В данном обзоре мы рассмотрим возможности и настройки устройства ZyXEL ZyWALL P1.
Функциональные возможности устройства: интернет-маршрутизатор со встроенным межсетевым экраном, IPSec VPN сервер. Устройство также включает в себя механизм обнаружения и предотвращения вторжений, а также имеет возможность антивирусной проверки трафика (по протоколам FTP, SMTP, POP3, HTTP).
На устройстве расположены следующие индикаторы:
- Индикатор питания
- Индикатор состояния/активности порта WAN
- Индикатор состояния/активности VPN-соединения
- Индикатор, сигнализирующий о том, что в данный момент устройство настраивается с использованием ПО централизованного управления Vantage CNM
- Индикатор состояния/активности порта LAN
На устройстве расположены:
- Кнопка Reset — сброс параметров
- Порт WAN — RJ-45
- Порт LAN — RJ-45
- Порт USB
- Разъем питания
Комплектация устройства:
- Сам межсетевой экран
- Кабель RJ-45 — RJ-45 длиной 0,5 метра
- Руководство по быстрой установке и настройке устройства на 7-ми языках (без русского)
- Диск с инструкцией
- USB-кабель для подключения устройства к USB-порту компьютера длиной около 20 см
- Блок питания 5В, 1,5А (длина провода около 2-х метров)
Вид изнутри
Спецификация
| корпус | пластиковый, допускается горизонтальная установка | ||
| исполнение | Indoor | ||
| проводной сегмент | |||
| WAN | тип | Fast Ethernet | |
| количество портов | 1 | ||
| auto MDI/MDI-X | да | ||
| типы поддерживаемых соединений | фиксированный IP | да | |
| динамический IP | да | ||
| PPPoE | да | ||
| PPTP | да | ||
| L2TP | нет | ||
| IPSec | да | ||
| LAN | количество портов | 1 | |
| auto MDI/MDI-X | да | ||
| ручное блокирование интерфейсов | нет | ||
| возможность задания размера MTU вручную | нет | ||
| основные возможности | |||
| конфигурирование устройства и настройка клиентов | администрирование | WEB-интерфейс | да |
| WEB-интерфейс через SSL | да | ||
| собственная утилита | да | ||
| telnet | да | ||
| ssh | да | ||
| COM-порт | нет | ||
| SNMP | да | ||
| возможность сохранения и загрузки конфигурации | да | ||
| встроенный DHCP сервер | да | ||
| поддержка UPnP | да | ||
| метод организации доступа в Интернет | Network Address Translation (NAT-технология) | да | |
| возможности NAT | one-to-many NAT (стандартный) | да | |
| one-to-one NAT | да | ||
| возможность отключения NAT (работа в режиме роутера) | да | ||
| Встроенные VPN-сервера | IPSec | да | |
| PPTP | нет | ||
| L2TP | нет | ||
| VPN pass through | IPSec | да | |
| PPTP | да | ||
| PPPoE | нет | ||
| L2TP | да | ||
| Traffic shaping (ограничение трафика) | нет | ||
| DNS | встроенный DNS-сервер (dns-relay) | да | |
| поддержка динамического DNS | да, DynDNS.org | ||
| внутренние часы | присутствуют | ||
| синхронизация часов | да, NTP, Time, Daytime | ||
| встроенные утилиты | ICMP ping | нет | |
| traceroute | нет | ||
| resolving | нет | ||
| логирование событий | да, системные события, файрвол | ||
| логирование исполнения правил файрвола | да | ||
| способы хранения | внутри устройства | да | |
| на внешнем Syslog сервере | да | ||
| отправка на email | да | ||
| SNMP | поддержка SNMP Read | да | |
| поддержка SNMP Write | да | ||
| поддержка SNMP Traps | да | ||
| Роутинг | |||
| статический (задания записей вручную) | на WAN интерфейсе | да | |
| на LAN интерфейсе | да | ||
| динамический роутинг | на WAN интерфейсе | возможность отключения | да |
| RIPv1 | да | ||
| RIPv2 | да | ||
| на LAN интерфейсе | возможность отключения | да | |
| RIPv1 | да | ||
| RIPv2 | да | ||
| возможности VPN | |||
| сервер IPSec | типы аутентификации | pre shared key | да |
| сертификаты | да | ||
| алгоритмы хеширования | SHA1 | да | |
| MD5 | да | ||
| алгоритмы шифрования | DES | да | |
| 3DES | да | ||
| AES | да | ||
| возможности встроенных фильтров и файрвола | |||
| поддержка SPI (Stateful Packet Inspection) | да, но без возможности использования в правилах | ||
| наличие фильтров/файрвола | на LAN-WAN сегменте | да, с указанием направления | |
| на LAN-LAN сегменте | да, возможна фильтрация при маршрутизации трафика между подгруппами LAN | ||
| типы фильтров | с учетом SPI | нет | |
| по MAC адресу | да, из консольного интерфейса настройки | ||
| по source IP адресу | да, в том числе по диапазону или подсети | ||
| по destination IP адресу | да, в том числе по диапазону или подсети | ||
| по протоколу | да, TCP/UDP/TCP&&UDP/ICMP или по номеру протокола | ||
| по source порту | нет | ||
| по destination порту | да, в том числе по диапазону | ||
| привязка ко времени | да | ||
| по URL-у | нет | ||
| по домену | нет | ||
| работа со службами списков URL для блокировки | нет | ||
| тип действия | allow | да | |
| deny | да | ||
| reject | да | ||
| виртуальные сервера | возможность создания | да | |
| задания различных public/private портов для виртуального сервера | да | ||
| возможность задания DMZ | да | ||
| питание | |||
| тип БП | внешний, 5VDC, 1500mA | ||
| поддержка 802.1af (PoE) | нет | ||
| дополнительная информация | |||
| версия прошивки | V4.01(XJ.0) от 28.09.2006 | ||
| дополнительные порты | USB | ||
| размеры | 128,5 × 81,5 × 20 мм | ||
| вес | 130 г | ||
Конфигурация
Настройка устройства может осуществляться через WEB-интерфейс, через консольный интерфейс, а также с использованием системы централизованного управления оборудованием ZyXEL Vantage CNM (данная программа является отдельным коммерческим проектом компании ZyXEL и поэтому в данном обзоре не рассматривается).
Полный набор скриншотов WEB-интерфейса настройки приведен здесь.
Список параметров SNMP приведен здесь.
Рассмотрим некоторые параметры интерфейса настройки более подробно.
Устройство позволяет задать до 8-ми статических записей для DHCP-сервера.
LAN-интерфейс устройства помимо «основного» IP-адреса может иметь 2 дополнительных. При этом устройство осуществляет маршрутизацию между подсетями, в которых устройство является шлюзом, а также может производить фильтрацию трафика (посредством файрвола) между данными подсетями.
WAN-интерфейс устройства может получать IP-адрес автоматически (по DHCP) либо IP-адрес может быть задан вручную. Также возможно подключение с использованием протоколов PPPoE или PPTP.
В настройках файрвола задаются стандартные правила (правила «по умолчанию») для трафика, идущего через определенные интерфейсы,
после чего задаются правила файрвола для конкретных направлений.
При этом каждое правило файрвола может иметь собственное расписание, определять диапазон или подсеть IP-адресов источника/назначения пакетов и содержать список сервисов, к которым применяется данное правило (устройство уже имеет небольшой список предопределенных сервисов и позволяет создать свой собственный список).
Работа таких возможностей как антивирусная проверка трафика и механизма обнаружения и предотвращения вторжений по окончанию ознакомительного периода (3 месяца) оплачивается отдельно и требует соответствующей «лицензии».
VPN-сервер устройства позволяет установить одновременно только один туннель IPSec VPN. При этом возможно использование следующих алгоритмов шифрования: DES, 3DES, AES. Для аутентификации на первом этапе установления IPSec VPN-соединения (напомню, что данные соединения устанавливаются в 2 этапа) возможно использование как предварительного ключа (Pre-Shared Key, PSK), так и сертификатов. Расширенная аутентификация может производиться как с использованием внешнего RADIUS-сервера, так и при использовании встроенной в устройство базы данных пользователей (всего в данной базе данных может быть заведено до 8-ми пользователей).
Настройка сервиса NAT позволяет достаточно подробно задать параметры форвардинга портов и переадресации запросов. Возможно также задание переадресации трафика «Many-to-many» (то есть все запросы на несколько внешних IP-адресов переадресуются на несколько скрытых за NAT'ом IP-адресам), однако в WEB-интерфейсе настройки устройства мне не удалось найти способ задать WAN-интерфейсу несколько IP-адресов.
Устройство также позволяет задавать до 11 статических записей в таблицу маршрутизации.
Как было сказано выше, устройством можно управлять посредством WEB-интерфейса и с использованием интерфейса командной строки. Доступ к WEB-интерфейсу возможен как по стандартному HTTP, так и по HTTP с использованием шифрования посредством SSL (HTTPS). Доступ к командной строке управления устройством возможен как по протоколу Telnet, так и с использованием SSH.
Обратившись к устройству по протоколу FTP можно получить доступ к файлам с прошивкой и к файлу с настройками. Файл с прошивкой доступен только для перезаписи (таким образом можно обновить прошивку устройства), а файл с настройками доступен как для чтения, так и для записи (обновление и сохранение конфигурации).
Устройство может производить логирование событий. Логи могут храниться как внутри устройства (только до перезагрузки), так и отправляться по электронной почте или на Syslog-сервер.
Устройство также может работать в режиме обычного маршрутизатора (без NAT) или моста.
Помимо WEB-интерфейса настройки, как уже говорилось выше, возможно управление устройством с использованием интерфейса командной строки. Командная строка является интерфейсом сетевой операционной системы ZyNOS 4.0 — она состоит из иерархической системы команд.
Для тонкой настройки устройства, возможно, придется воспользоваться интерфейсом командной строки. Некоторые параметры (например, таймаут работы интерфейса настройки устройства) можно задать только с использованием командного интерфейса настройки. Однако большинству пользователей может оказаться достаточно возможностей WEB-интерфейса настройки.
Что касается PPTP-подключений, осуществляемых устройством, — возможно использование PAP, CHAP, MSCHAP аутентификации. Использование MPPE-шифрования не предусмотрено. При подключении к PPTP-серверу WAN-интерфейс устройства должен иметь статический IP-адрес, а PPTP-сервер должен находиться в той же подсети, что и WAN-интерфейс устройства. После подключения устройства к PPTP-серверу, связь с WAN-сегментом устройства теряется.
Доступность
Средняя розничная цена на рассматриваемое в статье устройство : $112(3)
Выводы
Устройство имеет достаточно много различных возможностей, результаты тестирования которых будут рассмотрены в последующих статьях, посвященных данному устройству. Пока обратим внимание на те возможности, которые предоставляет данное устройство.
LAN-интерфейс устройства позволяет разделить LAN-сегмент на несколько подсетей. При этом устройство осуществляет маршрутизацию трафика между данными подсетями и может осуществлять фильтрацию трафика, что разрешает получить несколько больший контроль над LAN-сегментом сети.
Компактные размеры устройства дают возможность расположить его практически, где угодно. Устройство также может получать питание через USB-порт, что позволяет сделать устройство более мобильным.
Широкие возможности настройки правил файрвола разрешают производить достаточно точную настройку фильтрации трафика. Каждое созданное правило файрвола может иметь собственное расписание (по дням недели и интервалу времени), по которому оно будет исполняться.
Из особенностей стоит отметить наличие возможности антивирусной проверки трафика по протоколам FTP, SMTP, HTTP, POP3 и наличие возможности обнаружения и предотвращения вторжений. Более подробно данные возможности будут рассмотрены в следующих частях обзора, посвященного данному устройству.
С устройством поставляется очень подробная документация (почти на 370 страниц), однако документация на русском языке отсутствует. На момент написания данного обзора розничная цена устройства составляла 200$, что несколько сужает круг пользователей, готовых его приобрести.
Плюсы:
- Возможность создания нескольких подсетей (до 3-х) в LAN-сегменте устройства + маршрутизация и фильтрация трафика между ними
- Возможность питания устройства через USB-порт, что позволяет сделать устройство более мобильным
- Широкие возможности настройки правил фильтрации трафика
- Подробная документация на устройство
- IPSec VPN-сервер
- Возможность антивирусной проверки трафика (по протоколам HTTP, SMTP, POP3, FTP)
- Возможность обнаружения/предотвращения вторжений
Минусы:
- Высокая стоимость данного устройства
- Отсутствие документации на русском языке
- Некоторые параметры настройки устройства можно изменить только с использованием командного интерфейса
- Потеря связи с подсетью WAN-интерфейса после установления PPTP-соединения
- PPTP-сервер устройства должен находиться в той же подсети, что и WAN-интерфейс устройства
Навигация:
- Часть 1 — спецификация, настройки
- Часть 2 — тестирование производительности маршрутизатора и VPN-сервера устройства
- Часть 3 — обзор возможностей антивирусной проверки трафика и защиты от сетевых атак
