【编者按】从当今网络安全市场来看,企业用户对于安全的感知越来越强烈。中国用户对于无线网络安全的担忧也要显著高于其他国家,正因如此,在BYOD盛行且网络边界日渐模糊的今天,上网行为管理的特性逐渐引入到各大网络设备供应商的产品中,在今年D-Link正式发布了下一代企业路由,旨在针对网络边界实现app统一管控、应用层技术识别以及未知风险管理。
综合来看,安全厂商和网络设备供应商对于下一代安全的理念各有不同。安全防御能力和网络设备本身的性能往往此消彼长,D-Link DI-9000系列下一代企业路由就是颠覆传统上网行为管理路由器的一款新品,本次评测的D-Link DI-9300就是其中的代表作品。
这款定位于200人以下的中小企业上网行为管理安全路由器主以其移动管控、应用识别、未知风险管理等强势功能满足中小企业用户需求。在传统购物网站、社交网站屏蔽的功能上强调了对于移动设备的管理。从产品介绍来看,基于特征库的检测技术依然是这款产品应对网络安全的主要技术,而在移动端D-Link DI-9300引入了APP深度管理技术,进一步保障了用户的终端安全,作为防护边界的产品过滤功能也是必不可少的。下面我们就全面解析这款D-Link DI-9300。
【产品外观】从整体外观上看,1U的机身(430*330*44.5)的三围让这款产品十分符合机房布局,采用了传统的非模块化设计。4个10/100MbpsLAN口以及一个WAN口基本能够满足中小企业用户的需求。最多支持5 个 WAN 口,同时指示灯设计简洁沿袭了友讯一贯的工业设计。
侧面的散热孔能够很好的解决散热问题,进而提升产品运行稳定性。从内部结构来看散热问题无需顾虑,支持<150Mbps的一款企业级路由器不会有很大的负载,因此也能很好的保持稳定。内部构造一目了然,综合来讲不存在产品性能隐患。
【配置界面】从后台界面来看,这款D-Link DI-9300作为一款网关功能十分全面。其中内置多种应用特征和基于URL数据库的检测能够实现对于网络流量的精确把控。
精细化流量控制和策略设置是当前的企业级上网行为管理路由必不可少的功能,而用户对于策略的把控和配置功能是必不可少的。就当下而言,这也是很多中小企业忽视但是极为重要的功能。
在安全防护方面,通过对传输数据方向的控制,实现内网与外网隔离上的管控。集成了会话超时管理等管控功能,DI-9000系列产品在传统防御方式下还特别增加钓鱼攻击过滤模块防范影响广泛的钓鱼威胁。
现如今,越来越多的安全设备倾向于改变方法论来应对未知威胁,作为边界防护不可或缺的安全路由器,白名单技术和相应的负载均衡能力既保障了安全性有进一步保障网络的稳定性。在数据安全方面,必不可少的VPN功能也集成在了此款产品中,为保障数据传输安全,DI-9300提供IPSec 、PPTP/L2TP 多VPN一体化,分支与总部实现IPSec VPN传输模式,移动办公PPTP/L2TP VPN,双接入账号共享使用,减少维护成本。而在移动终端把控上,显然友讯已经做出提前布局,在新品中对于终端安全进行统一把控。
【性能测试】评测环境:信而泰评测实验室
北京信而泰科技股份有限公司,是中国市场上测试端口出货量最大的网络测试仪供应商,可实现以太网2~7层测试与协议仿真、IP网络验收与监测、IP网络及设备性能测试等各种功能。自2007年成立以来,信而泰BigTao(道)系列网络测试仪、iTester系列网络测试仪、Tlite手持网络测试仪、Teststorm2~7层测试平台被通信设备制造商、服务提供商、科研院所、高等院校、电力、交通等各领域客户广泛采用,实现对复杂网络及网络设备的各种测试。信而泰的全系列网络测试仪产品均为自主研发,可根据客户的特殊需求提供定制化服务,用户也可以基于信而泰的测试仪方便的进行二次开发。
在性能测试方面,测试仪器为BingTao200 机箱+V6016C板卡,TeleExplorer操作软件测试平台+TeleAPP软件测试套件,采用了以下标准:RFC2544/2889性能测试标准,GB/T 20281 信息安全技术,防火墙技术要求和测试评价方法,信产部YD/T 1287(具有路由功能的以太网交换机测试方法)。Frame Size(bytes)分别为:66、 128、256、512、1024、1280、1518。
本次测试将针对D-Link DI-9300下一代企业路由的PPPOE安全接入、应用管理、带宽限制,设备的吞吐量、时延、丢包率性能进行全面测试,看看它的功能性能是否可以满足企业网络的需求。
1. PPPoE认证:
PPPoE:Point to Point Protocol over Ethernet,在以太网上承载PPP协议(点到点连接协议),它利用以太网将大量主机组成网络,通过一个远端接入设备连入因特网,并对接入的每一个主机实现控制、计费功能。
测试方法:测试仪一个端口和开启PPPoE Server接口相连。
路由器配置:
测试仪配置:
测试结果:
最多支持90个用户同时接入。
2. 应用管理:
通过此配置,可以限制某些用户的上网功能。测试仪T2和T3两个端口分别接路由器的LAN口和WAN口,T2向T3发送流量:
路由器配置:
测试仪配置:
测试结果:
限制之前,可以收到T2发送的TCP报文,在路由器做了限制该用户发送TCP报文之后,对于该用户发出的TCP报文不再进行转发,限制了该用户的该应用。
3. 带宽控制:
通过该功能,可以限制某些用户上网速度,以免单个用户占用太多带宽影响其他人正常使用网络。
测试仪T2和T3两个端口分别接路由器的LAN口和WAN口,T2向T3发送流量:
路由器配置:
测试仪配置:
测试结果:
前半部分的测试结果是带宽限制的测试情况,该用户被限制到1M左右,即使他发送满线速的流量,路由器也只转发1M左右的业务,后半部分是删除该限制条件的测试情况,该用户发送多少流量,只要在路由器的吞吐量之内,便全部转发。
4. 吞吐量:
吞吐量,即在设备不丢包时达到的最大转发速率,吞吐量的结果越大,则说明设备性能越好;
测试仪端口T1 接路由器LAN口,T2接路由器WAN口;
路由器LAN口配置
路由器WAN口配置:
测试仪T1配置IP地址为192.168.0.2,发送UDP报文
测试仪T2配置IP地址为192.168.100.2,发送UDP报文
测试结果:
该设备在帧长为1280B和1518B的时候可以达到线速转发,在1024B的时候也可以达到84.54%的转发率,而在网络环境交互的报文也以长包居多。
5. 时延:
时延,即在设备不丢包的情况下,转发报文的时间,数值越小,则说明性能越好;
路由器配置以及测试仪配置同吞吐量测试;
测试结果:
在非线速的时候,时延比较小而且稳定,只有在1280B和1518B这两个帧长线速测试的时候帧长才有所变大,因为线速对设备的缓存大小和压力考验比较大,对于路由器来说也属于正常现象。
6. 丢包率测试:
丢包率旨在测试路由器在不同帧长不同速率时的丢包情况,丢包率越小,设备性能越好;
路由器配置以及测试仪配置同吞吐量测试;
测试结果:
和吞吐量测试结果一致,小帧长会根据测试速率的不同有不同程度的丢包,1280B和1518B这两个帧长在线速转发报文时不丢包。
【评测总结】从当今我网络安全市场来看,边界防护依然是IT运维管理人员倚重的最有效产品。而精细化管理、精细化控以及面向移动终端的管理功能也很自然的成为下一代企业路由的必备功能。
D-Link DI-9300下一代企业路由作为一款面向中小企业的产品,其高性价比和功能都十分适用于当前市场,在流量控制和移动终端APP管理两项特色功能上,具备技术前瞻性,也迎合了当前企业安全市场的技术发展趋势。其高性价比十分适合中小企业用户选购。