Содержание:
Общее описание
Таблица спецификаций устройства
Конфигурирование роутера
Тестирование производительности проводного сегмента
Тестирование производительности беспроводного сегмента
Тестирование производительности VPN-сединения
Тестирование безопасности
Доступность
Тестирование возможностей управления трафиком
Антивирусная защита
Антиспам фильтр
Функциональные возможности ZyXEL ZyWALL 5 UTM EE: Интернет-маршрутизатор с 4-х портовым коммутатором (с возможностью задать режим работы каждого порта LAN/DMZ). Возможна установка в слот расширения (интерфейс Cardbus), находящийся на маршрутизаторе, карты ZyWALL Turbo или адаптера беспроводной связи ZyAIR G-110 EE. Устройство также реализует антивирусный фильтр, проверяющий проходящие через него пакеты на наличие компьютерных вирусов и другого вредоносного кода, механизм предотвращения атак (IDP), а также защиту от спама, позволяющую перехватывать почту, проходящую по протоколам POP3 и SMTP. В дополнение к этому устройство реализует IPSec VPN-сервер, позволяющий одновременно использовать до 10 VPN-соединений.
Расширение устройства, обозначенное как UTM (Unifued Threat Management), как раз означает, что оно включает в себя функции антивирусной фильтрации, механизма обнаружения и предотвращения вторжений (IDP) и спам-фильтрации.
индикатор питания
индикатор состояния системы
индикатор активности
индикатор активности карты расширения
кнопка Reset - сброс параметров
1 x WAN-порт 10/100 с двумя индикаторами (скорость и активность)
4 x LAN/DMZ-порта 10/100 с двумя индикаторами на каждом порту (скорость и активность) и возможностью ручного переключения режима работы (LAN - DMZ)
порт RS-232 для подключения аналогового модема в качестве резервной линии при "падении" основного канала
консольный порт RS-232 - подключение к консоли
Cardbus-слот для установки карты расширения
разъем питания
Устройство поставляется в следующей комплектации:
роутер
2-х метровый патчкорд RJ-45
метровый консольный кабель RS-232
адаптер питания (длина провода около двух метров)
руководство по быстрой установке и настройке на шести языках (без русского. По заверению представителей компании ZyXEL с августа устройства поставляются с руководством на русском)
"ушки" для крепления устройства в стойке
Вид изнутри
Мост между PCI - Cardbus интерфейсами выполнен на базе микросхемы PCI1510 компании Texas Instruments.
Коммутатор выполнен на базе микросхемы Marvell 88E6060.
На плате устройства установлено 8 Мбайт Flash-памяти Intel TE28F640 и 32 Мбайта SDRAM-памяти Winbond W981216DH.
ZyWALL Turbo Card
ZyWALL Turbo Card представляет собой карту аппаратного ускорения функций антивирусной фильтрации и IDP (обнаружение и предотвращение вторжений) с интерфейсом Cardbus, которая вставляется в слот маршрутизатора. Именно наличие данной карты определяет возможность проверки трафика на вирусы и механизм обнаружения вторжений.
Спецификации устройства:корпус металлический, допускается горизонтальная установка, подвес на стену или установка в стойку
исполнение Indoor
проводной сегмент
WAN тип Fast Ethernet
количество портов 1
auto MDI/MDI-X да
типы поддерживаемых соединений фиксированный IP да
динамический IP да
PPPoE да
PPTP да
L2TP нет
IPSec да
LAN количество портов 4
auto MDI/MDI-X да
ручное блокирование интерфейсов нет
возможность задания размера MTU вручную нет
Беспроводной сегмент
антенна количество 1
тип встроенная дипольная, возможность подключения внешней антенны
возможность замены антенны/тип коннектора да, AMX
принудительное задание номера рабочей антенны
поддерживаемые стандарты и скорости 802.11b CCK (11 Mbps, 5.5 Mbps), DQPSK (2 Mbps) DBPSK (1 Mbps)
802.11g OFDM: 54, 48, 36, 18, 12, 11, 9, 6 Mbit/sec
Регион/Кол-во каналов ??/11
расширения протокола 802.11g нет
возможность ручного задания скорости нет
выходная мощность (максимальная?) 15 дБм
802.11b @11Mbit/s 15 дБм
802.11g @54Mbit/s 12.5 дБм
чувствительность приемника 802.11b @11Mbit/s -80 дБм
802.11g @54Mbit/s -66 дБм
работа с другой AP поддержка WDS (мост) нет
поддержка WDS + AP нет
возможность работы в режиме клиента нет
wireless repeater (повторитель) нет
безопасность блокировка широковещательного SSID да
привязка к MAC адресам да
WEP 64/128bit
WPA да
WPA-PSK (pre-shared key) да
802.1x (через Radius) да
основные возможности
конфигурирование устройства и настройка клиентов администрирование WEB-интерфейс да
WEB-интерфейс через SSL да
собственная утилита нет
telnet да
ssh да
COM-порт да
SNMP да
возможность сохранения и загрузки конфигурации да
встроенный DHCP сервер да
поддержка UPnP да
метод организации доступа в Интернет Network Address Translation (NAT-технология) да
возможности NAT one-to-many NAT (стандартный) да
one-to-one NAT да
возможность отключения NAT (работа в режиме роутера) да
возможность работы в режиме моста да
Встроенные VPN-сервера IPSec да
PPTP нет
L2TP нет
VPN pass through IPSec да
PPTP да
PPPoE ??
L2TP ??
Traffic shaping (ограничение трафика) да
DNS встроенный DNS-сервер (dns-relay) да
поддержка динамического DNS да, DynDNS.org
внутренние часы присутствуют
синхронизация часов да (NTP, Time, Daytime)
встроенные утилиты ICMP ping нет
traceroute нет
resolving нет
логирование событий да
логирование исполнения правил файрвола да
способы хранения внутри устройства да
на внешнем Syslog сервере да
отправка на email да
SNMP поддержка SNMP Read да
поддержка SNMP Write да
поддержка SNMP Traps да
Роутинг
статический (задания записей вручную) да
динамический роутинг на WAN интерфейсе возможность отключения да
RIPv1 да
RIPv2 да
на LAN интерфейсе возможность отключения да
RIPv1 да
RIPv2 да
возможности VPN
сервер IPSec виды туннелей tunnel, transport
типы аутентификации pre shared key да
сертификаты да
алгоритмы хеширования SHA1 да
MD5 да
алгоритмы шифрования DES да
3DES да
AES да
добавление записей в таблицу роутинга IPSec туннеля нет
возможности встроенных фильтров и файрвола
поддержка SPI (Stateful Packet Inspection) да, но без возможности использования в правилах
наличие фильтров/файрвола на LAN-WAN сегменте да
на WLAN-WAN сегменте да
на LAN-WLAN сегменте да
типы фильтров с учетом SPI нет
по MAC адресу нет
по source IP адресу да, в том числе по диапазону
по destination IP адресу да, в том числе по диапазону
по протоколу да, TCP/UDP/TCP&&UDP/ICMP/*Custom*
по source порту нет
по destination порту да, в том числе по диапазону
привязка ко времени да
по URL-у да
по домену да(совмещен с URL)
работа со службами списков URL для блокировки да
тип действия allow да
deny block, reject
log да
поддержка спец.приложений (netmeeting, quicktime, etc) Настройки устанавливаются вручную для таких приложений задаются вручную в настройках NAT. Встроенный SIP/H.323/FTP шлюз уровня приложений (ALG)
виртуальные сервера возможность создания да
задания различных public/private портов для виртуального сервера да
возможность задания DMZ да, возможно разделение трафика на уровне портов
traffic shaping
типы шейпинга ограничение общего исходящего трафика да
ограничение общего входящего трафика да
ограничение входящего трафика по критериям да
ограничение исходящего трафика по критериям да
критерии задания правила для ограничений src interface lan/wan да
dst interface lan/wan нет
src ip/range да
dst ip/range да
protocol по номеру протокола
src port/range да
dst port/range да
привязка ко времени нет
типы ограничений количественные ограничения для полосы байтах да
задание в процентах нет
назначение приоритета да
питание
тип БП внешний, 12VDC, 1500mA
поддержка 802.1af (PoE) нет
дополнительная информация
версия прошивки V4.00(XD.2) | 10/26/2005
встроенный ftp-server да, через него возможно обновление или сохранение конфигурации
размеры 242 x 175 x 35.5mm
вес 1200 г
Конфигурирование
Настройку устройства можно производить через WEB-интерфейс, по протоколу Telnet или через консольный порт, а также через программу Vantage CNM, являющуюся отдельной коммерческой программой ZyXEL для управления сетью, состоящей из множества межсетевых экранов ZyWALL. Для удаленной диагностики и мониторинга, включая учет трафика отдельных пользователей и используемой ими полосы пропускания WAN-канала может использоваться утилита Vantage Report.
Скриншоты настроек WEB-интерфейса приведены здесь.
На сайте ZyXEL есть сервис, позволяющий в онлайн-режиме ознакомиться с настройками устройства, но на примере устройства ZyWALL 70 UTM (http://zywall70utmdemo.zyxel.com/).
Список параметров SNMP приведен здесь.
DHCP-сервер устройства позволяет задать до 128 статических записей.
Каждый LAN-порт может работать либо в режиме LAN, либо в режиме DMZ - выбор осуществляется вручную.
Настройки файрвола позволяют задать правила "по умолчанию" для каждого из следующих направлений фильтрации
LAN to LAN / ZyWALL
LAN to WAN
LAN to DMZ
LAN to WLAN
WAN to LAN
WAN to WAN / ZyWALL
WAN to DMZ
WAN to WLAN
DMZ to LAN
DMZ to WAN
DMZ to DMZ / ZyWALL
DMZ to WLAN
WLAN to LAN
WLAN to WAN
WLAN to DMZ
WLAN to WLAN / ZyWALL
Здесь также задается режим логирования правил файрвола. В каждой из этих групп добавляется отдельный набор правил, в каждом правиле которого можно задать расписание.
Рассматриваемый роутер также позволяет осуществлять антивирусную защиту (ANTI-VIRUS), а также обнаруживать и предотвращать вторжения (IDP, INTRUSION DETECTION AND PREVENTION), проверяя содержимое пакетов и проводя сравнение по сигнатурам. Устройство не является заменой компьютерного антивирусного ПО, так как оно не проводит проверку на все известные вирусы, как это делает, например, антивирус, установленный на компьютере. Проверка проводится только на наиболее "активные" вирусы. По данным "Лаборатории Касперского" в 2004-м году 97% убытков от компьютерных вирусов было нанесено всего лишь четырьмя вирусами.
На момент написания обзора антивирусная база устройства содержала 800 сигнатур вирусов, база IDP - 1837 сигнатур. Оба механизма требуют для своей работы наличие карты расширения ZyWALL Turbo Card.
По сигнатурам можно производить поиск, и они разделены на подгруппы. Для каждой сигнатуры можно изменить тип действия
Устройство оснащено контент-фильтром, который работает совместно с внешними списками фильтрации, позволяющими проводить фильтрацию по содержимому. Фильтрация сайтов может проводиться по 52 категориям. При попытке зайти на сайт, запрещенный контент-фильтром, выдается сообщение
Контент-фильтр также кэширует запросы к списку фильтрации
Для аутентификации возможно использование внешнего Radius-сервера или локальной базы пользователей, являющейся как бы альтернативой Radius-серверу с минимальными возможностями.
Количество записей статического роутинга ограничено 30-ю.
Устройство также поддерживает управление полосой пропускания канала - этой возможности и ее тестированию будет посвящен один из последующих обзоров.
Имеется возможность настройки роутера по протоколу Telnet (настройка по Telnet полностью аналогична настройке через консоль),
Напоследок отмечу, что услуги контент-фильтрации, спам-фильтрации, антивирусной проверки трафика и обнаружение вторжений (IDP) являются платными. При покупке устройства можно зарегистрировать Trial-версии этих услуг для ознакомления с их возможностями. Срок Trial-лицензии на контент-фильтр составляет 1 месяц с момента регистрации. Срок Trial-лицензии на услуги обнаружения и предотвращения атак, на антивирусную защиту и на спам-фильтр составляет 3 месяца с момента регистрации. По истечении этих сроков, для использования указанных возможностей придется оплачивать новую лицензию.
Выводы:
Как можно заметить, устройство обладает впечатляющим набором возможностей, среди которых присутствуют и весьма экзотические (такие как антивирусная защита, предотвращение вторжений и спам-фильтрация) - не каждое устройство может похвастаться такой функциональностью. Отмечу, что загрузка устройства - сравнительно долгий процесс.
В следующей части мы посмотрим, как устройство выполняет поставленную задачу на практике.
Продолжение следует...
Навигация:
Часть первая: обзор возможностей и конфигурация
Содержание
Часть вторая: тестирование производительности стандартных возможностей устройства и VPN-сервера
Часть третья: тестирование возможностей управления полосой пропускания канала, возможностей антивирусной защиты и спам-фильтра
| Следующая > |
|---|
