Персональный межсетевой экран ZyXEL ZyWALL P1

Часть 1: спецификация, настройки


В данном обзоре мы рассмотрим возможности и настройки устройства ZyXEL ZyWALL P1.

Функциональные возможности устройства: интернет-маршрутизатор со встроенным межсетевым экраном, IPSec VPN сервер. Устройство также включает в себя механизм обнаружения и предотвращения вторжений, а также имеет возможность антивирусной проверки трафика (по протоколам FTP, SMTP, POP3, HTTP).

На устройстве расположены следующие индикаторы:

  • Индикатор питания
  • Индикатор состояния/активности порта WAN
  • Индикатор состояния/активности VPN-соединения
  • Индикатор, сигнализирующий о том, что в данный момент устройство настраивается с использованием ПО централизованного управления Vantage CNM
  • Индикатор состояния/активности порта LAN

На устройстве расположены:

  • Кнопка Reset — сброс параметров
  • Порт WAN — RJ-45
  • Порт LAN — RJ-45
  • Порт USB
  • Разъем питания

Комплектация устройства:

  • Сам межсетевой экран
  • Кабель RJ-45 — RJ-45 длиной 0,5 метра
  • Руководство по быстрой установке и настройке устройства на 7-ми языках (без русского)
  • Диск с инструкцией
  • USB-кабель для подключения устройства к USB-порту компьютера длиной около 20 см
  • Блок питания 5В, 1,5А (длина провода около 2-х метров)

 

Вид изнутри

Спецификация

корпус пластиковый, допускается горизонтальная установка
исполнение Indoor
проводной сегмент
WAN тип Fast Ethernet
количество портов 1
auto MDI/MDI-X да
типы поддерживаемых соединений фиксированный IP да
динамический IP да
PPPoE да
PPTP да
L2TP нет
IPSec да
LAN количество портов 1
auto MDI/MDI-X да
ручное блокирование интерфейсов нет
возможность задания размера MTU вручную нет
основные возможности
конфигурирование устройства и настройка клиентов администрирование WEB-интерфейс да
WEB-интерфейс через SSL да
собственная утилита да
telnet да
ssh да
COM-порт нет
SNMP да
возможность сохранения и загрузки конфигурации да
встроенный DHCP сервер да
поддержка UPnP да
метод организации доступа в Интернет Network Address Translation (NAT-технология) да
возможности NAT one-to-many NAT (стандартный) да
one-to-one NAT да
возможность отключения NAT (работа в режиме роутера) да
Встроенные VPN-сервера IPSec да
PPTP нет
L2TP нет
VPN pass through IPSec да
PPTP да
PPPoE нет
L2TP да
Traffic shaping (ограничение трафика) нет
DNS встроенный DNS-сервер (dns-relay) да
поддержка динамического DNS да, DynDNS.org
внутренние часы присутствуют
синхронизация часов да, NTP, Time, Daytime
встроенные утилиты ICMP ping нет
traceroute нет
resolving нет
логирование событий да, системные события, файрвол
логирование исполнения правил файрвола да
способы хранения внутри устройства да
на внешнем Syslog сервере да
отправка на email да
SNMP поддержка SNMP Read да
поддержка SNMP Write да
поддержка SNMP Traps да
Роутинг
статический (задания записей вручную) на WAN интерфейсе да
на LAN интерфейсе да
динамический роутинг на WAN интерфейсе возможность отключения да
RIPv1 да
RIPv2 да
на LAN интерфейсе возможность отключения да
RIPv1 да
RIPv2 да
возможности VPN
сервер IPSec типы аутентификации pre shared key да
сертификаты да
алгоритмы хеширования SHA1 да
MD5 да
алгоритмы шифрования DES да
3DES да
AES да
возможности встроенных фильтров и файрвола
поддержка SPI (Stateful Packet Inspection) да, но без возможности использования в правилах
наличие фильтров/файрвола на LAN-WAN сегменте да, с указанием направления
на LAN-LAN сегменте да, возможна фильтрация при маршрутизации трафика между подгруппами LAN
типы фильтров с учетом SPI нет
по MAC адресу да, из консольного интерфейса настройки
по source IP адресу да, в том числе по диапазону или подсети
по destination IP адресу да, в том числе по диапазону или подсети
по протоколу да, TCP/UDP/TCP&&UDP/ICMP или по номеру протокола
по source порту нет
по destination порту да, в том числе по диапазону
привязка ко времени да
по URL-у нет
по домену нет
работа со службами списков URL для блокировки нет
тип действия allow да
deny да
reject да
виртуальные сервера возможность создания да
задания различных public/private портов для виртуального сервера да
возможность задания DMZ да
питание
тип БП внешний, 5VDC, 1500mA
поддержка 802.1af (PoE) нет
дополнительная информация
версия прошивки V4.01(XJ.0) от 28.09.2006
дополнительные порты USB
размеры 128,5 × 81,5 × 20 мм
вес 130 г

Конфигурация

Настройка устройства может осуществляться через WEB-интерфейс, через консольный интерфейс, а также с использованием системы централизованного управления оборудованием ZyXEL Vantage CNM (данная программа является отдельным коммерческим проектом компании ZyXEL и поэтому в данном обзоре не рассматривается).

Полный набор скриншотов WEB-интерфейса настройки приведен здесь.

Список параметров SNMP приведен здесь.

Рассмотрим некоторые параметры интерфейса настройки более подробно.

Устройство позволяет задать до 8-ми статических записей для DHCP-сервера.

LAN-интерфейс устройства помимо «основного» IP-адреса может иметь 2 дополнительных. При этом устройство осуществляет маршрутизацию между подсетями, в которых устройство является шлюзом, а также может производить фильтрацию трафика (посредством файрвола) между данными подсетями.

WAN-интерфейс устройства может получать IP-адрес автоматически (по DHCP) либо IP-адрес может быть задан вручную. Также возможно подключение с использованием протоколов PPPoE или PPTP.

В настройках файрвола задаются стандартные правила (правила «по умолчанию») для трафика, идущего через определенные интерфейсы,

после чего задаются правила файрвола для конкретных направлений.

При этом каждое правило файрвола может иметь собственное расписание, определять диапазон или подсеть IP-адресов источника/назначения пакетов и содержать список сервисов, к которым применяется данное правило (устройство уже имеет небольшой список предопределенных сервисов и позволяет создать свой собственный список).

Работа таких возможностей как антивирусная проверка трафика и механизма обнаружения и предотвращения вторжений по окончанию ознакомительного периода (3 месяца) оплачивается отдельно и требует соответствующей «лицензии».

VPN-сервер устройства позволяет установить одновременно только один туннель IPSec VPN. При этом возможно использование следующих алгоритмов шифрования: DES, 3DES, AES. Для аутентификации на первом этапе установления IPSec VPN-соединения (напомню, что данные соединения устанавливаются в 2 этапа) возможно использование как предварительного ключа (Pre-Shared Key, PSK), так и сертификатов. Расширенная аутентификация может производиться как с использованием внешнего RADIUS-сервера, так и при использовании встроенной в устройство базы данных пользователей (всего в данной базе данных может быть заведено до 8-ми пользователей).

Настройка сервиса NAT позволяет достаточно подробно задать параметры форвардинга портов и переадресации запросов. Возможно также задание переадресации трафика «Many-to-many» (то есть все запросы на несколько внешних IP-адресов переадресуются на несколько скрытых за NAT'ом IP-адресам), однако в WEB-интерфейсе настройки устройства мне не удалось найти способ задать WAN-интерфейсу несколько IP-адресов.

Устройство также позволяет задавать до 11 статических записей в таблицу маршрутизации.

Как было сказано выше, устройством можно управлять посредством WEB-интерфейса и с использованием интерфейса командной строки. Доступ к WEB-интерфейсу возможен как по стандартному HTTP, так и по HTTP с использованием шифрования посредством SSL (HTTPS). Доступ к командной строке управления устройством возможен как по протоколу Telnet, так и с использованием SSH.

Обратившись к устройству по протоколу FTP можно получить доступ к файлам с прошивкой и к файлу с настройками. Файл с прошивкой доступен только для перезаписи (таким образом можно обновить прошивку устройства), а файл с настройками доступен как для чтения, так и для записи (обновление и сохранение конфигурации).

Устройство может производить логирование событий. Логи могут храниться как внутри устройства (только до перезагрузки), так и отправляться по электронной почте или на Syslog-сервер.

Устройство также может работать в режиме обычного маршрутизатора (без NAT) или моста.

Помимо WEB-интерфейса настройки, как уже говорилось выше, возможно управление устройством с использованием интерфейса командной строки. Командная строка является интерфейсом сетевой операционной системы ZyNOS 4.0 — она состоит из иерархической системы команд.

Для тонкой настройки устройства, возможно, придется воспользоваться интерфейсом командной строки. Некоторые параметры (например, таймаут работы интерфейса настройки устройства) можно задать только с использованием командного интерфейса настройки. Однако большинству пользователей может оказаться достаточно возможностей WEB-интерфейса настройки.

Что касается PPTP-подключений, осуществляемых устройством, — возможно использование PAP, CHAP, MSCHAP аутентификации. Использование MPPE-шифрования не предусмотрено. При подключении к PPTP-серверу WAN-интерфейс устройства должен иметь статический IP-адрес, а PPTP-сервер должен находиться в той же подсети, что и WAN-интерфейс устройства. После подключения устройства к PPTP-серверу, связь с WAN-сегментом устройства теряется.

Доступность

Средняя розничная цена на рассматриваемое в статье устройство : $112(3)

Выводы

Устройство имеет достаточно много различных возможностей, результаты тестирования которых будут рассмотрены в последующих статьях, посвященных данному устройству. Пока обратим внимание на те возможности, которые предоставляет данное устройство.

LAN-интерфейс устройства позволяет разделить LAN-сегмент на несколько подсетей. При этом устройство осуществляет маршрутизацию трафика между данными подсетями и может осуществлять фильтрацию трафика, что разрешает получить несколько больший контроль над LAN-сегментом сети.

Компактные размеры устройства дают возможность расположить его практически, где угодно. Устройство также может получать питание через USB-порт, что позволяет сделать устройство более мобильным.

Широкие возможности настройки правил файрвола разрешают производить достаточно точную настройку фильтрации трафика. Каждое созданное правило файрвола может иметь собственное расписание (по дням недели и интервалу времени), по которому оно будет исполняться.

Из особенностей стоит отметить наличие возможности антивирусной проверки трафика по протоколам FTP, SMTP, HTTP, POP3 и наличие возможности обнаружения и предотвращения вторжений. Более подробно данные возможности будут рассмотрены в следующих частях обзора, посвященного данному устройству.

С устройством поставляется очень подробная документация (почти на 370 страниц), однако документация на русском языке отсутствует. На момент написания данного обзора розничная цена устройства составляла 200$, что несколько сужает круг пользователей, готовых его приобрести.

Плюсы:

  • Возможность создания нескольких подсетей (до 3-х) в LAN-сегменте устройства + маршрутизация и фильтрация трафика между ними
  • Возможность питания устройства через USB-порт, что позволяет сделать устройство более мобильным
  • Широкие возможности настройки правил фильтрации трафика
  • Подробная документация на устройство
  • IPSec VPN-сервер
  • Возможность антивирусной проверки трафика (по протоколам HTTP, SMTP, POP3, FTP)
  • Возможность обнаружения/предотвращения вторжений

Минусы:

  • Высокая стоимость данного устройства
  • Отсутствие документации на русском языке
  • Некоторые параметры настройки устройства можно изменить только с использованием командного интерфейса
  • Потеря связи с подсетью WAN-интерфейса после установления PPTP-соединения
  • PPTP-сервер устройства должен находиться в той же подсети, что и WAN-интерфейс устройства

 

Навигация:

 

Оборудование предоставлено ZyXEL Communication Corporation

 




Дополнительно

iXBT BRAND 2016

«iXBT Brand 2016» — Выбор читателей в номинации «Процессоры (CPU)»:
Подробнее с условиями участия в розыгрыше можно ознакомиться здесь. Текущие результаты опроса доступны тут.

Нашли ошибку на сайте? Выделите текст и нажмите Shift+Enter

Код для блога бета

Выделите HTML-код в поле, скопируйте его в буфер и вставьте в свой блог.