Интернет-роутер ZyXEL ZyWALL 70W UTM EE и ZyWALL Turbo Card
Функциональные возможности ZyXEL ZyWALL 70W EE: межсетевой экран с 2-мя WAN-портами с возможностью балансировки нагрузки между ними, одним LAN-портом и 4-мя портами DMZ. Возможна установка в слот расширения (интерфейс Cardbus), находящийся на маршрутизаторе, адаптера беспроводной связи ZyAIR G-110 EE или карты расширения ZyWALL Turbo, при помощи которой реализуются функции антивирусной проверки трафика и обнаружения и предотвращения вторжений (IDP, Intrusion Detection and Prevention) — именно после установки этой карты в названии устройства появляется приставка UTM (ZyXEL ZyWALL 70W UTM EE). IPSec VPN-сервер с поддержкой алгоритмов DES, 3DES и AES, а также с возможностью использования сертификатов. Помимо этого устройство реализует защиту от спама, позволяющую перехватывать почту, проходящую по протоколам POP3 и SMTP и контент-фильтрацию.
Расширение устройства, обозначенное как UTM (Unified Threat Management), означает, что оно включает в себя функции антивирусной фильтрации, механизма обнаружения и предотвращения вторжений (IDP) и спам-фильтрации.
На роутере расположены следующие индикаторы и порты (слева направо):
- индикатор питания
- индикатор состояния системы
- индикатор активности
- индикатор активности карты расширения
- кнопка Reset — сброс параметров
- 1 × LAN-порт 10/100 с двумя индикаторами на каждом порту
- 2 × WAN-порта 10/100 с двумя индикаторами на каждом порту
- 4 × DMZ-порта 10/100 с двумя индикаторами на каждом порту
- порт RS-232 для подключения аналогового модема в качестве резервной линии при "падении" основных WAN-каналов
- консольный порт RS-232 — подключение к консоли
Сзади на роутере расположены (слева направо):
- Cardbus-слот для установки карты расширения
- выключатель
- разъем питания
Устройство поставляется в следующей комплектации:
- роутер
- 2 × 2-х метровых патчкорда RJ-45
- 2-хметровый консольный кабель RS-232
- провод питания
- руководство по быстрой установке и настройке русском языке (его также можно загрузить с сайта ZyXEL, так как в старых поставках оно может отсутствовать)
- "ушки" для крепления устройтсва в стойке
Вид изнутри
Устройство выполнено на базе сетевого процессора Intel IXP425, работающего на частоте 533 МГц (аппаратное ускорение алгоритмов SHA-1, MD5, DES, AES, поддержка шины PCI 2.2, возможность использования нескольких портов WAN, до 256 Мбайт SDRAM-памяти, пониженное энергопотребление).
Мост между PCI — Cardbus интерфейсами выполнен на базе микросхемы PCI1510 компании Texas Instruments.
На плате установлено 2 Fast Ethernet контроллера VIA VT6105, 16 Мбайт Flash-памяти Intel TE28F128 и 64 Мбайта SDRAM-памяти Winbond W942516CH.
ZyWALL Turbo Card
ZyWALL Turbo Card представляет собой карту аппаратного ускорения функций антивирусной фильтрации и IDP (обнаружение и предотвращение вторжений) с интерфейсом Cardbus, которая вставляется в слот маршрутизатора. Именно наличие данной карты определяет возможность проверки трафика на вирусы и механизм обнаружения вторжений.
Спецификации устройства:
| корпус | металлический, допускается горизонтальная установка или установка в стойку | |||
| исполнение | Indoor | |||
| проводной сегмент | ||||
| WAN | тип | Fast Ethernet | ||
| количество портов | 2 | |||
| auto MDI/MDI-X | да | |||
| типы поддерживаемых соединений | фиксированный IP | да | ||
| динамический IP | да | |||
| PPPoE | да | |||
| PPTP | да | |||
| L2TP | нет | |||
| IPSec | да | |||
| LAN | количество портов | 1 | ||
| auto MDI/MDI-X | да | |||
| ручное блокирование интерфейсов | нет | |||
| возможность задания размера MTU вручную | нет | |||
| Беспроводной сегмент (на базе ZyXEL ZyAIR G-110) | ||||
| антенна | количество | 1 | ||
| тип | встроенная дипольная, возможность подключения внешней антенны | |||
| возможность замены антенны/тип коннектора | да, AMX | |||
| принудительное задание номера рабочей антенны | ||||
| поддерживаемые стандарты и скорости | 802.11b | CCK (11 Mbps, 5.5 Mbps), DQPSK (2 Mbps) DBPSK (1 Mbps) | ||
| 802.11g | OFDM: 54, 48, 36, 18, 12, 11, 9, 6 Mbit/sec | |||
| Регион/Кол-во каналов | ??/11 | |||
| расширения протокола 802.11g | нет | |||
| возможность ручного задания скорости | нет | |||
| выходная мощность | (максимальная?) | 15 дБм | ||
| 802.11b @11Mbit/s | 15 дБм | |||
| 802.11g @54Mbit/s | 12.5 дБм | |||
| чувствительность приемника | 802.11b @11Mbit/s | -80 дБм | ||
| 802.11g @54Mbit/s | -66 дБм | |||
| работа с другой AP | поддержка WDS (мост) | нет | ||
| поддержка WDS + AP | нет | |||
| возможность работы в режиме клиента | нет | |||
| wireless repeater (повторитель) | нет | |||
| безопасность | блокировка широковещательного SSID | да | ||
| привязка к MAC адресам | да | |||
| WEP | 64/128bit | |||
| WPA | да | |||
| WPA-PSK (pre-shared key) | да | |||
| 802.1x (через Radius) | да | |||
| основные возможности | ||||
| конфигурирование устройства и настройка клиентов | администрирование | WEB-интерфейс | да | |
| WEB-интерфейс через SSL | да | |||
| собственная утилита | да, Vantage CNM | |||
| telnet | да | |||
| ssh | да | |||
| COM-порт | да | |||
| SNMP | да | |||
| возможность сохранения и загрузки конфигурации | да | |||
| встроенный DHCP сервер | да | |||
| поддержка UPnP | да | |||
| метод организации доступа в Интернет | Network Address Translation (NAT-технология) | да | ||
| возможности NAT | one-to-many NAT (стандартный) | да | ||
| one-to-one NAT | да | |||
| возможность отключения NAT (работа в режиме роутера) | да | |||
| возможность работы в режиме моста | да | |||
| Встроенные VPN-сервера | IPSec | да | ||
| PPTP | нет | |||
| L2TP | нет | |||
| VPN pass through | IPSec | да | ||
| PPTP | да | |||
| PPPoE | ?? | |||
| L2TP | ?? | |||
| Traffic shaping (ограничение трафика) | да | |||
| DNS | встроенный DNS-сервер (dns-relay) | да | ||
| поддержка динамического DNS | да, DynDNS.org | |||
| внутренние часы | присутствуют | |||
| синхронизация часов | да (NTP, Time, Daytime) | |||
| встроенные утилиты | ICMP ping | нет | ||
| traceroute | нет | |||
| resolving | нет | |||
| логирование событий | да | |||
| логирование исполнения правил файрвола | да | |||
| способы хранения | внутри устройства | да | ||
| на внешнем Syslog сервере | да | |||
| отправка на email | да | |||
| SNMP | поддержка SNMP Read | да | ||
| поддержка SNMP Write | да | |||
| поддержка SNMP Traps | да | |||
| Роутинг | ||||
| статический (задания записей вручную) | да | |||
| динамический роутинг | на WAN интерфейсе | возможность отключения | да | |
| RIPv1 | да | |||
| RIPv2 | да | |||
| на LAN интерфейсе | возможность отключения | да | ||
| RIPv1 | да | |||
| RIPv2 | да | |||
| возможности VPN | ||||
| сервер IPSec | виды туннелей | tunnel, transport | ||
| типы аутентификации | pre shared key | да | ||
| сертификаты | да | |||
| алгоритмы хеширования | SHA1 | да | ||
| MD5 | да | |||
| алгоритмы шифрования | DES | да | ||
| 3DES | да | |||
| AES | да | |||
| возможности встроенных фильтров и файрвола | ||||
| поддержка SPI (Stateful Packet Inspection) | да, но без возможности использования в правилах | |||
| наличие фильтров/файрвола | на LAN-WAN сегменте | да | ||
| на WLAN-WAN сегменте | да | |||
| на LAN-WLAN сегменте | да | |||
| типы фильтров | с учетом SPI | нет | ||
| по MAC адресу | нет | |||
| по source IP адресу | да, в том числе по диапазону | |||
| по destination IP адресу | да, в том числе по диапазону | |||
| по протоколу | да, TCP/UDP/TCP&&UDP/ICMP/*Custom* | |||
| по source порту | да | |||
| по destination порту | да | |||
| привязка ко времени | да | |||
| по URL-у | да | |||
| по домену | да(совмещен с URL) | |||
| работа со службами списков URL для блокировки | да | |||
| тип действия | allow | да | ||
| deny | block, reject | |||
| log | да | |||
| поддержка спец. приложений (netmeeting, quicktime etc) | Настройки устанавливаются вручную для таких приложений задаются вручную в настройках NAT. Встроенный SIP/H.323/FTP шлюз уровня приложений (ALG) | |||
| виртуальные сервера | возможность создания | да | ||
| задания различных public/private портов для виртуального сервера | да | |||
| возможность задания DMZ | да | |||
| traffic shaping | ||||
| типы шейпинга |
ограничение общего исходящего трафика | да | ||
| ограничение общего входящего трафика | да | |||
| ограничение входящего трафика по критериям | да | |||
| ограничение исходящего трафика по критериям | да | |||
| критерии задания правила для ограничений |
src interface lan/wan | да | ||
| dst interface lan/wan | нет | |||
| src ip/range | да | |||
| dst ip/range | да | |||
| protocol | по номеру протокола | |||
| src port/range | да | |||
| dst port/range | да | |||
| привязка ко времени | нет | |||
| типы ограничений |
количественные ограничения для полосы байтах | да | ||
| задание в процентах | нет | |||
| назначение приоритета | да | |||
| питание | ||||
| тип БП | встроенный | |||
| поддержка 802.1af (PoE) | нет | |||
| дополнительная информация | ||||
| версия прошивки | V4.00(WM.2) | 10/27/2005 | |||
| встроенный ftp-server | да, через него возможно обновление или сохранение конфигурации | |||
| размеры | 355 × 200 × 55 mm | |||
| вес | 2600 г | |||
Настройку устройства можно производить через WEB-интерфейс, по протоколу Telnet или через консольный порт, а также через программу Vantage CNM, являющуюся отдельной коммерческой программой ZyXEL для управления сетью, состоящей из множества межсетевых экранов ZyWALL. Для удаленной диагностики и мониторинга, включая учет трафика отдельных пользователей и используемой ими полосы пропускания WAN-канала может использоваться бесплатная утилита Vantage Report.
Виртуальный WEB-интерфейс устройства приведен на сайте zywall70utmdemo.zyxel.com/. Также доступен виртуальный Telnet-интерфейс устройства — для этого нужно воспользоваться командой "telnet zywall70utmdemo.zyxel.com"
DHCP-сервер устройства позволяет задать 128 статических записей.
Маршрутизатор позволяет создавать BackUp-соединение с Интернетом через обычный аналоговый модем, в случае, если связь по основным каналам будет прервана.
В устройстве предусмотрена возможность распределения нагрузки между 2-мя WAN-портами, что позволяет увеличить производительность при ограниченности скорости каждого из каналов.
Устройство позволяет задать для каждого подключения к Интернет различные приоритеты (от 0 до 15, чем больше значение — тем ниже приоритет), которые не могут совпадать. По умолчанию приоритет порта WAN1 равен 1, WAN2 — 2, перенаправление трафика (Trafic redirect) — 14, а резервный канал, организованный с помощью аналогового модема (Dial BackUp) — 15. В случае недоступности одного из каналов с более высоким приоритетом (чем меньше число — тем выше приоритет), устройство автоматически переключается на канал с более низким приоритетом. Условием недоступности является результат команды ping (по умолчанию пингуется "шлюз по умолчанию", но можно указать любой IP-адрес; если ping не проходит — устройство принимает решение, что канал недоступен). Мы можем указать маршрутизатору переключиться на "первичный" канал, как только он снова становится доступным.
Другим способом подключения является распределение нагрузки между WAN каналами с использованием механизма Load Balancing (балансировка нагрузки). Балансировка нагрузки происходит по одному из следующих алгоритмов: Least Load First, Weighted Round Robin или Spillover.
При использовании алгоритма Least Load First, в параметрах устройства задается промежуток времени (10-600 с) и доступная ширина канала. По достижении указанного промежутка времени, рассчитывается текущая загруженность каждого из каналов. На протяжении последующего интервала времени, все соединения будут производиться через менее загруженный канал.
При использовании алгоритма Weighted Round Robin, мы задаем "вес" (значение от 0 до 10), который канал может на себя принять. Например, если доступные скорости каналов отличаются в 2 раза, то каналу с меньшей скоростью нужно назначить в 2 раза меньший вес.
При использовании алгоритма Spillover, мы задаем максимальную пропускную способность WAN канала с бОльшим приоритетом, по достижении которой, все вновь устанавливаемые соединения производятся через второй WAN-интерфейс (интерфейс с меньшим приоритетом).
При настройке файрвола, для каждого правила можно задать расписание, режим логирования, а также действие: Premit, Block, Reject.
При использовании карты расширения ZyWALL Turbo, устройство может реализовать функции обнаружения и предотвращения вторжений (IDP, Inrusion Detection and Prevention), а также функции антивирусной защиты. Антивирусная защита, реализуемая в устройстве, не является заменой антивирусного ПО, устанавливаемого на компьютере пользователя, так как устройство производит проверку трафика только на наиболее распространенные на момент проверки вирусы. К тому же антивирусной проверке подвергается только трафик, идущий по протоколам HTTP, SMTP, POP3 и FTP, а также задаются интерфейсы, исходящий трафик с которых подвергается проверке.
Помимо вышесказанного, устройство реализует антиспам-фильтр и контент-фильтр, которые работают с внешними базами фильтрации, и поэтому являются платными. Anti-Spam фильтр позволяет проверять почту, проходящую по протоколам POP3 и SMTP, и использует внешнюю базу данных для проверки на спам. Контент-фильтр также работает совместно с внешними списками фильтрации, позволяющими проводить фильтрацию по содержимому. Фильтрация сайтов может проводиться по 52 категориям. Контент-фильтр также кэширует запросы к списку фильтрации и при повторной попытке зайти на "запрещенный" сайт использует данные из кэша.
VPN-сервер устройства позволяет устанавливать соединения IPSec, используя алгоритмы шифрования DES, 3DES и AES. Начальная аутентификация производится с использованием предварительных ключей или с использованием сертификатов. Устройство также позволяет создавать сертификаты вручную через WEB-интерфейс.
Для аутентификации возможно использование внешнего Radius-сервера или локальной базы пользователей, являющейся как бы альтернативой Radius-серверу с минимальными возможностями.
Количество записей статического роутинга устройства ограничено 50-ю.
Устройство также поддерживает управление полосой пропускания канала — подробнее об этом будет рассказано ниже в данном обзоре.
Имеется возможность настройки роутера по протоколу Telnet (настройка по Telnet полностью аналогична настройке через консоль)
которая в свою очередь предоставляет интерфейс к командной строке ОС роутера.
Еще раз напомню, что услуги контент-фильтрации, спам-фильтрации, антивирусной проверки трафика и обнаружение вторжений (IDP) являются платными. При покупке устройства можно зарегистрировать Trial-версии этих услуг для ознакомления с их возможностями. Срок Trial-лицензии на контент-фильтр составляет 1 месяц с момента регистрации. Срок Trial-лицензии на услуги обнаружения и предотвращения атак, на антивирусную защиту и на спам-фильтр составляет 3 месяца с момента регистрации. По истечении этих сроков, для использования указанных возможностей придется оплачивать новую лицензию.
Теперь перейдем собственно к тестированию возможностей устройства.
Тестирование производительности
Тестирование проводного сегмента
Тест LAN-WAN — тестирование проводилось по этой методике. При тестировании никакие возможности, связанные с картой расширения ZyWALL Turbo (такие как IDP — обнаружение и предотвращение вторжений и антивирусная проверка трафика) не использовались.
Максимальная скорость: 58,92 Мбит/с — при работе в полнодуплексном режиме.
Теперь посмотрим что произойдет при уменьшении размера пакетов
Как видно из диаграмм, при уменьшении размеров пакетов, скорость трафика значительно падает.
Тестирование NetPIPE:
Для определения влияния механизма обнаружения и предотвращения атак IDP на скорость трафика, тест NetPIPE проводился в 2 этапа: с включенным IDP и выключенным IDP. Посмотрим какие получились результаты
Защита IDP отключена:
Максимальная скорость: 58,55 Мбит/с. Аномалий в графике не наблюдается.
Защита IDP включена:
Максимальная скорость: 11,48 Мбит/с. На графике наблюдаются провалы при увеличении размера блока передаваемых данных.
При работе устройства в режиме моста, падения скорости на WAN-LAN сегментах не наблюдается (если сравнивать ее со скоростью используемых сетевых адаптеров, подключенных напрямую).
При включении механизма IDP в режиме моста, были получены следующие скорости:
Максимальная скорость: 20,59 Мбит/с — та максимальная скорость, которую можно получить при использовании механизма IDP (только в режиме моста).
Тестирование беспроводного сегмента
Тестирование проводилось в несколько этапов:
- Тест "Точка доступа — Cardbus адаптер"
Для тестирования беспроводной связи использовался ZyXEL ZyAIR G-162 Cardbus адаптер. Для того, чтобы устройство начало работать в режиме точки доступа в слот расширения был установлен беспроводной Cardbus адаптер ZyXEL ZyAIR G-110.
Тест "Точка доступа — Cardbus адаптер" — трафик гонялся между компьютером локального (LAN) сегмента маршрутизатора и ноутбуком с беспроводным сетевым Cardbus-адаптером ZyXEL G-162 через точку доступа ZyXEL ZyWALL 70W (на базе ZyXEL ZyAIR G-110). Скорость соединения устанавливалась автоматически для режима IEEE 802.11g. Тест проводился с помощью Chariot NetIQ. Расстояние между точками не превышало 5 метров.
Сокращения:
- Cardbus — беспроводной Cardbus-адаптер ZyXEL G-162
- AP — точка доступа роутера ZyXEL ZyWALL 70W (на базе ZyXEL ZyAIR G-110)
- fdx — генерация трафика в обоих направлениях
Максимальная скорость: 21,73 Мбит/с — нормальная скорость для режима IEEE 802.11g. Скорость от точки доступа к Cardbus-адаптеру в полнодуплексном режиме почти в 5 раз выше скорости от Cardbus-адаптера к точке доступа — это не очень хороший показатель — явная асимметрия линии.
Безопасность:
При проведении тестов на безопасность, были включены все виды удаленного управления.
Nessus находит несколько 3 критических уязвимостей, 2 из которых связаны с паролем SNMP по умолчанию, который необходимо изменить, а третья — с возможностью определения уникального номера пакета и перехвата соединения злоумышленником путем подмены этого номера.
Доступность:
Средняя розничная цена на рассматриваемое в статье устройство на последний момент:
| ZyXEL ZyWALL 70W | Н/Д(0) |
| ZyXEL ZyWALL Turbo Card | Н/Д(0) |
Производительнсоть VPN-сервера:
VPN-сервер устройства позволяет устанавливать до 100 (!) одновременных IPSec-соединений с использованием DES, 3DES и AES шифрования. Также возможно использование сертификатов и RADIUS-сервера для аутентификации. В устройстве используется сетевой процессор, поддерживающий аппаратное ускорение алгоритмов DES и AES. Зашифрованный трафик не может быть подвергнут антивирусной проверке или проверке механизмом обнаружения и предотвращения вторжений (IDP). На сегодняшний день алгоритм DES считается уже недостаточно криптостойкими, поэтому при тестировании он не использовался. Для тестирования использовались стендовые компьютеры под управлением Gentoo Linux (версия ядра 2.6.11).
При тестировании создавались туннели со следующими параметрами:
- Обмен ключами: IKE
- Хеш: MD5
//** результаты тетирования VPN-серверов устройства при поэтапном включении туннелей находятся на прилагаемом DVD-диске **//
Сокращения:
- Gentoo — стендовый компьютер
- ZyWALL — рассматриваемый роутер ZyXEL ZyWALL 70W
Производительность IPSec, 1 туннель, 3DES шифрование
Максимальная скорость: 13,02 Мбит/с — судя по всему скорость ограничена производительностью стендовых компьютеров, так как график скорости — практически прямая линия.
Производительность IPSec, 2 туннеля, 3DES шифрование
Максимальная скорость: 25,279 Мбит/с — скорость возросла практически ровно в 2 раза по сравнению с предыдущим тестом. Судя по всему, даже 2 стендовых компьютера не могут "выжать" из устройства всей производительности. График производительности как и в прошлом тесте имеет малый разброс.
Производительность IPSec, 3 туннеля, 3DES шифрование
Полудуплексный режим (half-duplex):
Полнодуплексный режим (full-duplex):
Максимальная скорость: 33,414 Мбит/с. График скорости начинает варьироваться в широких пределах — видимо только 3 используемых компьютера могут "разогнать" устройство до отказа.
Теперь проведем те же тесты, но с использованием шифрования AES.
Производительность IPSec, 1 туннель, AES шифрование
Максимальная скорость: 31,6 Мбит/с — график имеет небольшой разброс.
Производительность IPSec, 2 туннеля, AES шифрование
Максимальная скорость: 25,852 Мбит/с — при подключении еще одного туннеля, производительность снижается, но график ведет себя весьма стабильно.
Производительность IPSec, 3 туннеля, AES шифрование
В полудуплексном режиме (half-duplex):
В полудуплексном режиме (full-duplex):
Максимальная скорость: 33,414 Мбит/с — графики варьируются в широких пределах — видимо процессор используется на все 100%.
Управление трафиком
При настройке управления трафиком, выбираются интерфейсы устройства, к которым будут применяться правила управления трафиком. Эти правила накладывают ограничения только на исходящий с этих интерфейсов трафик.
В колонке "Active" ставятся галочки напротив интерфейсов, на исходящий трафик которых будут применяться правила "шейпинга".
В колонке "Speed" указывается максимальная скорость трафика исходящего с указанного интерфейса в случае, если не установлена галочка Maximaize Bandwidth Usage.
В колонке "Scheduler" устанавливается каким образом трафик разделяется между подклассами. При выборе типа "Priority-Based" трафик распределяется между классами в соответствии с приоритетами, установленными на каждом классе. При выборе пункта "Fairness-Based" роутер распределяет трафик равномерно между классами — это предотвращает использование всей полосы пропускания одним классом.
При активации пункта "Maximum Bandwidth Usage" для передачи трафика используется вся пропускная способность канала вне зависимости от установленного в колонке "Speed" значения.
Правила управления трафиком задаются с помощью структуры классов. Установки, описанные выше, задают параметры корневого класса.
Корневой класс может содержать подклассы, которые разделяют полосу пропускания корневого класса в зависимости от установленных критериев.
При создании (или изменении) подклассов, можно варьировать следующими параметрами
BW Budget (bandwidth budget) — здесь задается ширина полосы пропускания (в кбит/с), которая может быть предоставлена данному классу.
Priority — приоритет класса — значение от 0 до 7, чем больше число — тем выше приоритет. По умолчанию равен 3.
Borrow bandwidth from parent class — этот параметр означает, что если вышестоящий класс не использует всю полосу пропускания, ее может использовать данный подкласс. Если на полосу пропускания родительского класса претендует сразу несколько классов и для интерфейса параметр "Scheduler" установлен в "Priority-Based" — то она распределяется между классами в зависимости от установленного приоритета.
Enable Bandwidth Filter — включение/выключения правил данного класса.
Далее устанавливаются подсети, порты и протоколы для которых применяются правила данного класса.
Возможность управления полосой пропускания содержит достаточно много настроек полное тестирование которых заняло бы очень много времени, поэтому мы провели только несколько основных тестов и все тесты проводились с исходящим трафиком.
Если исходить из результатов тестов, то видно, что шейпиг трафика работает, но его результаты несколько ниже заданных в настройках устройства и вся заданная ширина канала не используется.
Антивирусная защита
Антивирусная защита реализуется в устройстве при помощи карты расширения ZyWALL Turbo Card. Осуществляется проверка трафика, идущего по протоколам HTTP, POP3, SMTP и FTP. При этом указываются интерфейсы, трафик исходящий с которых подвергается проверке. Используемый в карточке ZyWALL Turbo Card алгоритм позволяет проводить антивирусную проверку файлов вне зависимости от их размера и не сказываясь значительного на скорости трафика. Напомню, что так как используемые тесты "гоняют" случайный трафик, не используя для этого протоколы высоких уровней (таких как HTTP, FTP и др.), поэтому насколько в действительности проверка трафика на вирусы влияет на скорость трафика с помощью объективных тестов выяснить не удалось.
Теперь более подробно обратим внимание на настройки антивирусной защиты
Итак разберем параметры более подробно
Enable Anti-Virus — включает антивирусную защиту устройства (ZyWALL Turbo Card должна быть установлена)
Enable ZIP File Scan — включает сканирование архивов формата ZIP. Проверяемые файлы сначала извлекаются из архива, а после подвергаются проверке. Проверка дважды заархивированных файлов невозможна.
Active — включает проверку трафика данного протокола
Log — включает логирование антивирусной защиты
Alert — только если логирование включено, отправляет сообщение на указанный в параметрах логирования адрес электронной почты
Protected Interface — защищаемый интерфейс (трафик, исходящий с указанного интерфейса подвергается антивирусной проверке).
Send Windows Message — включает отправку сообщений компьютерам с MS Windows, подключенным к защищаемым интерфейсам и являющимися адресатами для зараженного файла (работает только, если включена служба сообщений Windows)
Destroy File — удалять зараженную часть файла, при этом файл повреждается и его последующее лечение становится невозможным.
Опыты проводились на файле с вирусом Win32.MyDoom.e. Этот файл сам был вирусом — его лечение было невозможно.
При тестировании зараженный файл передавался по протоколам HTTP, FTP и SMTP. При этом отслеживались логи устройства, а после пересылки файла проверялось его двоичное соответствие исходному и проверка файла на вирусы.
При пересылке зараженного файла, информация фиксировалась в логах. В случае, если установлена галочка "Destroy File", зараженная часть файла "затирается" — при этом файл становится непригодным как для лечения так и для использования.
Если файл находится в архиве, сам архив не повреждается, повреждается только зараженный файл в архиве. В случае использования двойного архивирования (архив в архиве), проверка второго архива не производится.
В случае, если галочка "Destroy File" не установлена, с файлом ничего не происходит и зараженный файл оказывается на машине пользователя.
При передаче файлов по протоколу FTP или SMTP, проверяются все передаваемые файлы, а при передаче по протоколу HTTP, проверка проводится только, если файлы имеют определенное расширение: когда я пытался передать файл, расширение которого отлично от 'exe', вирус не обнаруживался и зараженный файл снова оказывался на компьютере, правда в неисполняемом варианте (так как ОС Windows определяет тип файла по расширению).
Для использования параметра "Send Windows Message" должна быть включена служба сообщений Windows. При этом выдается сообщение о зараженном файле на компьютере-получателе.
К сожалению устройство не проверяет файлы, передаваемые по протоколу IMAP, также используемого для проверки почты.
Некоторые скриншоты антивирусной защиты можно найти в обзоре, посвященном устройству ZyXEL ZyWALL 5 EE UTM.
Антиспам фильтр
Устройство позволяет проводить отсеивание спама. Для этого можно использовать так называемые "черный список" и "белый список", а также использовать внешнюю базу данных, для отсеивания спама. В "черный" и "белый" списки можно добавлять правила, указывая E-Mail-адрес отправителя, IP-адрес отправителя или определенную пару параметр-значение MIME-заголовка.
В случае, если пришло письмо, которое подходит по указанным в "черном списке" параметрам — его заголовок помечается тэгом, указанным в поле "Spam Tag", который вставляется в начало темы сообщения
Спам-фильтр устройства также позволяет обнаруживать почту, являющейся так называемым фишингом (производное от fish) — разновидность мошенничества, при котором мошенники используют различные уловки для того, чтобы узнать пароли, номера банковских счетов и т.д. Такие письма помечаются тэгом, указанным в поле "Phishing Tag".
При использовании внешней базы данных для опознавания спама, используется технология компании MailShell, основанная на онлайновом анализе заголовков писем с использованием нескольких алгоритмов: SpamBulk, SpamRepute, SpamContent, SpamTricks.
SpamBulk — создает уникальные идентификаторы писем, содержащие части письма, которые наиболее трудно изменить или фальсифицировать спамерам, после чего посылает из на сервер базы данных. Полученная информация используется для анализа последующих писем.
SpamRepute — определяет "репутацию" отправителя. Использует базы данных спаммерских e-mail адресов, доменов и IP-адресов.
SpamContent — анализируется содержимое письма (заголовки писем, адреса отправителя и получателя, тело письма и др.). Производится сравнение этого содержимого на совпадение со словарем, хранящемся в базе данных.
SpamTricks — проверка формата писем на предмет ухищрений, используемых спаммерами, таких как использование картинки вместо текста, различные манипуляции с форматом HTML и др.
Сервер БД совместно с вышеописанными алгоритмами использует статистический алгоритм Bayes для вероятностного определения письма как спама и возвращает некое значение, которое означает вероятность, что рассматриваемое письмо является спамом (0 — 100). Эта вероятность сравнивается с пороговым значением, устанавливаемым в параметрах устройства
и в случае превышения этого порога, письмо помечается как спам. Примечательно то, что алгоритм Bayes может самостоятельно обучаться. Сильное понижение порогового значения повышает вероятность срабатывания на "нормальные" письма как на спам, поэтому менять его следует с некоторой осторожностью.
К сожалению, проверке на спам может подвергаться почта, идущая по протоколу POP3 и SMTP. Почта, идущая по протоколу IMAP не может быть подвергнута проверке.
Возможности антивирусной защиты и спам-фильтрации являются платными. При покупке устройства предоставляются их Trial-версии.
Выводы:
Устройство обладает достаточно высокой производительностью как проводного так и беспроводного сегмента, однако при включении механизма обнаружения и предотвращения вторжений, скорость трафика заметно падает (с 58 до 11.5 Мбит/с при работе в режиме NAT-маршрутизатора). Это говорит о том, что обнаружение и предотвращение вторжений — очень ресурсоемкая операция.
VPN-сервер устройства обладает сравнительно высокой производительностью как при использовании 3DES-шифрования, так и при использовании AES-шифрования, а также может использовать сертификаты и RADIUS-сервер. Судя по документации, VPN-сервер устройства позволяет одновременно устанавливать до 100 IPSec VPN-соединений, но какая будет скорость в каждом туннеле при таком огромном количестве соединений, я ответить затрудняюсь.
Возможности управления полосой пропускания "BandWidth Management" позволяют управлять трафиком, но полученные реальные скорости в ряде случаев значительно ниже заданных в параметрах. При запуске 2-х потоков с различными скоростями или приоритетами, график скорости потока с большей скоростью или приоритетом, сильно варьируется. При установке галочки "Borrow bandwidth from parent class", класс должен использовать свободную часть скорости канала корневого класса, но почему-то не всегда это делает.
Антивирусная защита может только предупреждать о зараженных файлах или портить их — лечить инфицированные файлы устройство не позволяет. Файлы, идущие по протоколу HTTP подвергаются проверке только в случае, если они имеют подходящее расширение. Например инфицированный файл "abc.exe" будет обнаружен, но тот же файл с именем "abc" не будет проверен. Устройство позволяет посылать предупредительные сообщения на компьютеры под управлением MS Windows в случае, если включена служба сообщений Windows.
Антиспам — фильтр показывает хорошие результаты в обнаружении спама, позволяет создавать "черные" и "белые" списки и использовать внешнюю базу данных (платная возможность), но не позволяет проверять почту идущую по протоколу IMAP.
Плюсы:
- Возможно использование локальной БД пользователей в качестве сервера аутентификации
- Возможность создания точки доступа на базе маршрутизатора
- Возможность управления через COM-порт
- Широкие возможности задания правил файрвола, сервиса NAT и параметров логирования событий
- Сравнительно высокая производительность VPN-сервера (~30-35 Мбит/с)
- Возможность использования сертификатов
- Возможность использования сервера аутентификации RADIUS
- Возможно одновременное использование до 100 VPN-соединений (теоретически)
- Возможность использования AES-шифрования в VPN-сервере
- Наличие возможности антивирусной проверки трафика
- Возможность автоматического обновления антивирусных баз
- Возможность отправки Windows Message — сообщения на компьютер, принимающий зараженный файл
- Наличие возможности управления полосой пропускания
- Наличие возможности спам-фильтрации
- Возможность создания собственных "черных" и "белых" списков для спам фильтра
Минусы:
- Нет возможности подробно задать параметры беспроводной связи
- Поддержка всего лишь 11 каналов беспроводной связи, вместо 13 (стандарт для восточноевропейского региона)
- При использовании возможности управления полосой пропускания, реальная скорость трафика оказывается несколько ниже, заданной в правилах
- Антивирусная проверка ведется только по протоколам SMTP, POP3, HTTP и FTP, нет возможности антивирусной проверки почты, идущей по протоколу IMAP
- Файлы, передаваемые по протоколу HTTP подвергаются проверке только если они имеют определенное расширение (файлы '*.exe' подвергаются проверке, а файлы без расширения — нет)
- Антивирусная защита портит зараженные файлы
- Возможна антивирусная проверка архивов только формата ZIP и только если нет вложенных архивов
- Spam-фильтр не поддерживает работу с протоколом IMAP
| 1 апреля 2005 г. | 
Сергей Аношкин
|
|
| Дополнительно |
|
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
:no_upscale()/https://cdn.ixbt.site/ixbt-data/Tiky4gksYV/covers/7RINz0bJ5dhMAw8HGjBSZtIid2K44nRSBJIWm3Xx.jpg)
:no_upscale()/https://cdn.ixbt.site/ixbt-data/7pdhyjECid/covers/xkod9zpDc09RKi43nTr58dWfkrusBWwa8atvU0oW.jpg)
:no_upscale()/https://cdn.ixbt.site/ixbt-data/F2rBMtr0Ra/covers/atRUisj1XlQ4lGyZOh6gvQIuQFxVEudD48nyWJp1.jpg)
