少事

同时，MBG+25更是提供了图形化的流量监控界面，便于网管人员最直观地获取当前流量状况报告。

MBG+25内嵌了金山通行证，登录之后可使用金山提供的各种网络服务，不过我们对下面的东西更感兴趣：

　　我们打开用户上网认证功能，在浏览器上会出现认证窗口：

　　可以看到在下方有QQ监控客户端和金山毒霸2008套装下载，也即是你如果打开QQ监控功能的话，用户需要安装QQ监控客户端之后，他才能正常使用QQ，这样的话CIO或网管就能对员工的IM使用进行完全监控了（因为MSN的消息是没有经过加密就传输的，所以MSN监控不用装客户端，而QQ的消息是经过高度加密之后传输，解密相当有难度，所以必须装上客户端。这也是很多公司只允许使用MSN而不允许使用QQ的一个重要原因。）

直接下载或安装即可

金山毒霸2008也是直接的下载安装

输入用户名和密码，就可以认证成功上网了。

性能测试：

　　1、用Chariot对MBG+25进行LAN to WAN的吞吐量测试。

　　2、开启设备的所有ARP防护功能，在内网客户端PC-1上使用“欣全向ARP工具”仿造网关地址进行攻击，此刻其他PC不受影响正常上网，设备日志能够发现并阻断攻击数据，则为可以防御。

　　3、用HGod对设备进行100个并发连接的SYN攻击，如果其它PC不受影响正常上网，则视为可以防御。

LAN to WAN 10pairs(41.941Mbps)

　　接下来将并发连接增加到50pairs，发现成绩略有下降，为38.603Mbps。

LAN to WAN 10pairs(38.603Mbps)

　　那么MBG+25在开启应用下的表现会如何呢？我们将防火墙所有设置打开，继续用50pairs测试，发现成绩下降很明显，到了18.951Mbps，也即是说MBG+25在打开防火墙所有应用的情况下性能为应用全关下效能的48%左右。

LAN to WAN 10pairs(18.951Mbps)

7总结回顶部

　　接下来再查看测试过程中的系统使用率，发现CPU已经是满负荷运行了。

　　为了进一步验证防火墙的功能，我们将防火墙中的“并发连接数TCP”设置为49个（即超过49个的话，防火墙会阻挡超出的连接）。然后继续用50个并发测试：结果如下，我们发现测试还是顺利完成了，但其中有两个pair完全没有数据传送成功，即防火墙只通过了48条连接。证明该功能是可以良好运行的。

　　接下来是攻击防范测试，我们选取了其中两个：ARP攻击和SYN攻击。通过软件模拟地址欺骗和SYN攻击，结果两个测试MBG+25均顺利通过，在100个并发的攻击下，其它PC仍然可以正常访问外网。

总结：

　　金山KingGate MBG+25可以说是一款大而全的产品，在它上面集成了基本的路由、交换功能，初级防火墙功能，上网行为管理功能（其实是内容记录功能），还有与金山毒霸结合的立体防御。在基本性能方面，金山KingGate MBG+25能够满足50人以下的中小型网络的上网与数据交换需求，而初级防火墙的功能比较全面，可以防范一般的ARP、SYN、IP分片攻击等，不过开启之后会对性能造成50%的影响，这个时候带机量也会有所下降。在上网行为管理方面，QQ与MSN均采用目前主流的监控方式，而P2P流量控制则是采用特征码的方式，这个比较被动，不能对所有P2P软件进行控制，在开启的情况下，小绵羊就用chariot模拟P2P流量成功地“完成下载”，当然这也是由于产品的定位和成本的关系，不可能对所有封包进行完全的拆解。而与金山毒霸结合的立体防御是一个亮点，通过提供安全软件下载，把内网病毒和攻击抑制在发芽阶段，可以窥见一点与NAP和NAC相同的理念。

　　总的来说，金山KingGate MBG+25安全套装提供了一般中小企业所需的大部分功能，功能都比较简单，但应能满足日常应用。