【低价好物】让10多年前的防火墙继续在今天发光发热——DPTech FW1000-GC-N
往期【低价好物】合集(从新到旧):
【低价好物】50块钱一个的移动IEG-100系列9口全千兆边缘智能网关,会翻车吗?
【低价好物】50块钱的光纤交换机(三)?皖通邮电ZXWT CTNS 180X&150X
【低价好物】50块钱的光纤交换机(二)?瑞斯康达iTN系列分组传送终端
前言
前段时间刚刚换上了华为的 USG6310S ,不过好景不长,刚刚上线没多久就发现这货的 CPU 有点撑不住了
,在高峰期经常会因为 CPU 过高而开始进行会话抑制,就像这样
点击展开/收合图片
参考华为的文档,华为的文档虽然很多地方说的很详细,但是却没有提到 CPU 的具体参数(指核心数量)和带机量
通过查询第三方资料,发现这个玩意儿带机量居然只有 50-100 ,局域网内大概有 50+ 台设备,自然是带的有点吃力
关于华为 USG6000(E)系列的参数,我贴了一份放在附录里面,感兴趣的可以去附录参考
于是就开始了新防火墙的寻找之旅
寻找合适的 FW
市场上的 FW 很多,而受欢迎的只有少数几种,下面简单介绍一下
华为 USG:我入的 USG6310S 就是这个系列的,华为系的好处是文档丰富,有问题去网站上面摇人方便,盒式的设备稍微便宜一些,框式的起步价就比较高,但是不管是盒式还是框式,带机量都相对低,性能较差,MIPS 架构,耗电量不高
飞塔:很多都是 FPGA 方案的,可以跑满线速,能够轻松买到的基本上都是比较老的设备,电老虎,属于是大力出奇迹,如果买到的系统版本比较老的话做负载均衡都费劲,另外国外厂商没有做国内运营商数据,所以需要手动写脚本把国内运营商数据刷进去才能做负载(要求系统 6.0+ 版本),版本低的不能负载均衡
瞻博:垃圾佬狂喜机,群友人均一台,好处是性价比高,有 MIPS(较老) 和 ARM(较新) 两种方案的,不过近几年价格也有点儿被炒上去了,接口多性能高,文档全(没有中文,对英语有一定要求)
天融信/深信服/360等 X86 架构 FW ,一般很多人买来改软路由,原厂文档不大好搞,但是是 X86 折腾性就比较强,扩展卡也比较好配(不过不便宜),耗电量也比较大
这次上面这些都不考虑,主要是价格相对来说太贵了,咱们去找找冷门便宜的
看过张大妈上面的一些文章,经常有人会问:家用为什么不去买路由器要买防火墙,也没有授权也不会去买授权,直接用路由器岂不更好
答案很简单,防火墙比路由器便宜
同样的钱,买到的防火墙性能更好,功能还多,为什么不买防火墙
当然不去买二手的话还是路由器便宜,这个没得说
非主流 FW 里面比较便宜的知名度较高的有天清汉马和启明星辰,不过文档基本上等于没有,不敢入手
所以我们要去找更冷门的,这些设备因为知名度不高不好卖,通常价格都比较低,而且砍价的空间较大
捡漏迪普 FW
因为在学校用过迪普(DPTech)的设备(WAF、LSW、UMC、FW),自然就先想到了它家,去海鲜市场看了一眼,果然无人问津,价格非常便宜,砍价也比较好砍,通过一番比较与砍价,最后以 350 包邮到家的价格拿到了一台 FW1000-GC-N
点击展开/收合图片
选择这台设备的原因有五个:一是性能够用,二是价格便宜,三是能恢复出厂,四是有文档,五是能升级到近几年的新系统
先来简单介绍一下这台设备,顺带介绍下捡漏指南
设备的基本参数
| 参数 | |
|---|---|
| 设备类型 | NGFW |
| 并发连接数 | 5200000 |
| 吞吐量 | 16Gbps |
| 安全过滤带宽 | 3000Mbps |
| 用户数限制 | 1000 |
| 网络端口 | 固定接口:8GE(2光6电) |
| 控制端口 | 扩展插槽:1个(可插一个 4GEP 扩展卡) |
| CPU | MIPS XLS408 Rev B1 @1000 MHz | 8核 |
| 功耗 | <65W |
| 内存 | 1G(可扩展到 2G ,我拿到的是 2G 的版本,DDR2 内存) |
| CF卡 | 1G(可以自己更换、扩展) |
| 风扇 | 3 个,静音风扇,声音很小 |
| 出货日期 | 2013-10-24(2016-10-24 过保) |
这个型号是在 2010(2011) 年左右推出的,当时产品定位是数据中心出口防火墙,中高端设备。10年后的今天,已经有一些家庭用上了千兆网络,这台设备显然不再适合在数据中心使用,不过拿来家用还是绰绰有余的,上面的风扇是静音风扇,声音很小,离稍微远一点就听不到了,功耗也比较低
迪普家产品的特点
鉴于很少有人用过他家的设备,所以简单介绍一下,当然是根据自己的感觉来的
- 性能够用,即使是低端设备性能也给的够足
- 升级支持时间长,比如我买的 FW1000-GC-N ,系统能升级到 2019 年,补丁能打到 2020 年(相比其它家这点难能可贵)
- 文档开放,官网可以直接下载,但是文档有点简约,不够详细,部分功能只能在 WEB 调,CLI 调不了(比如 FW 的负载均衡)
- CLI 风格为华为、华三系(迪普的支持也这么说,不过我拿到的 FW1000-GC-N 又感觉像锐捷 CLI,但是之前调他家的 LSW 确实能感觉到像华为系 CLI)
- 光模块兼容性不太好,和其它设备对接时建议使用中性模块(代工厂模块,我用的 WTD。之前在学校做对接的时候迪普和锐捷对接用迪普和锐捷模块都不行,出现过降速和断网的问题,家里的格林威尔 GPN 的模块也不行)
- 功耗低
捡漏指南
如果想捡漏他家的设备,有这么几点需要注意
- 设备没有 reset 键,恢复/升级系统/清除配置需要 conboot 的密码,一般没有人设置密码,但是如果设置了就很难办(官方建议返厂清除,不过自己试了下可以拆机换刷好机的 CF 卡来绕过 conboot 的密码,这点倒是很不错,毕竟都拆机了说明肯定是有设备的权限的),买之前要问清楚设备的 conboot 有没有设置密码,或者卖家是否知道 conboot 的密码
- 注意查看要买的设备能升级到什么时候的系统
- 很多卖家没有遮挡 SN 码,在迪普官网注册账号可以查询设备的出货日期,可以知道设备大概是什么时期的(主要是迪普不开放过去产品的参数,官网只能查询到新产品的参数,旧产品的参数建议用 bing 国际版搜英文或者看第三方,官网的英文链接很多只是从官网移除了但是没有取消访问权限,中文的基本上都取消访问权限了)(保修不用看了,海鲜市场的设备基本上都没有保修,有保修的都奇贵)
- 产品参数都清楚的标明了带机量,这点比某些厂商好太多,不过他家设备基本上不需要关注这个,基本上都够用,只要别傻呵呵地跑去买百兆设备就行
- 设备的文档写的非常简约,没有什么额外的说明,如果没有数通设备的使用经验尤其是 FW 的经验,还是建议找台华为的 FW 设备上个手先,不然有些地方设置的时候可能会发懵
- 扩展板卡并不好买而且价格比较贵,如果接口不够用的话建议直接买带板卡的设备,很多卖家是不拆板卡卖的
- FW 的负载均衡在 PPPOE 的场景下不能用,有多线的时候需要用策略/静态路由加 IP 地址组来做负载均衡,此时要注意实现 DMZ 区的源进源出
- 迪普家产品比较依赖 UMC 统一管理中心,一般正规场景会成套购买,设备本身的日志一般般,没有 UMC 的情况下分析日志有点麻烦
外观和系统
外观
先来看设备外观,前面板有 8 个 GE 口,2 个 SFP 和 6 个 RJ45 ,2 个 USB 口(用来 3G 备份链路)和一个 Console 口
点击展开/收合图片
后面板有 2 个电源输入,一个 ESD 接地,一个扩展口,扩展卡为 4GEP ,可以提供 4 个 SFP 或者 RJ45 口
点击展开/收合图片
左右两侧是风道,三个静音风扇在右侧安置,由右侧出风
点击展开/收合图片
底部为产品铭牌
点击展开/收合图片
拆机图
拆开机器,可以清楚的看到主板和电源模块,主板并不大,CF 是仙人掌的 1G CF 卡,可以自行更换,我换了一张 2G 的,内存是 DDR2 2G 800 MHz 半高内存,Apacer 生产,可以随意更换为其它家的 DDR2 半高内存(换全高会盖不上盖),在 TB 看到了有卖 4G DDR2 的,但是半高的价格很贵而且没有货
点击展开/收合图片
系统
开机,登录系统,系统是 11 年的版本,浓浓的 WinXP 味儿铺面而来,10 年那阵的系统多是这个风格,学校的一卡通系统后台也长这个样子,只能说是非常经典,简单可靠(低情商:非常的丑,难看,拉
)
点击展开/收合图片
升级
首先尝试使用 WEB 升级,结果发现升级之后所有网口都不能正常使用了,即使打上 no shutdown 也无法开启
根据版本说明书的指示,进行格式化升级,先用 TFTP 备份当前版本,然后在 conboot 选择格式化,之后用 TFTP 下载 19 年最新版本,指定为主启动版本,启动并确认重新分区,很快啊,熟悉的界面终于回来了
点击展开/收合图片
感觉设备一下子就脱胎换骨了有没有!一下子就现代化了起来
迪普近几年的设备都是这个样子的 UI ,做的还是挺好看的。和华为等 FW 设备通常分为六个板块(面板、监控、策略、对象、网络、系统)不同,迪普的 WEB 只分了两个板块,一个是“基本”,另一个叫做“业务”,逻辑上要简单一些,“基本”板块和一般的路由器一样,而防火墙相关的内容就全部放在了“业务”板块,很好理解
配置
迪普的设备配置起来和常见的 FW 设备略有些区别,有些地方需要取巧来进行设置,这些地方文档均没有说明,所以如果没有配置过 FW 设备大概率会发懵
和其它 FW 类似,设备基本上都不考虑家用场景,所以家用相关的地方坑就很多,主要的问题也都是家用场景造成的
PPPOE 相关
基本设置
需要先去开一个虚拟接口,在接口管理->逻辑接口->ppp 接口,然后接 ISP 的网口选择 PPPOE 协议和该 ppp 虚拟接口即可,这里问题不是很大
静态路由
和华为 FW 不同,迪普 FW 的健康检查在 ppp 接口上必须指定非 0.0.0.0 的下一跳,但是家用场景下 ppp 接口的下一跳不能唯一确定
为了正常使用,并避免在接口失效时流量调度到此接口,需要做以下操作(这里是由于存在多条线路,如果只有一条线路就不需要这样设置了)
这里说明一下原理,无论是动态公网还是走内网的用户,ISP 分配的网关一般都不会随意变动,在拨号时只会分配固定的几个网关,举例:100.64.216.1 / 100.64.217.1 ,每次拨号时只会分配到这两个段的某一个上,比如这次分配到 100.64.216.32 ,下次分配到 100.64.217.56 ,而分配 ISP 会禁止互访其它网段网关,用户侧只能 ping 通同段的网关,比如:在分配到 100.64.216.32 时能够 ping 通 100.64.216.1 但是 ping 不通 100.64.217.1 ,此时流量从此接口出时下一跳应为 100.64.216.1
以上面的场景为例,网关在两个段变动,需要配置三条静态路由和一条健康检查
两条到网关的静态路由,优先级需要高于所有出口的静态路由,举例如下(假设出接口为 ppp2 ):
| 目的网段 | 子网掩码 | 接口/下一跳 | 高级配置 |
|---|---|---|---|
| 100.64.216.1 | 24 | ppp2/0.0.0.0 | 路由优先级:8,健康检查:无 |
| 100.64.217.1 | 24 | ppp2/0.0.0.0 | 路由优先级:8,健康检查:无 |
然后配置一条健康检查:
| 名称 | 检查类型 | 监视IP地址 | TCP 端口号 | 间隔时间 | 指定源IP地址 | 指定出口 | 最少可达个数 | 重试次数 |
|---|---|---|---|---|---|---|---|---|
| ppp2 | ICMP | 100.64.216.1/100.64.217.1 | 无 | 5 | 自动 | 自动 | 1 | 10 |
再配置一条出口的静态路由:
| 目的网段 | 子网掩码 | 接口/下一跳 | 高级配置 |
|---|---|---|---|
| 0.0.0.0 | 24 | ppp2/0.0.0.0 | 路由优先级:9,健康检查:ppp2 |
负载均衡
存在多条线路时,需要做负载均衡,但是由于 ppp 接口是虚拟接口,其物理状态永远是 down ,而 ppp 对应的物理接口工作在二层,其协议状态永远是 down ,迪普 FW 会因为物理或协议 down 而直接判断该链路不通,导致 ppp 接口不能参与负载均衡,比较简单的方法是光猫改回路由,然后设置 DMZ 到迪普 FW ,不使用 PPPOE 协议,否则就无法用上自带的负载均衡
使用迪普 FW 自带的负载均衡,能够做到源进源出控制和较好的分流效果,但是当没有光猫管理权限,或是光猫不支持 DMZ 功能,或是光猫路由性能较差时仍需要桥接到 FW 进行拨号,导致无法使用系统自带的负载均衡,此时我们需要手动做负载均衡并在 DMZ 区控制源进源出
类似飞塔 FW 的玩法,首先需要重新加入运营商地址组,由于 FW1000-GC-N 是中高端设备,可以写入大量的地址对象,我们在 对象管理->IP地址 中用 Excel 手动导入中国电信、中国联通、中国移动和中国教育网的 IP 地址段,注意 Excel 一行只能导入 5 个 /24 段,多行用“;”分隔,需要用 Word 进行处理后复制到 Excel 。导入完成后将多个 IP 段按照运营商导入 IP 地址组,形成“中国电信”、“中国联通”、“中国移动”、“中国教育网”和“中国运营商组”
之后就可以设置策略路由,按照运营商进行分流,在多条线路带宽不平衡时,采用权重控制分流比例,在静态路由也使用权重控制分流比例
对于 DMZ 区,需要注意源进源出,在只有一个 ISP 公网出口时这样设置:
| 序号 | 名称 | 入接口 | 源网段 | 目的网段 | 协议 | TOS | 动作 | 时间 |
|---|---|---|---|---|---|---|---|---|
| 1 | DMZ 负载均衡 | ***(DMZ vlan 接口) | 旁路网关(一个/32的IP,DMZ区外网访问进来的流量不会过这个设备,这样设置不会影响源进源出) | 中国运营商组 | Any | Any | (配置策略路由多个出口) | All Time |
| 2 | DMZ内网 | ***(DMZ vlan 接口) | Any | 内网组 | Any | Any | 普通路由转发 | All Time |
| 3 | DMZ源进源出 | ***(DMZ vlan 接口) | Any | Any | Any | Any | ppp2/0.0.0.0/无健康检查 | All Time |
目的 NAT
和上篇华为 USG 设备的那篇文章一样,需要动态的变化目的 NAT ,问过迪普的工程师,没有 API 和 RESTCONF 接口,所以只能去调 ssh 模拟人工操作 CLI ,用 Python 的 netmiko 库实现, netmiko 库不支持迪普设备,需要自行实现一个操作迪普设备的方法,并取消输出分页,我简单做了一个自己用,同时放在 GitHub 上面,如果也买了他家的设备,有需要可以自取,记得给个 Star 就行
项目地址:https://github.com/luckykeeper/YuukaChan-DPTECH
DNS ALG
对内网设备返回 DMZ 区内网 IP ,实现内网访问,需要在内网接口开放,同时注意内网部分服务可能会通过外网的 IP 测试自己是否可用,此时要进行适配,如:ewomail ,在 /etc/hosts 指定自己的域名对应地址为 127.0.0.1
NTP
迪普 FW 的 NTP 服务器只对内网开放,没有外网使能的开关也不支持外网直接访问,可以通过在内网对迪普 FW 的 UDP 123 接口进行端口转发,并将此端口转发服务器开放出去来实现对外网的 NTP 服务
安全策略
注意默认策略是放通,为了安全考虑,需要改为阻断
另外由 local 区域发出的流量不受安全策略控制,全部放通且无法更改,这点和华为 FW 不同
在 系统管理->管理协议->接口服务限制 可以关闭外网侧对迪普设备的 telnet\ssh\web\ping 建议在外网侧接口至少关闭 telnet\ssh\web 协议
附录
题外话:最近海鲜市场多了一批迪普的 LSW ,其中有一部分性价比挺不错,有想法的可以去捡个漏
附录1:华为 USG6000 系列参数表
| 型号 | 参考 用户数 1 | 防火墙 吞吐量数 2 | 最大 并发连接 | 每秒 新建连接 | IPSec 吞吐量数 3 | IPSec 最大连接 | SSL VPN 并发用户 | 固定接口 | 内存 | 产品形态 | 冗余电源 |
|---|---|---|---|---|---|---|---|---|---|---|---|
| USG6305 | 20-60 | 500Mbps | 20万 | 4,000 | 300Mbps | 500 | 100 | 4GE | 1GB | 桌面 | 外置适配器 |
| USG6305-W | 20-60 | 500Mbps | 20万 | 4,000 | 300Mbps | 500 | 100 | 4GE | 1GB | 桌面 | 外置适配器 |
| USG6310S | 50~100 | 1Gbps | 25万 | 6,000 | 400Mbps | 1,000 | 100 | 8GE | 1GB | 桌面 | 外置适配器 |
| USG6310S-W | 50~100 | 1Gbps | 25万 | 6,000 | 400Mbps | 1,000 | 100 | 8GE | 1GB | 桌面 | 外置适配器 |
| USG6310S-WL | 50~100 | 1Gbps | 25万 | 6,000 | 400Mbps | 1,000 | 100 | 8GE | 1GB | 桌面 | 外置适配器 |
| USG6320 | 100~200 | 2Gbps | 50万 | 2万 | 600Mbps | 2,000 | 200 | 8GE | 2GB | 桌面 | 外置适配器 |
| USG6306 | 200~400 | 600Mbps | 80万 | 2.5万 | 900Mbps | 2,000 | 300 | 4GE+2Combo | 4GB | 1U 机架 | 选配 |
| USG6308 | 300~500 | 800Mbps | 100万 | 2.5万 | 900Mbps | 2,000 | 400 | 4GE+2Combo | 4GB | 1U 机架 | 选配 |
| USG6330 | 400~600 | 1Gbps | 150万 | 3万 | 900Mbps | 4,000 | 500 | 4GE+2Combo | 4GB | 1U 机架 | 选配 |
| USG6350 | 500~700 | 2Gbps | 200万 | 3万 | 900Mbps | 4,000 | 500 | 4GE+2Combo | 4GB | 1U 机架 | 选配 |
| USG6360 | 600~800 | 3Gbps | 300万 | 3万 | 900Mbps | 4,000 | 500 | 4GE+2Combo | 4GB | 1U 机架 | 选配 |
| USG6370 | 800~1000 | 4Gbps | 400万 | 6万 | 3Gbps | 4,000 | 1,000 | 8GE+4SFP | 4GB | 1U 机架 | 选配 |
| USG6380 | 1000~1200 | 6Gbps | 400万 | 7万 | 3Gbps | 4,000 | 1,000 | 8GE+4SFP | 4GB | 1U 机架 | 选配 |
| USG6390 | 1200~1500 | 8Gbps | 400万 | 8万 | 3Gbps | 4,000 | 1,000 | 8GE+4SFP | 4GB | 1U 机架 | 选配 |
| USG6390E | 1500~3000 | 10Gbps | 500万 | 16万 | 12Gbps | 15,000 | 2,000 | 8GE+4SFP | 8GB | 1U 机架 | 选配 |
1 参考用户数 仅供参考 根据实际网络环境的不同可能会有差异
2 防火墙吞吐量 算法 1518byte
3 IPSec吞吐量 算法 AES 1420 byte
附录2:华为 USG6000E 系列参数表
| 型号 | 参考 用户数 1 | 防火墙 吞吐量数 2 | 最大 并发连接 | 每秒 新建连接 | IPSec 吞吐量数 3 | IPSec 最大连接 | SSL VPN 并发用户 | 固定接口 | 内存 | 产品形态 | 冗余电源 |
|---|---|---|---|---|---|---|---|---|---|---|---|
| USG6510E-AC | 50-100 | 1.2 Gbit/s | 300000 | 20000 | 1 Gbit/s | 100/100 | 1000 | 2GE(SFP)+10GE | 桌面 | 外置适配器 | |
| USG6525EAC | 200~500 | 2 Gbit/s | 3000000 | 70000 | 2Gbit/s | 100/500 | 4000 | 210GE(SFP+)+8GE Combo+2*GE WAN | 1U机架 | 可选双电 | |
| USG6555E-AC | 500~700 | 4 Gbit/s | 4000000 | 78000 | 4Gbit/s | 100/1000 | 4000 | 310GE(SFP+)+8GE Combo+2*GE WAN | 1U机架 | 可选双电 | |
| USG6565E-AC | 700~1100 | 6 Gbit/s | 4000000 | 80000 | 6Gbit/s | 100/1000 | 4000 | 410GE(SFP+)+8GE Combo+2*GE WAN | 1U机架 | 可选双电 | |
| USG6585E-AC | 1100~1600 | 9 Gbit/s | 4000000 | 80000 | 6Gbit/s | 100/1000 | 4000 | 510GE(SFP+)+8GE Combo+2*GE WAN | 1U机架 | 可选双电 | |
| USG6615E-AC | 1600-2500 | 12 Gbit/s | 6000000 | 200000 | 10 Gbit/s | 100/2000 | 8000 | 610GE(SFP+)+6GE(SFP)+16*GE | 1U机架 | 可选双电 | |
| USG6625E-AC | 2500-4500 | 20 Gbit/s | 8000000 | 200000 | 15 Gbit/s | 100/2000 | 8000 | 710GE(SFP+)+6GE(SFP)+16*GE | 1U机架 | 可选双电 | |
| USG6635E-AC | 4500~7000 | 30 Gbit/s | 12000000 | 400000 | 20 Gbit/s | 100/5000 | 15000 | 240GE(QSFP+)+1210GE(SFP+)+16*GE | 1U机架 | 可选双电 | |
| USG6655E-AC | 7000~10000 | 40 Gbit/s | 12000000 | 400000 | 30 Gbit/s | 100/5000 | 15000 | 240GE(QSFP+)+1210GE(SFP+)+16*GE | 1U机架 | 可选双电 | |
| USG6307E-AC | 1-50 | 800 Mbps | 24万 | 2万 | 800Mbps | 1000 | 100 | 2×GE(SFP)+10×GE | 桌面 | 外置适配器 | |
| USG6311E-AC | 50-100 | 1.5 Gbps | 30万 | 2万 | 1Gbps | 1000 | 100 | 2×GE(SFP)+10×GE | 桌面 | 外置适配器 | |
| USG6331E-AC | 100~200 | 3 Gbps | 50万 | 3万 | 3Gbps | 2000 | 500 | 210GE(SFP+)+10GE | 桌面 | 外置适配器 | |
| USG6305E-AC | 100-400 | 600 Mbps | 100万 | 8万 | 600Mbps | 4000 | 500 | 210GE(SFP+)+8GE Combo+2*GE WAN | 1U机架 | 可选双电 | |
| USG6309E-AC | 300~500 | 800 Mbps | 120万 | 8万 | 800Mbps | 4000 | 500 | 210GE(SFP+)+8GE Combo+2*GE WAN | 1U机架 | 可选双电 | |
| USG6315E-AC | 400~600 | 1 Gbps | 180万 | 8万 | 1Gbps | 4000 | 500 | 210GE(SFP+)+8GE Combo+2*GE WAN | 1U机架 | 可选双电 | |
| USG6325E-AC | 500~700 | 2 Gbps | 240万 | 8万 | 2Gbps | 4000 | 500 | 210GE(SFP+)+8GE Combo+2*GE WAN | 1U机架 | 可选双电 | |
| USG6335E-AC | 600~800 | 3 Gbps | 360万 | 8万 | 3Gbps | 4000 | 500 | 210GE(SFP+)+8GE Combo+2*GE WAN | 1U机架 | 可选双电 | |
| USG6355E-AC | 800~1000 | 4 Gbps | 400万 | 8万 | 4Gbps | 4000 | 1000 | 210GE(SFP+)+8GE Combo+2*GE WAN | 1U机架 | 可选双电 | |
| USG6365E-AC | 1000-1200 | 6 Gbps | 400万 | 8万 | 6Gbps | 4000 | 1000 | 210GE(SFP+)+8GE Combo+2*GE WAN | 1U机架 | 可选双电 | |
| USG6385E-AC | 1200-1400 | 8 Gbps | 400万 | 8万 | 6Gbps | 4000 | 1000 | 210GE(SFP+)+8GE Combo+2*GE WAN | 1U机架 | 可选双电 | |
| USG6395E-AC | 1400-1600 | 12 Gbps | 800万 | 20万 | 12Gbps | 8000 | 2000 | 610GE(SFP+)+6GE(SFP)+16*GE | 1U机架 | 可选双电 | |
| USG6311E-AC | 50-100 | 1.5Gbps | 30万 | 2万 | 1Gbps | 1000 | 100 | 10GE(RJ45)+2GE(SFP)+1*USB2.0 | 1GB | 桌面 | 外置适配器 |
| USG6306E-AC | 100-400 | 600Mbps | 100万 | 8万 | 600Mbps | 4000 | 500 | 16GE(RJ45)+8GE(COMBO)+210GE(SFP+)+2WAN GE(RJ45)+1USB2.0+1USB3.0 | 4GB | 1U机架 | 可选双电 |
| USG6308E-AC | 300~500 | 800Mbps | 120万 | 8万 | 800Mbps | 4000 | 500 | 16GE(RJ45)+8GE(COMBO)+210GE(SFP+)+2WAN GE(RJ45)+1USB2.0+1USB3.0 | 4GB | 1U机架 | 可选双电 |
| USG6312E-AC | 400~600 | 1Gbps | 180万 | 8万 | 1Gbps | 4000 | 500 | 16GE(RJ45)+8GE(COMBO)+210GE(SFP+)+2WAN GE(RJ45)+1USB2.0+1USB3.0 | 4GB | 1U机架 | 可选双电 |
| USG6322E-AC | 500~700 | 2Gbps | 240万 | 8万 | 2Gbps | 4000 | 500 | 16GE(RJ45)+8GE(COMBO)+210GE(SFP+)+2WAN GE(RJ45)+1USB2.0+1USB3.0 | 4GB | 1U机架 | 可选双电 |
| USG6332E-AC | 600~800 | 3Gbps | 360万 | 8万 | 3Gbps | 4000 | 500 | 16GE(RJ45)+8GE(COMBO)+210GE(SFP+)+2WAN GE(RJ45)+1USB2.0+1USB3.0 | 4GB | 1U机架 | 可选双电 |
| USG6350E-AC | 800~1000 | 4Gbps | 400万 | 8万 | 3Gbps | 4000 | 1000 | 16GE(RJ45)+8GE(COMBO)+210GE(SFP+)+2WAN GE(RJ45)+1USB2.0+1USB3.0 | 4GB | 1U机架 | 可选双电 |
| USG6510E-AC | 50-100 | 1.2Gbps | 30万 | 2万 | 1Gbps | 1000 | 100 | 10GE(RJ45)+2GE(SFP)+1*USB2.0 | 1GB | 桌面 | 外置适配器 |
| USG6530E-AC | 100-200 | 4GbpsN/A | 50万 | 3万 | 2Gbps | 2000 | 500 | 10GE(RJ45)+210GE(SFP+)+1*USB2.0 | 2GB | 桌面 | 外置适配器 |
| USG6515E-AC | 200~500 | 2Gbps | 300万 | 7万 | 2Gbps | 4000 | 500 | 16GE(RJ45)+8GE(COMBO)+210GE(SFP+)+2WAN GE(RJ45)+1USB2.0+1USB3.0 | 4GB | 1U机架 | 可选双电 |
| USG6550E-AC | 500~700 | 4Gbps | 400万 | 7.8万 | 3Gbps | 4000 | 1000 | 16GE(RJ45)+8GE(COMBO)+210GE(SFP+)+2WAN GE(RJ45)+1USB2.0+1USB3.0 | 4GB | 1U机架 | 可选双电 |
| USG6560E-AC | 700~1100 | 6Gbps | 400万 | 8万 | 3Gbps | 4000 | 1000 | 16GE(RJ45)+8GE(COMBO)+210GE(SFP+)+2WAN GE(RJ45)+1USB2.0+1USB3.0 | 4GB | 1U机架 | 可选双电 |
| USG6580E-AC | 1100~1600 | 8Gbps | 400万 | 8万 | 3Gbps | 4000 | 1000 | 16GE(RJ45)+8GE(COMBO)+210GE(SFP+)+2WAN GE(RJ45)+1USB2.0+1USB3.0 | 4GB | 1U机架 | 可选双电 |
| USG6630E-AC | 1600~7000 | 30Gbps | 1200万 | 40万 | 20Gbps | 15000 | 5000 | 240GE(QSFP+)+1210GE(SFP+)+12GE+1USB3.0 | 1U 机架 | 单电(交流或直流) | |
| USG6650E-AC | 7000~10000 | 40Gbps | 1200万 | 40万 | 30Gbps | 15000 | 5000 | 240GE(QSFP+)+1210GE(SFP+)+12GE+1USB3.0 | 1U 机架 | 单电(交流) | |
| USG6680E-AC | 10000~13000 | 80Gbps | 2500万 | 80万 | 70Gbps | 60000 | 15000 | 440GE(QSFP+)+2810GE(SFP+)+210GE(SFP+)HA+1USB3.0 | 1U 机架 | 单电(交流) | |
| USG6712E-AC | 13000~17000 | 120Gbps | 3500万 | 140万 | 100Gbps | 120000 | 30000 | 2100GE(QSFP28)+240GE(QSFP+)+2010GE(SFP+)+210GE(SFP+)HA+1*USB3.0 | 1U 机架 | 单电(交流) | |
| USG6716E-AC | 17000~20000 | 160Gbps | 5000万 | 160万 | 120Gbps | 120000 | 30000 | 2100GE(QSFP28)+240GE(QSFP+)+2010GE(SFP+)+210GE(SFP+)HA+1*USB3.0 | 1U 机架 | 单电(交流) | |
| USG6305-AC | 20-60 | 500Mbps | 20万 | 4000 | 300Mbps | 500 | 100 | 4GE | 1GB | 桌面 | 外置适配器 |
| USG6305-W-AC | 20-60 | 500Mbps | 20万 | 4000 | 300Mbps | 500 | 100 | 4GE | 1GB | 桌面 | 外置适配器 |
| USG6310S-AC | 50~100 | 1Gbps | 25万 | 6000 | 400Mbps | 1000 | 100 | 8GE | 1GB | 桌面 | 外置适配器 |
| USG6310S-W-AC | 50~100 | 1Gbps | 25万 | 6000 | 400Mbps | 1000 | 100 | 8GE | 1GB | 桌面 | 外置适配器 |
| USG6310S-WL-AC | 50~100 | 1Gbps | 25万 | 6000 | 400Mbps | 1000 | 100 | 8GE | 1GB | 桌面 | 外置适配器 |
| USG6320-AC | 100~200 | 2Gbps | 50万 | 2万 | 600Mbps | 2000 | 200 | 8GE | 2GB | 桌面 | 外置适配器 |
| USG6306-AC | 200~400 | 600Mbps | 80万 | 2.5万 | 900Mbps | 2000 | 300 | 4GE+2Combo | 4GB | 1U 机架 | 可选双电 |
| USG6308-AC | 300~500 | 800Mbps | 100万 | 2.5万 | 900Mbps | 2000 | 400 | 4GE+2Combo | 4GB | 1U 机架 | 可选双电 |
| USG6330-AC | 400~600 | 1Gbps | 150万 | 3万 | 900Mbps | 4000 | 500 | 4GE+2Combo | 4GB | 1U 机架 | 可选双电 |
| USG6350-AC | 500~700 | 2Gbps | 200万 | 3万 | 900Mbps | 4000 | 500 | 4GE+2Combo | 4GB | 1U 机架 | 可选双电 |
| USG6360-AC | 600~800 | 3Gbps | 300万 | 3万 | 900Mbps | 4000 | 500 | 4GE+2Combo | 4GB | 1U 机架 | 可选双电 |
| USG6370-AC | 800~1000 | 4Gbps | 400万 | 6万 | 3Gbps | 4000 | 1000 | 8GE+4SFP | 4GB | 1U 机架 | 可选双电 |
| USG6380-AC | 1000~1200 | 6Gbps | 400万 | 7万 | 3Gbps | 4000 | 1000 | 8GE+4SFP | 4GB | 1U 机架 | 可选双电 |
| USG6390-AC | 1200~1500 | 8Gbps | 400万 | 8万 | 3Gbps | 4000 | 1000 | 8GE+4SFP | 4GB | 1U 机架 | 可选双电 |
| USG6390E-AC | 1500~3000 | 10Gbps | 500万 | 16万 | 12Gbps | 15000 | 2000 | 8GE+4SFP | 8GB | 1U 机架 | 可选双电 |
1 参考用户数 仅供参考 根据实际网络环境的不同可能会有差异
2 防火墙吞吐量 算法 1518byte
3 IPSec吞吐量 算法 AES 1420 byte
