2萬(wàn)預(yù)算，如何選擇企業(yè)級(jí)防火墻？

家人們！快到年底了！不僅打工人要沖業(yè)績(jī)，黑客也開(kāi)始沖業(yè)績(jī)了！工商銀行在美子公司遭黑客攻擊，導(dǎo)致部分系統(tǒng)中斷。你以為黑客只攻擊大企業(yè)？非也，湖北某縣醫(yī)院也遭到大規(guī)模黑客攻擊，百萬(wàn)級(jí)重要醫(yī)療數(shù)據(jù)直接消失。

問(wèn)題來(lái)了，面對(duì)勒索，你是付贖金還是不付？不付，重要數(shù)據(jù)直接消失，業(yè)務(wù)停擺；付，數(shù)據(jù)統(tǒng)計(jì)，80％ 支付贖金的企業(yè)會(huì)遭到二次勒索攻擊，陷入了沒(méi)完沒(méi)了的死循環(huán)。

面對(duì)如此大的安全風(fēng)險(xiǎn)，購(gòu)買專業(yè)防火墻是當(dāng)務(wù)之急，但奈何作為中小企業(yè)和小微企業(yè)，成本有限，囊中羞澀。最近同行推薦了兩款新華三區(qū)縣安全防火墻- H3C SecPath F1000-AK9120和AK9150，說(shuō)是既安全高效又經(jīng)濟(jì)實(shí)惠，性價(jià)比高高的，已經(jīng)有不少用戶在用了，今天咱們來(lái)測(cè)測(cè)！

外觀：簡(jiǎn)潔大方 精美實(shí)用

從外觀來(lái)看，AK9120長(zhǎng)44厘米，寬23厘米，1U高，前面板從左到右分別是1個(gè)console口、1個(gè)USB接口、2千兆電口+2千兆光口、8千兆電口，左右兩側(cè)是蜂窩狀散熱孔，電源街口在整機(jī)的后面板位置。

AK9150比AK9120的設(shè)計(jì)要復(fù)雜一些，長(zhǎng)44厘米，寬36厘米，1U高，前面板從左到右分別是2個(gè)硬盤擴(kuò)展位、2個(gè)管理網(wǎng)口、4個(gè)BYPASS口、18個(gè)千兆電口、8個(gè)combo口、2個(gè)萬(wàn)兆光口、1個(gè)console口和2個(gè)usb接口，左右兩側(cè)是蜂窩狀散熱孔，后面板上設(shè)有兩個(gè)電源接口。

簡(jiǎn)單來(lái)說(shuō)，兩款產(chǎn)品都是很簡(jiǎn)潔實(shí)用的設(shè)計(jì),既省空間又美觀大方，AK9150比AK9120多了一個(gè)電源，當(dāng)主電源故障時(shí)可以立即切換到備用電源，確保設(shè)備正常運(yùn)行，業(yè)務(wù)不中斷;此外AK9150在AK9120的基礎(chǔ)上提供了8個(gè)電口+8個(gè)光電復(fù)用接口+2個(gè)萬(wàn)兆光接口，并配置了單獨(dú)的4個(gè)Bypass口，滿足用戶接口和可靠性需求。

性能：吞吐量滿足日常所需 安全防護(hù)更完備

接下來(lái)看看兩款防火墻的參數(shù)，咱們重點(diǎn)圍繞吞吐量、待機(jī)數(shù)、接口、存儲(chǔ)、硬盤和特征庫(kù)展開(kāi)：

先看吞吐量：吞吐量是網(wǎng)絡(luò)設(shè)備在每一秒內(nèi)處理數(shù)據(jù)包的最大能力，我們都知道，吞吐量越大，性能越強(qiáng)，AK9120網(wǎng)絡(luò)層吞吐量1.5G，適配帶寬1G，意味著，如果有100個(gè)用戶同時(shí)上網(wǎng)，每用戶可以分配10Mbps的帶寬，在實(shí)際工作場(chǎng)景中10Mbps帶寬幾乎可滿足員工絕大多數(shù)需求。

如果有500名員工甚至更多，或者員工數(shù)量雖少但對(duì)寬帶要求很高，比如游戲或直播公司等，推薦這款A(yù)K9150，它的網(wǎng)絡(luò)吞吐量是3.5G，適配帶寬達(dá)到3G，可以支持500以上甚至是800-1000的待機(jī)人數(shù)。

在存儲(chǔ)上，AK9120有2G內(nèi)存，沒(méi)有單獨(dú)硬盤，這個(gè)內(nèi)存量存放中小企業(yè)或機(jī)構(gòu)的日志是完全沒(méi)有問(wèn)題的（存滿即覆蓋，配合日審滿足合規(guī)要求）。

不過(guò)，也有些企業(yè)或機(jī)構(gòu)對(duì)可視化管理要求非常高，需要海量日志數(shù)據(jù)長(zhǎng)期存儲(chǔ)，這就需要硬盤了，而且最好是雙硬盤，能組成RAID1磁盤陣列，RAID1通過(guò)硬盤數(shù)據(jù)鏡像實(shí)現(xiàn)數(shù)據(jù)的冗余，提高讀取性能和數(shù)據(jù)安全性。

市場(chǎng)上一般3U設(shè)備才可以支持雙硬盤，大多數(shù)1U只支持單硬盤，AK9150雖然是1U設(shè)備，但也做到了雙硬盤，這點(diǎn)是非?？扇〉摹?/p>

接下來(lái)看看特征庫(kù)，特征庫(kù)是防火墻安全防護(hù)體系的重要組成部分，企業(yè)或機(jī)構(gòu)最關(guān)心的大概是應(yīng)用程序識(shí)別，使用者身份識(shí)別、整合入侵防御、安全事件分析等事項(xiàng)，在這方面，AK9120和AK9150也早有準(zhǔn)備；

兩款產(chǎn)品都支持AV防病毒特征庫(kù)、IPS入侵預(yù)防特征庫(kù)、URL過(guò)濾特征庫(kù)、TI威脅情報(bào)、應(yīng)用識(shí)別等，入侵防御達(dá)到20000+，應(yīng)用識(shí)別10000+，防病毒600萬(wàn)+，WAF庫(kù)5000+?？梢哉f(shuō)是防護(hù)全面到位，讓你的數(shù)據(jù)無(wú)往不利！

云平臺(tái)：簡(jiǎn)單易用保安全

看完硬件和參數(shù)，接下來(lái)進(jìn)入操作系統(tǒng)，這就是云平臺(tái)的全貌，首頁(yè)有安全中心、分析中心、策略中心、配置中心等等，咱們一一展開(kāi)。

安全中心：安全威脅事件一鍵處理，風(fēng)險(xiǎn)主機(jī)溯源定位

分析中心：針對(duì)挖礦勒索等高發(fā)安全事件，云平臺(tái)根據(jù)網(wǎng)關(guān)上報(bào)的安全、審計(jì)等日志，通過(guò)關(guān)聯(lián)規(guī)則、機(jī)器學(xué)習(xí)、威脅情報(bào)，UEBA等多種威脅分析模型，生成安全事件報(bào)告。

監(jiān)控中心：實(shí)時(shí)監(jiān)測(cè)設(shè)備狀態(tài)，包括設(shè)備性能監(jiān)測(cè)，上下行流量監(jiān)測(cè)，設(shè)備接口監(jiān)測(cè)，策略配置合理性監(jiān)測(cè)等，云端專家周期性進(jìn)行智能巡檢任務(wù)，并輸出標(biāo)準(zhǔn)化巡檢報(bào)告。

策略中心：支持設(shè)置定時(shí)任務(wù)進(jìn)行安全策略配置，支持IPS，AV，VPN等策略管理，設(shè)備配置模板集中下發(fā)。

實(shí)測(cè)：遠(yuǎn)超行業(yè)平均水平 防護(hù)更專業(yè)

外形、硬件、參數(shù)和平臺(tái)都看完了，這兩款防火墻的實(shí)際功能究竟如何，接下來(lái)進(jìn)入實(shí)測(cè)環(huán)節(jié)！

在測(cè)試中，我們分別對(duì)兩款防火墻進(jìn)行了多輪壓力測(cè)試和安全防御測(cè)試。H3C SecPath F1000-AK9120的網(wǎng)絡(luò)吞吐量標(biāo)稱1.5G，實(shí)測(cè)1.5G。

H3C SecPath F1000-AK9150的網(wǎng)絡(luò)吞吐量標(biāo)稱3.5G，實(shí)測(cè)可達(dá)到3.7G。

在新建連接數(shù)測(cè)試中，AK9120的標(biāo)稱新建連接數(shù)是15000，實(shí)測(cè)數(shù)據(jù)為16000+。而AK9150的標(biāo)稱新建連接數(shù)為20000，實(shí)測(cè)數(shù)據(jù)為24000+。

并發(fā)連接數(shù)測(cè)試中，AK9120的標(biāo)稱并發(fā)連接數(shù)是110萬(wàn)，實(shí)測(cè)數(shù)據(jù)為130萬(wàn)+。而AK9150的標(biāo)稱并發(fā)連接數(shù)位200萬(wàn)，實(shí)測(cè)數(shù)據(jù)為240萬(wàn)+。

結(jié)果顯示，H3C SecPath F1000-AK9120和AK9150在各項(xiàng)測(cè)試中都表現(xiàn)得非常出色，無(wú)論是網(wǎng)絡(luò)吞吐量還是在新建連接數(shù)以及并發(fā)連接數(shù)等的測(cè)試中都遠(yuǎn)超過(guò)了行業(yè)平均水平。

在實(shí)際的病毒防護(hù)測(cè)試中，從后臺(tái)的系統(tǒng)日志中我們可以看到，這兩款防火墻都能夠自動(dòng)進(jìn)行病毒攔截和防護(hù)。

兩款產(chǎn)品怎么選？

整體來(lái)看，這兩款產(chǎn)品是新華三專門面向區(qū)縣市場(chǎng)開(kāi)發(fā)的，確實(shí)滿足了區(qū)縣市場(chǎng)用戶（包括但不限于如中小學(xué)、市縣醫(yī)院、區(qū)縣政府、企業(yè)、銀行、酒店、社區(qū)等多行業(yè)）的需求，從這兩款產(chǎn)品中我們能看到新華三在安全領(lǐng)域的技術(shù)沉淀和滿滿的誠(chéng)意，從市場(chǎng)反饋來(lái)看，也是比較給力的。

再聊聊大家普遍關(guān)心的價(jià)格，AK9120適合分支企業(yè)或人數(shù)低于300人以內(nèi)的中小企業(yè)或機(jī)構(gòu)，它的價(jià)格在1萬(wàn)元以內(nèi)，具體價(jià)格根據(jù)配置略有區(qū)別，銀行分支、餐飲企業(yè)、小型連鎖店使用它效果拔群!

在實(shí)際使用上，不少企業(yè)用AK9120做出口防火墻，消防局用來(lái)做內(nèi)外網(wǎng)隔離，也有政府機(jī)構(gòu)和居民區(qū)用AK9120承擔(dān)信息防泄漏的功能，這都是用戶已經(jīng)在使用的功能。

AK9150相對(duì)高端一些，適合對(duì)網(wǎng)絡(luò)性能要求更高、業(yè)務(wù)復(fù)雜的數(shù)據(jù)密集型企業(yè)或機(jī)構(gòu)，價(jià)格2萬(wàn)以內(nèi)，有更高層次的安全需求而且有條件搞一搞高大上的，推薦AK9150，絕對(duì)是物超所值，安全感滿滿。

實(shí)際使用上，部分中小學(xué)用AK9150做校園網(wǎng)安全覆蓋，區(qū)政務(wù)網(wǎng)用來(lái)做外網(wǎng)隔離，酒店用AK9150實(shí)現(xiàn)防火墻改造升級(jí)，擔(dān)當(dāng)網(wǎng)絡(luò)出口，使用場(chǎng)景豐富。

結(jié)語(yǔ)

總之,無(wú)論是需要基礎(chǔ)網(wǎng)絡(luò)安全防護(hù)的企業(yè)或機(jī)構(gòu),還是業(yè)務(wù)量大對(duì)性能要求高的增長(zhǎng)型用戶，新華三防火墻產(chǎn)品都能滿足你的需求,讓網(wǎng)絡(luò)安全防線更加牢固!