Интернет-роутер ZyXEL ZyWALL 5 и ZyWALL Turbo Card. Часть первая: обзор возможностей и конфигурация


Недавно компания ZyXEL Communications представила свое решение защиты сетей от спама, вредоносных программ и компьютерных вирусов. В основе этого решения лежит технология потокового сканирования пакетов, разработанная ZyXEL и антивирусная технология Лаборатории Касперского. Данное решение позволяет расширить возможности межсетевых экранов серии ZyWALL установив карту расширения ZyWALL Turbo Card. После установки этой карты, появляется возможность использования механизмов антивирусного сканирования пакетов и механизма обнаружения и предотвращения вторжений (IDP).

В этом обзоре мы рассмотрим межсетевой экран ZyXEL ZyWALL 5 при его использовании с картой расширения ZyWALL Turbo и новой операционной системой ZyNOS v.4. Все вместе это образует решение ZyXEL ZyWALL 5 UTM EE (UTM, Unified Threat Management — объединенный контроль угроз).

Содержание:

  1. Общее описание
  2. Таблица спецификаций устройства
  3. Конфигурирование роутера
  4. Тестирование производительности проводного сегмента
  5. Тестирование производительности беспроводного сегмента
  6. Тестирование производительности VPN-сединения
  7. Тестирование безопасности
  8. Доступность
  9. Тестирование возможностей управления трафиком
  10. Антивирусная защита
  11. Антиспам фильтр

Функциональные возможности ZyXEL ZyWALL 5 UTM EE: Интернет-маршрутизатор с 4-х портовым коммутатором (с возможностью задать режим работы каждого порта LAN/DMZ). Возможна установка в слот расширения (интерфейс Cardbus), находящийся на маршрутизаторе, карты ZyWALL Turbo или адаптера беспроводной связи ZyAIR G-110 EE. Устройство также реализует антивирусный фильтр, проверяющий проходящие через него пакеты на наличие компьютерных вирусов и другого вредоносного кода, механизм предотвращения атак (IDP), а также защиту от спама, позволяющую перехватывать почту, проходящую по протоколам POP3 и SMTP. В дополнение к этому устройство реализует IPSec VPN-сервер, позволяющий одновременно использовать до 10 VPN-соединений.

Расширение устройства, обозначенное как UTM (Unifued Threat Management), как раз означает, что оно включает в себя функции антивирусной фильтрации, механизма обнаружения и предотвращения вторжений (IDP) и спам-фильтрации.

На роутере расположены следующие индикаторы и порты (слева направо):

  • индикатор питания
  • индикатор состояния системы
  • индикатор активности
  • индикатор активности карты расширения
  • кнопка Reset — сброс параметров
  • 1 × WAN-порт 10/100 с двумя индикаторами (скорость и активность)
  • 4 × LAN/DMZ-порта 10/100 с двумя индикаторами на каждом порту (скорость и активность) и возможностью ручного переключения режима работы (LAN — DMZ)

Сзади на роутере расположены (слева направо):

  • порт RS-232 для подключения аналогового модема в качестве резервной линии при "падении" основного канала
  • консольный порт RS-232 — подключение к консоли
  • Cardbus-слот для установки карты расширения
  • разъем питания

Устройство поставляется в следующей комплектации:

  • роутер
  • 2-х метровый патчкорд RJ-45
  • метровый консольный кабель RS-232
  • адаптер питания (длина провода около двух метров)
  • руководство по быстрой установке и настройке на шести языках (без русского. По заверению представителей компании ZyXEL с августа устройства поставляются с руководством на русском)
  • "ушки" для крепления устройства в стойке

Вид изнутри

Устройство выполнено на базе сетевого процессора Intel IXP422, работающего на частоте 266 МГц (аппаратная поддержка алгоритмов SHA-1, MD5, DES, 3DES, AES, PCI 2.2, поддержка до 256 Мбайт SDRAM-памяти, низкое энергопотребление).

Мост между PCI — Cardbus интерфейсами выполнен на базе микросхемы PCI1510 компании Texas Instruments.

Коммутатор выполнен на базе микросхемы Marvell 88E6060.

На плате устройства установлено 8 Мбайт Flash-памяти Intel TE28F640 и 32 Мбайта SDRAM-памяти Winbond W981216DH.

ZyWALL Turbo Card

ZyWALL Turbo Card представляет собой карту аппаратного ускорения функций антивирусной фильтрации и IDP (обнаружение и предотвращение вторжений) с интерфейсом Cardbus, которая вставляется в слот маршрутизатора. Именно наличие данной карты определяет возможность проверки трафика на вирусы и механизм обнаружения вторжений.

Спецификации устройства:

корпусметаллический, допускается горизонтальная установка, подвес на стену или установка в стойку
исполнениеIndoor
проводной сегмент
WANтипFast Ethernet
количество портов1
auto MDI/MDI-Xда
типы поддерживаемых соединенийфиксированный IPда
динамический IPда
PPPoEда
PPTPда
L2TPнет
IPSecда
LANколичество портов4
auto MDI/MDI-Xда
ручное блокирование интерфейсовнет
возможность задания размера MTU вручнуюнет
Беспроводной сегмент
антеннаколичество1
типвстроенная дипольная, возможность подключения внешней антенны
возможность замены антенны/тип коннекторада, AMX
принудительное задание номера рабочей антенны 
поддерживаемые стандарты и скорости802.11bCCK (11 Mbps, 5.5 Mbps), DQPSK (2 Mbps) DBPSK (1 Mbps)
802.11gOFDM: 54, 48, 36, 18, 12, 11, 9, 6 Mbit/sec
Регион/Кол-во каналов??/11
расширения протокола 802.11gнет
возможность ручного задания скоростинет
выходная мощность(максимальная?)15 дБм
802.11b @11Mbit/s15 дБм
802.11g @54Mbit/s12.5 дБм
чувствительность приемника802.11b @11Mbit/s-80 дБм
802.11g @54Mbit/s-66 дБм
работа с другой APподдержка WDS (мост)нет
поддержка WDS + APнет
возможность работы в режиме клиентанет
wireless repeater (повторитель)нет
безопасностьблокировка широковещательного SSIDда
привязка к MAC адресамда
WEP64/128bit
WPAда
WPA-PSK (pre-shared key)да
802.1x (через Radius)да
основные возможности
конфигурирование устройства и настройка клиентовадминистрированиеWEB-интерфейсда
WEB-интерфейс через SSLда
собственная утилитанет
telnetда
sshда
COM-портда
SNMPда
возможность сохранения и загрузки конфигурациида
встроенный DHCP серверда
поддержка UPnPда
метод организации доступа в ИнтернетNetwork Address Translation (NAT-технология)да
возможности NATone-to-many NAT (стандартный)да
one-to-one NATда
возможность отключения NAT (работа в режиме роутера)да
возможность работы в режиме моста да
Встроенные VPN-сервераIPSecда
PPTPнет
L2TPнет
VPN pass throughIPSecда
PPTPда
PPPoE??
L2TP??
Traffic shaping (ограничение трафика)да
DNSвстроенный DNS-сервер (dns-relay)да
поддержка динамического DNSда, DynDNS.org
внутренние часыприсутствуют
синхронизация часовда (NTP, Time, Daytime)
встроенные утилитыICMP pingнет
tracerouteнет
resolvingнет
логирование событийда
логирование исполнения правил файрволада
способы хранениявнутри устройствада
на внешнем Syslog сервереда
отправка на emailда
SNMPподдержка SNMP Readда
поддержка SNMP Writeда
поддержка SNMP Trapsда
Роутинг
статический (задания записей вручную)да
динамический роутингна WAN интерфейсевозможность отключенияда
RIPv1да
RIPv2да
на LAN интерфейсевозможность отключенияда
RIPv1да
RIPv2да
возможности VPN
сервер IPSecвиды туннелейtunnel, transport
типы аутентификацииpre shared keyда
сертификатыда
алгоритмы хешированияSHA1да
MD5да
алгоритмы шифрованияDESда
3DESда
AESда
добавление записей в таблицу роутинга IPSec туннелянет
возможности встроенных фильтров и файрвола
поддержка SPI (Stateful Packet Inspection)да, но без возможности использования в правилах
наличие фильтров/файрволана LAN-WAN сегментеда
на WLAN-WAN сегментеда
на LAN-WLAN сегментеда
типы фильтровс учетом SPIнет
по MAC адресунет
по source IP адресуда, в том числе по диапазону
по destination IP адресуда, в том числе по диапазону
по протоколуда, TCP/UDP/TCP&&UDP/ICMP/*Custom*
по source портунет
по destination портуда, в том числе по диапазону
привязка ко временида
по URL-уда
по доменуда(совмещен с URL)
работа со службами списков URL для блокировкида
тип действияallowда
denyblock, reject
logда
поддержка спец. приложений (netmeeting, quicktime etc)Настройки устанавливаются вручную для таких приложений задаются вручную в настройках NAT. Встроенный SIP/H.323/FTP шлюз уровня приложений (ALG)
виртуальные серверавозможность созданияда
задания различных public/private портов для виртуального серверада
возможность задания DMZда, возможно разделение трафика на уровне портов
traffic shaping
типы шейпинга
ограничение общего исходящего трафикада
ограничение общего входящего трафикада
ограничение входящего трафика по критериямда
ограничение исходящего трафика по критериямда
критерии задания правила для ограничений
src interface lan/wanда
dst interface lan/wanнет
src ip/rangeда
dst ip/rangeда
protocolпо номеру протокола
src port/rangeда
dst port/rangeда
привязка ко временинет
типы ограничений
количественные ограничения для полосы байтахда
задание в процентахнет
назначение приоритетада
питание
тип БПвнешний, 12VDC, 1500mA
поддержка 802.1af (PoE)нет
дополнительная информация
версия прошивкиV4.00(XD.2) | 10/26/2005
встроенный ftp-serverда, через него возможно обновление или сохранение конфигурации
размеры242 × 175 × 35.5mm
вес1200 г

Конфигурирование

Настройку устройства можно производить через WEB-интерфейс, по протоколу Telnet или через консольный порт, а также через программу Vantage CNM, являющуюся отдельной коммерческой программой ZyXEL для управления сетью, состоящей из множества межсетевых экранов ZyWALL. Для удаленной диагностики и мониторинга, включая учет трафика отдельных пользователей и используемой ими полосы пропускания WAN-канала может использоваться утилита Vantage Report.

Скриншоты настроек WEB-интерфейса приведены здесь.

На сайте ZyXEL есть сервис, позволяющий в онлайн-режиме ознакомиться с настройками устройства, но на примере устройства ZyWALL 70 UTM (zywall70utmdemo.zyxel.com/).

Список параметров SNMP приведен здесь.

 

DHCP-сервер устройства позволяет задать до 128 статических записей.

Каждый LAN-порт может работать либо в режиме LAN, либо в режиме DMZ — выбор осуществляется вручную.

 

Маршрутизатор позволяет создавать BackUp-соединение с Интернетом через обычный аналоговый модем, в случае, если связь по основному каналу будет прервана.

Настройки файрвола позволяют задать правила "по умолчанию" для каждого из следующих направлений фильтрации

  • LAN to LAN / ZyWALL
  • LAN to WAN
  • LAN to DMZ
  • LAN to WLAN
  • WAN to LAN
  • WAN to WAN / ZyWALL
  • WAN to DMZ
  • WAN to WLAN
  • DMZ to LAN
  • DMZ to WAN
  • DMZ to DMZ / ZyWALL
  • DMZ to WLAN
  • WLAN to LAN
  • WLAN to WAN
  • WLAN to DMZ
  • WLAN to WLAN / ZyWALL

Здесь также задается режим логирования правил файрвола. В каждой из этих групп добавляется отдельный набор правил, в каждом правиле которого можно задать расписание.

 

Рассматриваемый роутер также позволяет осуществлять антивирусную защиту (ANTI-VIRUS), а также обнаруживать и предотвращать вторжения (IDP, INTRUSION DETECTION AND PREVENTION), проверяя содержимое пакетов и проводя сравнение по сигнатурам. Устройство не является заменой компьютерного антивирусного ПО, так как оно не проводит проверку на все известные вирусы, как это делает, например, антивирус, установленный на компьютере. Проверка проводится только на наиболее "активные" вирусы. По данным "Лаборатории Касперского" в 2004-м году 97% убытков от компьютерных вирусов было нанесено всего лишь четырьмя вирусами.

На момент написания обзора антивирусная база устройства содержала 800 сигнатур вирусов, база IDP — 1837 сигнатур. Оба механизма требуют для своей работы наличие карты расширения ZyWALL Turbo Card.

По сигнатурам можно производить поиск, и они разделены на подгруппы. Для каждой сигнатуры можно изменить тип действия 

В параметрах обнаружения вторжений (IDP) указываются интерфейсы, исходящий трафик с которых будет подвергаться проверке

Антивирусной проверке может подвергаться только тот трафик, который исходит с указанных интерфейсов и идет только по определенным протоколам (FTP, HTTP, POP3 и SMTP)

Anti-Spam фильтр позволяет проверять почту, проходящую по протоколам POP3 и SMTP, и использует внешнюю базу данных для проверки на спам. При этом к теме письма добавляется фраза, указанная в пункте Spam Tag 

Устройство оснащено контент-фильтром, который работает совместно с внешними списками фильтрации, позволяющими проводить фильтрацию по содержимому. Фильтрация сайтов может проводиться по 52 категориям. При попытке зайти на сайт, запрещенный контент-фильтром, выдается сообщение

Контент-фильтр также кэширует запросы к списку фильтрации

VPN-сервер устройства позволяет устанавливать соединения IPSec, используя алгоритмы шифрования DES, 3DES и AES. Начальная аутентификация производится с использованием предварительных ключей или с использованием сертификатов. Устройство также позволяет создавать сертификаты вручную через WEB-интерфейс.

Для аутентификации возможно использование внешнего Radius-сервера или локальной базы пользователей, являющейся как бы альтернативой Radius-серверу с минимальными возможностями.

Количество записей статического роутинга ограничено 30-ю.

Устройство также поддерживает управление полосой пропускания канала — этой возможности и ее тестированию будет посвящен один из последующих обзоров.

Имеется возможность настройки роутера по протоколу Telnet (настройка по Telnet полностью аналогична настройке через консоль),

которая в свою очередь предоставляет интерфейс к командной строке ОС роутера.

Напоследок отмечу, что услуги контент-фильтрации, спам-фильтрации, антивирусной проверки трафика и обнаружение вторжений (IDP) являются платными. При покупке устройства можно зарегистрировать Trial-версии этих услуг для ознакомления с их возможностями. Срок Trial-лицензии на контент-фильтр составляет 1 месяц с момента регистрации. Срок Trial-лицензии на услуги обнаружения и предотвращения атак, на антивирусную защиту и на спам-фильтр составляет 3 месяца с момента регистрации. По истечении этих сроков, для использования указанных возможностей придется оплачивать новую лицензию.

Выводы:

Как можно заметить, устройство обладает впечатляющим набором возможностей, среди которых присутствуют и весьма экзотические (такие как антивирусная защита, предотвращение вторжений и спам-фильтрация) — не каждое устройство может похвастаться такой функциональностью. Отмечу, что загрузка устройства — сравнительно долгий процесс.

В следующей части мы посмотрим, как устройство выполняет поставленную задачу на практике.

Продолжение следует…

 

Навигация:

 

Оборудование предоставлено российским представительством компании ZyXEL

 

 




5 декабря 2005 Г.