Интернет-роутер ZyXEL ZyWALL 70W UTM EE и ZyWALL Turbo Card

Часть первая: обзор возможностей и конфигурация, производительность устройства


В одном из прошлых обзоров мы уже рассматривали устройства серии ZyWALL UTM (ZyWALL 5 UTM EE ) и их возможности при использовании карты расширения ZyWALL Turbo. В этом обзоре мы рассмотрим старшее устройство этой серии — межсетевой экран ZyXEL ZyWALL 70W.

Содержание:

  1. Общее описание
  2. Таблица спецификаций устройства
  3. Конфигурирование роутера
  4. Тестирование производительности проводного сегмента
  5. Тестирование производительности беспроводного сегмента
  6. Тестирование безопасности
  7. Доступность
  8. Тестирование производительности VPN-сединения
  9. Тестирование возможностей управления трафиком
  10. Антивирусная защита
  11. Антиспам фильтр

Функциональные возможности ZyXEL ZyWALL 70W UTM EE: Интернет-маршрутизатор с 2-мя WAN-портмаи с возможностью балансировки нагрузки между ними, одним LAN-портом и 4-мя портами DMZ. Возможна установка в слот расширения (интерфейс Cardbus), находящийся на маршрутизаторе, адаптера беспроводной связи ZyAIR G-110 EE или карты расширения ZyWALL Turbo, при помощи которой реализуются функции антивирусной проверки трафика и обнаружения и предотвращения вторжений (IDP, Intrusion Detection and Prevention). IPSec VPN-сервер с поддержкой алгоритмов DES, 3DES и AES, а также с возможностью использования сертификатов. Помимо этого устройство также реализует защиту от спама, позволяющую перехватывать почту, проходящую по протоколам POP3 и SMTP и контент-фильтрацию.

Расширение устройства, обозначенное как UTM (Unified Threat Management), как раз означает, что оно включает в себя функции антивирусной фильтрации, механизма обнаружения и предотвращения вторжений (IDP) и спам-фильтрации.

На роутере расположены следующие индикаторы и порты (слева направо):

  • индикатор питания
  • индикатор состояния системы
  • индикатор активности
  • индикатор активности карты расширения
  • кнопка Reset — сброс параметров
  • 1 × LAN-порт 10/100 с двумя индикаторами на каждом порту
  • 2 × WAN-порт 10/100 с двумя индикаторами на каждом порту
  • 4 × DMZ-порта 10/100 с двумя индикаторами на каждом порту
  • порт RS-232 для подключения аналогового модема в качестве резервной линии при "падении" основного канала
  • консольный порт RS-232 — подключение к консоли

Сзади на роутере расположены (слева направо):

  • Cardbus-слот для установки карты расширения
  • выключатель
  • разъем питания

Устройство поставляется в следующей комплектации:

  • роутер
  • 2 × 2-х метровых патчкорда RJ-45
  • 2-хметровый консольный кабель RS-232
  • провод питания
  • руководство по быстрой установке и настройке на шести языках (без русского. По заверению представителей компании ZyXEL с августа устройства поставляются с руководством на русском)

Вид изнутри

Устройство выполнено на базе сетевого процессора Intel IXP425,

работающего на частоте 533 МГц (аппаратное ускорение алгоритмов SHA-1, MD5, DES, 3DES, AES, поддержка шины PCI 2.2, возможность использования нескольких портов WAN, до 256 Мбайт SDRAM-памяти, пониженное энергопотребление).

Мост между PCI — Cardbus интерфейсами выполнен на базе микросхемы PCI1510 компании Texas Instruments.

На плате установлено 2 Fast Ethernet контроллера VIA VT6105.

На плате устройства установлено 16 Мбайт Flash-памяти Intel TE28F128 и 64 Мбайта SDRAM-памяти Winbond W942516CH.

ZyWALL Turbo Card

ZyWALL Turbo Card (фото) представляет собой карту аппаратного ускорения функций антивирусной фильтрации и IDP (обнаружение и предотвращение вторжений) с интерфейсом Cardbus, которая вставляется в слот маршрутизатора. Именно наличие данной карты определяет возможность проверки трафика на вирусы и механизм обнаружения вторжений.

Спецификации устройства:

корпус металлический, допускается горизонтальная установка или установка в стойку
исполнение Indoor
проводной сегмент
WAN тип Fast Ethernet
количество портов 2
auto MDI/MDI-X да
типы поддерживаемых соединений фиксированный IP да
динамический IP да
PPPoE да
PPTP да
L2TP нет
IPSec да
LAN количество портов 1
auto MDI/MDI-X да
ручное блокирование интерфейсов нет
возможность задания размера MTU вручную нет
Беспроводной сегмент (на базе ZyXEL ZyAIR G-110)
антенна количество 1
тип встроенная дипольная, возможность подключения внешней антенны
возможность замены антенны/тип коннектора да, AMX
принудительное задание номера рабочей антенны  
поддерживаемые стандарты и скорости 802.11b CCK (11 Mbps, 5.5 Mbps), DQPSK (2 Mbps) DBPSK (1 Mbps)
802.11g OFDM: 54, 48, 36, 18, 12, 11, 9, 6 Mbit/sec
Регион/Кол-во каналов ??/11
расширения протокола 802.11g нет
возможность ручного задания скорости нет
выходная мощность (максимальная?) 15 дБм
802.11b @11Mbit/s 15 дБм
802.11g @54Mbit/s 12.5 дБм
чувствительность приемника 802.11b @11Mbit/s -80 дБм
802.11g @54Mbit/s -66 дБм
работа с другой AP поддержка WDS (мост) нет
поддержка WDS + AP нет
возможность работы в режиме клиента нет
wireless repeater (повторитель) нет
безопасность блокировка широковещательного SSID да
привязка к MAC адресам да
WEP 64/128bit
WPA да
WPA-PSK (pre-shared key) да
802.1x (через Radius) да
основные возможности
конфигурирование устройства и настройка клиентов администрирование WEB-интерфейс да
WEB-интерфейс через SSL да
собственная утилита да, Vantage CNM
telnet да
ssh да
COM-порт да
SNMP да
возможность сохранения и загрузки конфигурации да
встроенный DHCP сервер да
поддержка UPnP да
метод организации доступа в Интернет Network Address Translation (NAT-технология) да
возможности NAT one-to-many NAT (стандартный) да
one-to-one NAT да
возможность отключения NAT (работа в режиме роутера) да
возможность работы в режиме моста да
Встроенные VPN-сервера IPSec да
PPTP нет
L2TP нет
VPN pass through IPSec да
PPTP да
PPPoE ??
L2TP ??
Traffic shaping (ограничение трафика) да
DNS встроенный DNS-сервер (dns-relay) да
поддержка динамического DNS да, DynDNS.org
внутренние часы присутствуют
синхронизация часов да (NTP, Time, Daytime)
встроенные утилиты ICMP ping нет
traceroute нет
resolving нет
логирование событий да
логирование исполнения правил файрвола да
способы хранения внутри устройства да
на внешнем Syslog сервере да
отправка на email да
SNMP поддержка SNMP Read да
поддержка SNMP Write да
поддержка SNMP Traps да
Роутинг
статический (задания записей вручную) да
динамический роутинг на WAN интерфейсе возможность отключения да
RIPv1 да
RIPv2 да
на LAN интерфейсе возможность отключения да
RIPv1 да
RIPv2 да
возможности VPN
сервер IPSec виды туннелей tunnel, transport
типы аутентификации pre shared key да
сертификаты да
алгоритмы хеширования SHA1 да
MD5 да
алгоритмы шифрования DES да
3DES да
AES да
возможности встроенных фильтров и файрвола
поддержка SPI (Stateful Packet Inspection) да, но без возможности использования в правилах
наличие фильтров/файрвола на LAN-WAN сегменте да
на WLAN-WAN сегменте да
на LAN-WLAN сегменте да
типы фильтров с учетом SPI нет
по MAC адресу нет
по source IP адресу да, в том числе по диапазону
по destination IP адресу да, в том числе по диапазону
по протоколу да, TCP/UDP/TCP&&UDP/ICMP/*Custom*
по source порту да
по destination порту да
привязка ко времени да
по URL-у да
по домену да(совмещен с URL)
работа со службами списков URL для блокировки да
тип действия allow да
deny block, reject
log да
поддержка спец. приложений (netmeeting, quicktime etc) Настройки устанавливаются вручную для таких приложений задаются вручную в настройках NAT. Встроенный SIP/H.323/FTP шлюз уровня приложений (ALG)
виртуальные сервера возможность создания да
задания различных public/private портов для виртуального сервера да
возможность задания DMZ да
traffic shaping
типы шейпинга
ограничение общего исходящего трафика да
ограничение общего входящего трафика да
ограничение входящего трафика по критериям да
ограничение исходящего трафика по критериям да
критерии задания правила для ограничений
src interface lan/wan да
dst interface lan/wan нет
src ip/range да
dst ip/range да
protocol по номеру протокола
src port/range да
dst port/range да
привязка ко времени нет
типы ограничений
количественные ограничения для полосы байтах да
задание в процентах нет
назначение приоритета да
питание
тип БП встроенный
поддержка 802.1af (PoE) нет
дополнительная информация
версия прошивки V4.00(WM.2) | 10/27/2005
встроенный ftp-server да, через него возможно обновление или сохранение конфигурации
размеры 355 × 200 × 55 mm
вес 2600 г

Конфигурирование

Настройку устройства можно производить через WEB-интерфейс, по протоколу Telnet или через консольный порт, а также через программу Vantage CNM, являющуюся отдельной коммерческой программой ZyXEL для управления сетью, состоящей из множества межсетевых экранов ZyWALL. Для удаленной диагностики и мониторинга, включая учет трафика отдельных пользователей и используемой ими полосы пропускания WAN-канала может использоваться бесплатная утилита Vantage Report.

Виртуальный WEB-интерфейс устройства приведен на сайте zywall70utmdemo.zyxel.com/. Также доступен виртуальный Telnet-интерфейс устройства — для этого нужно воспользоваться командой "telnet zywall70utmdemo.zyxel.com"

Список параметров SNMP настроенного маршрутизатора приведен здесь.

DHCP-сервер устройства позволяет задать 128 статических записи.

Маршрутизатор позволяет создавать BackUp-соединение с Интернетом через обычный аналоговый модем, в случае, если связь по основному каналу будет прервана.

В устройстве предусмотрена возможность распределения нагрузки между 2-мя WAN-портами, что позволяет увеличить производительность при ограниченности скорости каждого из каналов.

Устройство позволяет задать для каждого подключения к Интернет различные приоритеты (от 0 до 15, чем больше значение — тем ниже приоритет), которые не могут совпадать. По умолчанию приоритет порта WAN1 равен 1, WAN2 — 2, перенаправление трафика (Trafic redirect) — 14, а резервный канал, организованный с помощью аналогового модема (Dial BackUp) — 15.

В случае недоступности одного из каналов с более высоким приоритетом, устройство автоматически переключается на канал с более низким приоритетом. Условием недоступности является результат команды ping (по умолчанию пингуется "шлюз по умолчанию", но можно указать любой IP-адрес; если ping не проходит — устройство принимает решение, что канал недоступен). Мы можем указать маршрутизатору переключиться на "первичный" канал, как только он снова становится доступным.

Другим способом подключения является распределение нагрузки между WAN каналами с использованием механизма Load Balancing (балансировка нагрузки). Балансировка нагрузки происходит по одному из следующих алгоритмов: Least Load First, Weighted Round Robin или Spillover.

При использовании алгоритма Least Load First, в параметрах устройства задается промежуток времени (10-600 с) и доступная ширина канала. По достижении указанного промежутка времени, рассчитывается текущая загруженность каждого из каналов. На протяжении последующего интервала времени, все соединения будут производиться через менее загруженный канал.

При использовании алгоритма Weighted Round Robin, мы задаем "вес" (значение от 0 до 10), который канал может на себя принять. Например, если доступные скорости каналов отличаются в 2 раза, то каналу с меньшей скоростью нужно назначить в 2 раза меньший вес.

При использовании алгоритма Spillover, мы задаем максимальную пропускную способность WAN канала с бОльшим приоритетом, по достижении которой, все вновь устанавливаемые соединения производятся через второй WAN-интерфейс (интерфейс с меньшим приоритетом).

Для каждого правила файрвола можно задать расписание, режим логирования, а также действие: Premit, Block, Reject.

При использовании карты расширения ZyWALL Turbo, устройство может реализовать функции обнаружения и предотвращения вторжений (IDP, Inrusion Detection and Prevention), а также функции антивирусной защиты. Антивирусная защита, реализуемая в устройстве, не является заменой антивирусного ПО, устанавливаемого на компьютере пользователя, так как устройство производит проверку трафика только на наиболее распространенные на момент проверки вирусы. К тому же антивирусной проверке подвергается только трафик, идущий по протоколам HTTP, SMTP, POP3 и FTP, а также задаются интерфейсы, исходящий трафик с который подвергается проверке.

Помимо вышесказанного, устройство реализует антиспам-фильтр и контент-фильтр, которые работают с внешними базами фильтрации, и поэтому являются платными.

Anti-Spam фильтр позволяет проверять почту, проходящую по протоколам POP3 и SMTP, и использует внешнюю базу данных для проверки на спам.

Контент-фильтр также работает совместно с внешними списками фильтрации, позволяющими проводить фильтрацию по содержимому. Фильтрация сайтов может проводиться по 52 категориям. Контент-фильтр также кэширует запросы к списку фильтрации и при повторной попытке зайти на "запрещенный" сайт использует данные из кэша (настройки контент-фильтра устройства полностью аналогичны тем, что представлены в ZyXEL ZyWALL 5 UTM, который уже рассматривался нами в одном из прошлых обзоров).

VPN-сервер устройства позволяет устанавливать соединения IPSec, используя алгоритмы шифрования DES, 3DES и AES. Начальная аутентификация производится с использованием предварительных ключей или с использованием сертификатов. Устройство также позволяет создавать сертификаты вручную через WEB-интерфейс.

Для аутентификации возможно использование внешнего Radius-сервера или локальной базы пользователей, являющейся как бы альтернативой Radius-серверу

Количество записей статического роутинга ограничено 50-ю.

Устройство также поддерживает управление полосой пропускания канала — эта возможность будет рассмотрена в следующей части обзора.

Имеется возможность настройки роутера по протоколу Telnet (настройка по Telnet полностью аналогична настройке через консоль)

которая в свою очередь предоставляет интерфейс к командной строке ОС роутера.

Еще раз напомню, что услуги контент-фильтрации, спам-фильтрации, антивирусной проверки трафика и обнаружение вторжений (IDP) являются платными. При покупке устройства можно зарегистрировать Trial-версии этих услуг для ознакомления с их возможностями. Срок Trial-лицензии на контент-фильтр составляет 1 месяц с момента регистрации. Срок Trial-лицензии на услуги обнаружения и предотвращения атак, на антивирусную защиту и на спам-фильтр составляет 3 месяца с момента регистрации. По истечении этих сроков, для использования указанных возможностей придется оплачивать новую лицензию.

Теперь перейдем собственно к тестированию производительности устройства.

Тестирование производительности

Тестирование проводного сегмента

Тест LAN-WAN - тестирование проводилось по этой методике. При тестировании никакие возможности, связанные с картой расширения ZyWALL Turbo (такие как IDP — обнаружение и предотвращение вторжений и антивирусная проверка трафика) не использовались.

Максимальная скорость: 58,92 Мбит/с — при работе в полнодуплексном режиме.

Теперь посмотрим что произойдет при уменьшении размера пакетов



Как видно из диаграмм, при уменьшении размеров пакетов, скорость трафика значительно падает.

Тестирование NetPIPE:

Для определения влияния механизма обнаружения и предотвращения атак IDP на скорость трафика, тест NetPIPE проводился в 2 этапа: с включенным IDP и выключенным IDP. Посмотрим какие получились результаты

Защита IDP отключена:

Максимальная скорость: 58.55 Мбит/с. Аномалий в графике не наблюдается.

Защита IDP включена:

Максимальная скорость: 11,48 Мбит/с. На графике наблюдаются провалы при увеличении размера блока передаваемых данных.

При работе устройства в режиме моста, падения скорости на WAN-LAN сегментах не наблюдается (если сравнивать ее со скоростью используемых сетевых адаптеров, подключенных напрямую).

При включении механизма IDP в режиме моста, были получены следующие скорости:

Максимальная скорость: 20,59 Мбит/с — та максимальная скорость, которую можно получить при использовании механизма IDP (только в режиме моста).

Тестирование беспроводного сегмента

Тестирование проводилось в несколько этапов:

  • Тест "Точка доступа — Cardbus адаптер"

Для тестирования беспроводной связи использовался ZyXEL ZyAIR G-162 Cardbus адаптер. Для того, чтобы устройство начало работать в режиме точки доступа в слот расширения был установлен беспроводной Cardbus адаптер ZyXEL ZyAIR G-110.

Тест "Точка доступа — Cardbus адаптер" — трафик гонялся между компьютером локального (LAN) сегмента маршрутизатора и ноутбуком с беспроводным сетевым Cardbus-адаптером ZyXEL G-162 через точку доступа ZyXEL ZyWALL 70W (на базе ZyXEL ZyAIR G-110). Скорость соединения устанавливалась автоматически для режима IEEE 802.11g. Тест проводился с помощью Chariot NetIQ. Расстояние между точками не превышало 5 метров.

Сокращения:

  • Cardbus — беспроводной Cardbus-адаптер ZyXEL G-162
  • AP — точка доступа роутера ZyXEL ZyWALL 70W (на базе ZyXEL ZyAIR G-110)
  • fdx — генерация трафика в обоих направлениях

Максимальная скорость: 21,73 Мбит/с — нормальная скорость для режима IEEE 802.11g. Скорость от точки доступа к Cardbus-адаптеру в полнодуплексном режиме почти в 5 раз выше скорости от Cardbus-адаптера к точке доступа — это не очень хороший показатель — явная асимметрия линии.

Безопасность:

При проведении тестов на безопасность, были включены все виды удаленного управления.

Результаты Nessus:

Nessus находит несколько 3 критических уязвимостей, 2 из которых связаны с паролем SNMP по умолчанию, который необходимо изменить, а третья — с возможностью определения уникального номера пакета и перехвата соединения злоумышленником путем подмены этого номера.

Доступность:

Средняя розничная цена на рассматриваемое в статье устройство:

ZyXEL ZyWALL 70W Н/Д(0)
ZyXEL ZyWALL Turbo Card Н/Д(0)

Выводы:

Устройство обладает достаточно высокой производительностью как проводного так и беспроводного сегмента, однако при включении механизма обнаружения и предотвращения вторжений, скорость трафика заметно падает (с 58 до 11.5 Мбит/с при работе в режиме NAT-маршрутизатора). Это говорит о том, что обнаружение и предотвращение вторжений — очень ресурсоемкая операция.

В следующей части обзора, мы коснемся производительности VPN-сервера и возможностей управления полосой пропускания, а также рассмотрим возможности антивирусной защиты и Spam-фильтрации.

Продолжение следует...

Навигация:

 

Оборудование предоставлено российским представительством компании ZyXEL

 




Дополнительно

iXBT BRAND 2016

«iXBT Brand 2016» — Выбор читателей в номинации «Процессоры (CPU)»:
Подробнее с условиями участия в розыгрыше можно ознакомиться здесь. Текущие результаты опроса доступны тут.

Нашли ошибку на сайте? Выделите текст и нажмите Shift+Enter

Код для блога бета

Выделите HTML-код в поле, скопируйте его в буфер и вставьте в свой блог.