В одном из прошлых обзоров мы уже рассматривали устройства серии ZyWALL UTM (ZyWALL 5 UTM EE ) и их возможности при использовании карты расширения ZyWALL Turbo. В этом обзоре мы рассмотрим старшее устройство этой серии — межсетевой экран ZyXEL ZyWALL 70W.
- Общее описание
- Таблица спецификаций устройства
- Конфигурирование роутера
- Тестирование производительности проводного сегмента
- Тестирование производительности беспроводного сегмента
- Тестирование безопасности
- Доступность
- Тестирование производительности VPN-сединения
- Тестирование возможностей управления трафиком
- Антивирусная защита
- Антиспам фильтр
Функциональные возможности ZyXEL ZyWALL 70W UTM EE: Интернет-маршрутизатор с 2-мя WAN-портмаи с возможностью балансировки нагрузки между ними, одним LAN-портом и 4-мя портами DMZ. Возможна установка в слот расширения (интерфейс Cardbus), находящийся на маршрутизаторе, адаптера беспроводной связи ZyAIR G-110 EE или карты расширения ZyWALL Turbo, при помощи которой реализуются функции антивирусной проверки трафика и обнаружения и предотвращения вторжений (IDP, Intrusion Detection and Prevention). IPSec VPN-сервер с поддержкой алгоритмов DES, 3DES и AES, а также с возможностью использования сертификатов. Помимо этого устройство также реализует защиту от спама, позволяющую перехватывать почту, проходящую по протоколам POP3 и SMTP и контент-фильтрацию.
Расширение устройства, обозначенное как UTM (Unified Threat Management), как раз означает, что оно включает в себя функции антивирусной фильтрации, механизма обнаружения и предотвращения вторжений (IDP) и спам-фильтрации.
На роутере расположены следующие индикаторы и порты (слева направо):
- индикатор питания
- индикатор состояния системы
- индикатор активности
- индикатор активности карты расширения
- кнопка Reset — сброс параметров
- 1 × LAN-порт 10/100 с двумя индикаторами на каждом порту
- 2 × WAN-порт 10/100 с двумя индикаторами на каждом порту
- 4 × DMZ-порта 10/100 с двумя индикаторами на каждом порту
- порт RS-232 для подключения аналогового модема в качестве резервной линии при "падении" основного канала
- консольный порт RS-232 — подключение к консоли
Сзади на роутере расположены (слева направо):
- Cardbus-слот для установки карты расширения
- выключатель
- разъем питания
Устройство поставляется в следующей комплектации:
- роутер
- 2 × 2-х метровых патчкорда RJ-45
- 2-хметровый консольный кабель RS-232
- провод питания
- руководство по быстрой установке и настройке на шести языках (без русского. По заверению представителей компании ZyXEL с августа устройства поставляются с руководством на русском)
Вид изнутри
Устройство выполнено на базе сетевого процессора Intel IXP425,
работающего на частоте 533 МГц (аппаратное ускорение алгоритмов SHA-1, MD5, DES, 3DES, AES, поддержка шины PCI 2.2, возможность использования нескольких портов WAN, до 256 Мбайт SDRAM-памяти, пониженное энергопотребление).
Мост между PCI — Cardbus интерфейсами выполнен на базе микросхемы PCI1510 компании Texas Instruments.
На плате установлено 2 Fast Ethernet контроллера VIA VT6105.
На плате устройства установлено 16 Мбайт Flash-памяти Intel TE28F128 и 64 Мбайта SDRAM-памяти Winbond W942516CH.
ZyWALL Turbo Card
ZyWALL Turbo Card (фото) представляет собой карту аппаратного ускорения функций антивирусной фильтрации и IDP (обнаружение и предотвращение вторжений) с интерфейсом Cardbus, которая вставляется в слот маршрутизатора. Именно наличие данной карты определяет возможность проверки трафика на вирусы и механизм обнаружения вторжений.
Спецификации устройства:
| корпус | металлический, допускается горизонтальная установка или установка в стойку | |||
| исполнение | Indoor | |||
| проводной сегмент | ||||
| WAN | тип | Fast Ethernet | ||
| количество портов | 2 | |||
| auto MDI/MDI-X | да | |||
| типы поддерживаемых соединений | фиксированный IP | да | ||
| динамический IP | да | |||
| PPPoE | да | |||
| PPTP | да | |||
| L2TP | нет | |||
| IPSec | да | |||
| LAN | количество портов | 1 | ||
| auto MDI/MDI-X | да | |||
| ручное блокирование интерфейсов | нет | |||
| возможность задания размера MTU вручную | нет | |||
| Беспроводной сегмент (на базе ZyXEL ZyAIR G-110) | ||||
| антенна | количество | 1 | ||
| тип | встроенная дипольная, возможность подключения внешней антенны | |||
| возможность замены антенны/тип коннектора | да, AMX | |||
| принудительное задание номера рабочей антенны | ||||
| поддерживаемые стандарты и скорости | 802.11b | CCK (11 Mbps, 5.5 Mbps), DQPSK (2 Mbps) DBPSK (1 Mbps) | ||
| 802.11g | OFDM: 54, 48, 36, 18, 12, 11, 9, 6 Mbit/sec | |||
| Регион/Кол-во каналов | ??/11 | |||
| расширения протокола 802.11g | нет | |||
| возможность ручного задания скорости | нет | |||
| выходная мощность | (максимальная?) | 15 дБм | ||
| 802.11b @11Mbit/s | 15 дБм | |||
| 802.11g @54Mbit/s | 12.5 дБм | |||
| чувствительность приемника | 802.11b @11Mbit/s | -80 дБм | ||
| 802.11g @54Mbit/s | -66 дБм | |||
| работа с другой AP | поддержка WDS (мост) | нет | ||
| поддержка WDS + AP | нет | |||
| возможность работы в режиме клиента | нет | |||
| wireless repeater (повторитель) | нет | |||
| безопасность | блокировка широковещательного SSID | да | ||
| привязка к MAC адресам | да | |||
| WEP | 64/128bit | |||
| WPA | да | |||
| WPA-PSK (pre-shared key) | да | |||
| 802.1x (через Radius) | да | |||
| основные возможности | ||||
| конфигурирование устройства и настройка клиентов | администрирование | WEB-интерфейс | да | |
| WEB-интерфейс через SSL | да | |||
| собственная утилита | да, Vantage CNM | |||
| telnet | да | |||
| ssh | да | |||
| COM-порт | да | |||
| SNMP | да | |||
| возможность сохранения и загрузки конфигурации | да | |||
| встроенный DHCP сервер | да | |||
| поддержка UPnP | да | |||
| метод организации доступа в Интернет | Network Address Translation (NAT-технология) | да | ||
| возможности NAT | one-to-many NAT (стандартный) | да | ||
| one-to-one NAT | да | |||
| возможность отключения NAT (работа в режиме роутера) | да | |||
| возможность работы в режиме моста | да | |||
| Встроенные VPN-сервера | IPSec | да | ||
| PPTP | нет | |||
| L2TP | нет | |||
| VPN pass through | IPSec | да | ||
| PPTP | да | |||
| PPPoE | ?? | |||
| L2TP | ?? | |||
| Traffic shaping (ограничение трафика) | да | |||
| DNS | встроенный DNS-сервер (dns-relay) | да | ||
| поддержка динамического DNS | да, DynDNS.org | |||
| внутренние часы | присутствуют | |||
| синхронизация часов | да (NTP, Time, Daytime) | |||
| встроенные утилиты | ICMP ping | нет | ||
| traceroute | нет | |||
| resolving | нет | |||
| логирование событий | да | |||
| логирование исполнения правил файрвола | да | |||
| способы хранения | внутри устройства | да | ||
| на внешнем Syslog сервере | да | |||
| отправка на email | да | |||
| SNMP | поддержка SNMP Read | да | ||
| поддержка SNMP Write | да | |||
| поддержка SNMP Traps | да | |||
| Роутинг | ||||
| статический (задания записей вручную) | да | |||
| динамический роутинг | на WAN интерфейсе | возможность отключения | да | |
| RIPv1 | да | |||
| RIPv2 | да | |||
| на LAN интерфейсе | возможность отключения | да | ||
| RIPv1 | да | |||
| RIPv2 | да | |||
| возможности VPN | ||||
| сервер IPSec | виды туннелей | tunnel, transport | ||
| типы аутентификации | pre shared key | да | ||
| сертификаты | да | |||
| алгоритмы хеширования | SHA1 | да | ||
| MD5 | да | |||
| алгоритмы шифрования | DES | да | ||
| 3DES | да | |||
| AES | да | |||
| возможности встроенных фильтров и файрвола | ||||
| поддержка SPI (Stateful Packet Inspection) | да, но без возможности использования в правилах | |||
| наличие фильтров/файрвола | на LAN-WAN сегменте | да | ||
| на WLAN-WAN сегменте | да | |||
| на LAN-WLAN сегменте | да | |||
| типы фильтров | с учетом SPI | нет | ||
| по MAC адресу | нет | |||
| по source IP адресу | да, в том числе по диапазону | |||
| по destination IP адресу | да, в том числе по диапазону | |||
| по протоколу | да, TCP/UDP/TCP&&UDP/ICMP/*Custom* | |||
| по source порту | да | |||
| по destination порту | да | |||
| привязка ко времени | да | |||
| по URL-у | да | |||
| по домену | да(совмещен с URL) | |||
| работа со службами списков URL для блокировки | да | |||
| тип действия | allow | да | ||
| deny | block, reject | |||
| log | да | |||
| поддержка спец. приложений (netmeeting, quicktime etc) | Настройки устанавливаются вручную для таких приложений задаются вручную в настройках NAT. Встроенный SIP/H.323/FTP шлюз уровня приложений (ALG) | |||
| виртуальные сервера | возможность создания | да | ||
| задания различных public/private портов для виртуального сервера | да | |||
| возможность задания DMZ | да | |||
| traffic shaping | ||||
| типы шейпинга | ограничение общего исходящего трафика | да | ||
| ограничение общего входящего трафика | да | |||
| ограничение входящего трафика по критериям | да | |||
| ограничение исходящего трафика по критериям | да | |||
| критерии задания правила для ограничений | src interface lan/wan | да | ||
| dst interface lan/wan | нет | |||
| src ip/range | да | |||
| dst ip/range | да | |||
| protocol | по номеру протокола | |||
| src port/range | да | |||
| dst port/range | да | |||
| привязка ко времени | нет | |||
| типы ограничений | количественные ограничения для полосы байтах | да | ||
| задание в процентах | нет | |||
| назначение приоритета | да | |||
| питание | ||||
| тип БП | встроенный | |||
| поддержка 802.1af (PoE) | нет | |||
| дополнительная информация | ||||
| версия прошивки | V4.00(WM.2) | 10/27/2005 | |||
| встроенный ftp-server | да, через него возможно обновление или сохранение конфигурации | |||
| размеры | 355 × 200 × 55 mm | |||
| вес | 2600 г | |||
Настройку устройства можно производить через WEB-интерфейс, по протоколу Telnet или через консольный порт, а также через программу Vantage CNM, являющуюся отдельной коммерческой программой ZyXEL для управления сетью, состоящей из множества межсетевых экранов ZyWALL. Для удаленной диагностики и мониторинга, включая учет трафика отдельных пользователей и используемой ими полосы пропускания WAN-канала может использоваться бесплатная утилита Vantage Report.
Виртуальный WEB-интерфейс устройства приведен на сайте zywall70utmdemo.zyxel.com/. Также доступен виртуальный Telnet-интерфейс устройства — для этого нужно воспользоваться командой "telnet zywall70utmdemo.zyxel.com"
Список параметров SNMP настроенного маршрутизатора приведен здесь.
DHCP-сервер устройства позволяет задать 128 статических записи.
Маршрутизатор позволяет создавать BackUp-соединение с Интернетом через обычный аналоговый модем, в случае, если связь по основному каналу будет прервана.
В устройстве предусмотрена возможность распределения нагрузки между 2-мя WAN-портами, что позволяет увеличить производительность при ограниченности скорости каждого из каналов.
Устройство позволяет задать для каждого подключения к Интернет различные приоритеты (от 0 до 15, чем больше значение — тем ниже приоритет), которые не могут совпадать. По умолчанию приоритет порта WAN1 равен 1, WAN2 — 2, перенаправление трафика (Trafic redirect) — 14, а резервный канал, организованный с помощью аналогового модема (Dial BackUp) — 15.
В случае недоступности одного из каналов с более высоким приоритетом, устройство автоматически переключается на канал с более низким приоритетом. Условием недоступности является результат команды ping (по умолчанию пингуется "шлюз по умолчанию", но можно указать любой IP-адрес; если ping не проходит — устройство принимает решение, что канал недоступен). Мы можем указать маршрутизатору переключиться на "первичный" канал, как только он снова становится доступным.
Другим способом подключения является распределение нагрузки между WAN каналами с использованием механизма Load Balancing (балансировка нагрузки). Балансировка нагрузки происходит по одному из следующих алгоритмов: Least Load First, Weighted Round Robin или Spillover.
При использовании алгоритма Least Load First, в параметрах устройства задается промежуток времени (10-600 с) и доступная ширина канала. По достижении указанного промежутка времени, рассчитывается текущая загруженность каждого из каналов. На протяжении последующего интервала времени, все соединения будут производиться через менее загруженный канал.
При использовании алгоритма Weighted Round Robin, мы задаем "вес" (значение от 0 до 10), который канал может на себя принять. Например, если доступные скорости каналов отличаются в 2 раза, то каналу с меньшей скоростью нужно назначить в 2 раза меньший вес.
При использовании алгоритма Spillover, мы задаем максимальную пропускную способность WAN канала с бОльшим приоритетом, по достижении которой, все вновь устанавливаемые соединения производятся через второй WAN-интерфейс (интерфейс с меньшим приоритетом).
Для каждого правила файрвола можно задать расписание, режим логирования, а также действие: Premit, Block, Reject.
При использовании карты расширения ZyWALL Turbo, устройство может реализовать функции обнаружения и предотвращения вторжений (IDP, Inrusion Detection and Prevention), а также функции антивирусной защиты. Антивирусная защита, реализуемая в устройстве, не является заменой антивирусного ПО, устанавливаемого на компьютере пользователя, так как устройство производит проверку трафика только на наиболее распространенные на момент проверки вирусы. К тому же антивирусной проверке подвергается только трафик, идущий по протоколам HTTP, SMTP, POP3 и FTP, а также задаются интерфейсы, исходящий трафик с который подвергается проверке.
Помимо вышесказанного, устройство реализует антиспам-фильтр и контент-фильтр, которые работают с внешними базами фильтрации, и поэтому являются платными.
Anti-Spam фильтр позволяет проверять почту, проходящую по протоколам POP3 и SMTP, и использует внешнюю базу данных для проверки на спам.
Контент-фильтр также работает совместно с внешними списками фильтрации, позволяющими проводить фильтрацию по содержимому. Фильтрация сайтов может проводиться по 52 категориям. Контент-фильтр также кэширует запросы к списку фильтрации и при повторной попытке зайти на "запрещенный" сайт использует данные из кэша (настройки контент-фильтра устройства полностью аналогичны тем, что представлены в ZyXEL ZyWALL 5 UTM, который уже рассматривался нами в одном из прошлых обзоров).
VPN-сервер устройства позволяет устанавливать соединения IPSec, используя алгоритмы шифрования DES, 3DES и AES. Начальная аутентификация производится с использованием предварительных ключей или с использованием сертификатов. Устройство также позволяет создавать сертификаты вручную через WEB-интерфейс.
Для аутентификации возможно использование внешнего Radius-сервера или локальной базы пользователей, являющейся как бы альтернативой Radius-серверу
Количество записей статического роутинга ограничено 50-ю.
Устройство также поддерживает управление полосой пропускания канала — эта возможность будет рассмотрена в следующей части обзора.
Имеется возможность настройки роутера по протоколу Telnet (настройка по Telnet полностью аналогична настройке через консоль)
которая в свою очередь предоставляет интерфейс к командной строке ОС роутера.
Еще раз напомню, что услуги контент-фильтрации, спам-фильтрации, антивирусной проверки трафика и обнаружение вторжений (IDP) являются платными. При покупке устройства можно зарегистрировать Trial-версии этих услуг для ознакомления с их возможностями. Срок Trial-лицензии на контент-фильтр составляет 1 месяц с момента регистрации. Срок Trial-лицензии на услуги обнаружения и предотвращения атак, на антивирусную защиту и на спам-фильтр составляет 3 месяца с момента регистрации. По истечении этих сроков, для использования указанных возможностей придется оплачивать новую лицензию.
Теперь перейдем собственно к тестированию производительности устройства.
Тестирование производительности
Тестирование проводного сегмента
Тест LAN-WAN - тестирование проводилось по этой методике. При тестировании никакие возможности, связанные с картой расширения ZyWALL Turbo (такие как IDP — обнаружение и предотвращение вторжений и антивирусная проверка трафика) не использовались.
Максимальная скорость: 58,92 Мбит/с — при работе в полнодуплексном режиме.
Теперь посмотрим что произойдет при уменьшении размера пакетов
Как видно из диаграмм, при уменьшении размеров пакетов, скорость трафика значительно падает.
Тестирование NetPIPE:
Для определения влияния механизма обнаружения и предотвращения атак IDP на скорость трафика, тест NetPIPE проводился в 2 этапа: с включенным IDP и выключенным IDP. Посмотрим какие получились результаты
Защита IDP отключена:
Максимальная скорость: 58.55 Мбит/с. Аномалий в графике не наблюдается.
Защита IDP включена:
Максимальная скорость: 11,48 Мбит/с. На графике наблюдаются провалы при увеличении размера блока передаваемых данных.
При работе устройства в режиме моста, падения скорости на WAN-LAN сегментах не наблюдается (если сравнивать ее со скоростью используемых сетевых адаптеров, подключенных напрямую).
При включении механизма IDP в режиме моста, были получены следующие скорости:
Максимальная скорость: 20,59 Мбит/с — та максимальная скорость, которую можно получить при использовании механизма IDP (только в режиме моста).
Тестирование беспроводного сегмента
Тестирование проводилось в несколько этапов:
- Тест "Точка доступа — Cardbus адаптер"
Для тестирования беспроводной связи использовался ZyXEL ZyAIR G-162 Cardbus адаптер. Для того, чтобы устройство начало работать в режиме точки доступа в слот расширения был установлен беспроводной Cardbus адаптер ZyXEL ZyAIR G-110.
Тест "Точка доступа — Cardbus адаптер" — трафик гонялся между компьютером локального (LAN) сегмента маршрутизатора и ноутбуком с беспроводным сетевым Cardbus-адаптером ZyXEL G-162 через точку доступа ZyXEL ZyWALL 70W (на базе ZyXEL ZyAIR G-110). Скорость соединения устанавливалась автоматически для режима IEEE 802.11g. Тест проводился с помощью Chariot NetIQ. Расстояние между точками не превышало 5 метров.
Сокращения:
- Cardbus — беспроводной Cardbus-адаптер ZyXEL G-162
- AP — точка доступа роутера ZyXEL ZyWALL 70W (на базе ZyXEL ZyAIR G-110)
- fdx — генерация трафика в обоих направлениях
Максимальная скорость: 21,73 Мбит/с — нормальная скорость для режима IEEE 802.11g. Скорость от точки доступа к Cardbus-адаптеру в полнодуплексном режиме почти в 5 раз выше скорости от Cardbus-адаптера к точке доступа — это не очень хороший показатель — явная асимметрия линии.
Безопасность:
При проведении тестов на безопасность, были включены все виды удаленного управления.
Результаты Nessus:
Nessus находит несколько 3 критических уязвимостей, 2 из которых связаны с паролем SNMP по умолчанию, который необходимо изменить, а третья — с возможностью определения уникального номера пакета и перехвата соединения злоумышленником путем подмены этого номера.
Доступность:
Средняя розничная цена на рассматриваемое в статье устройство:
| ZyXEL ZyWALL 70W | Н/Д(0) |
| ZyXEL ZyWALL Turbo Card | Н/Д(0) |
Выводы:
Устройство обладает достаточно высокой производительностью как проводного так и беспроводного сегмента, однако при включении механизма обнаружения и предотвращения вторжений, скорость трафика заметно падает (с 58 до 11.5 Мбит/с при работе в режиме NAT-маршрутизатора). Это говорит о том, что обнаружение и предотвращение вторжений — очень ресурсоемкая операция.
В следующей части обзора, мы коснемся производительности VPN-сервера и возможностей управления полосой пропускания, а также рассмотрим возможности антивирусной защиты и Spam-фильтрации.
Продолжение следует...
Навигация:
- Часть первая: обзор возможностей, конфигурация и базовая производительность
- Содержание
- Часть вторая: тестирование производительности VPN-сервера
- Часть третья: тестирование возможностей управления полосой пропускания канала, возможностей антивирусной защиты и спам-фильтра
