Интернет-роутер ZyXEL ZyWALL 70W UTM EE и ZyWALL Turbo Card

Часть первая: обзор возможностей и конфигурация, производительность устройства


В одном из прошлых обзоров мы уже рассматривали устройства серии ZyWALL UTM (ZyWALL 5 UTM EE ) и их возможности при использовании карты расширения ZyWALL Turbo. В этом обзоре мы рассмотрим старшее устройство этой серии — межсетевой экран ZyXEL ZyWALL 70W.

Содержание:

  1. Общее описание
  2. Таблица спецификаций устройства
  3. Конфигурирование роутера
  4. Тестирование производительности проводного сегмента
  5. Тестирование производительности беспроводного сегмента
  6. Тестирование безопасности
  7. Доступность
  8. Тестирование производительности VPN-сединения
  9. Тестирование возможностей управления трафиком
  10. Антивирусная защита
  11. Антиспам фильтр

Функциональные возможности ZyXEL ZyWALL 70W UTM EE: Интернет-маршрутизатор с 2-мя WAN-портмаи с возможностью балансировки нагрузки между ними, одним LAN-портом и 4-мя портами DMZ. Возможна установка в слот расширения (интерфейс Cardbus), находящийся на маршрутизаторе, адаптера беспроводной связи ZyAIR G-110 EE или карты расширения ZyWALL Turbo, при помощи которой реализуются функции антивирусной проверки трафика и обнаружения и предотвращения вторжений (IDP, Intrusion Detection and Prevention). IPSec VPN-сервер с поддержкой алгоритмов DES, 3DES и AES, а также с возможностью использования сертификатов. Помимо этого устройство также реализует защиту от спама, позволяющую перехватывать почту, проходящую по протоколам POP3 и SMTP и контент-фильтрацию.

Расширение устройства, обозначенное как UTM (Unified Threat Management), как раз означает, что оно включает в себя функции антивирусной фильтрации, механизма обнаружения и предотвращения вторжений (IDP) и спам-фильтрации.

На роутере расположены следующие индикаторы и порты (слева направо):

  • индикатор питания
  • индикатор состояния системы
  • индикатор активности
  • индикатор активности карты расширения
  • кнопка Reset — сброс параметров
  • 1 × LAN-порт 10/100 с двумя индикаторами на каждом порту
  • 2 × WAN-порт 10/100 с двумя индикаторами на каждом порту
  • 4 × DMZ-порта 10/100 с двумя индикаторами на каждом порту
  • порт RS-232 для подключения аналогового модема в качестве резервной линии при "падении" основного канала
  • консольный порт RS-232 — подключение к консоли

Сзади на роутере расположены (слева направо):

  • Cardbus-слот для установки карты расширения
  • выключатель
  • разъем питания

Устройство поставляется в следующей комплектации:

  • роутер
  • 2 × 2-х метровых патчкорда RJ-45
  • 2-хметровый консольный кабель RS-232
  • провод питания
  • руководство по быстрой установке и настройке на шести языках (без русского. По заверению представителей компании ZyXEL с августа устройства поставляются с руководством на русском)

Вид изнутри

Устройство выполнено на базе сетевого процессора Intel IXP425,

работающего на частоте 533 МГц (аппаратное ускорение алгоритмов SHA-1, MD5, DES, 3DES, AES, поддержка шины PCI 2.2, возможность использования нескольких портов WAN, до 256 Мбайт SDRAM-памяти, пониженное энергопотребление).

Мост между PCI — Cardbus интерфейсами выполнен на базе микросхемы PCI1510 компании Texas Instruments.

На плате установлено 2 Fast Ethernet контроллера VIA VT6105.

На плате устройства установлено 16 Мбайт Flash-памяти Intel TE28F128 и 64 Мбайта SDRAM-памяти Winbond W942516CH.

ZyWALL Turbo Card

ZyWALL Turbo Card (фото) представляет собой карту аппаратного ускорения функций антивирусной фильтрации и IDP (обнаружение и предотвращение вторжений) с интерфейсом Cardbus, которая вставляется в слот маршрутизатора. Именно наличие данной карты определяет возможность проверки трафика на вирусы и механизм обнаружения вторжений.

Спецификации устройства:

корпусметаллический, допускается горизонтальная установка или установка в стойку
исполнениеIndoor
проводной сегмент
WANтипFast Ethernet
количество портов2
auto MDI/MDI-Xда
типы поддерживаемых соединенийфиксированный IPда
динамический IPда
PPPoEда
PPTPда
L2TPнет
IPSecда
LANколичество портов1
auto MDI/MDI-Xда
ручное блокирование интерфейсовнет
возможность задания размера MTU вручнуюнет
Беспроводной сегмент (на базе ZyXEL ZyAIR G-110)
антеннаколичество1
типвстроенная дипольная, возможность подключения внешней антенны
возможность замены антенны/тип коннекторада, AMX
принудительное задание номера рабочей антенны 
поддерживаемые стандарты и скорости802.11bCCK (11 Mbps, 5.5 Mbps), DQPSK (2 Mbps) DBPSK (1 Mbps)
802.11gOFDM: 54, 48, 36, 18, 12, 11, 9, 6 Mbit/sec
Регион/Кол-во каналов??/11
расширения протокола 802.11gнет
возможность ручного задания скоростинет
выходная мощность(максимальная?)15 дБм
802.11b @11Mbit/s15 дБм
802.11g @54Mbit/s12.5 дБм
чувствительность приемника802.11b @11Mbit/s-80 дБм
802.11g @54Mbit/s-66 дБм
работа с другой APподдержка WDS (мост)нет
поддержка WDS + APнет
возможность работы в режиме клиентанет
wireless repeater (повторитель)нет
безопасностьблокировка широковещательного SSIDда
привязка к MAC адресамда
WEP64/128bit
WPAда
WPA-PSK (pre-shared key)да
802.1x (через Radius)да
основные возможности
конфигурирование устройства и настройка клиентовадминистрированиеWEB-интерфейсда
WEB-интерфейс через SSLда
собственная утилитада, Vantage CNM
telnetда
sshда
COM-портда
SNMPда
возможность сохранения и загрузки конфигурациида
встроенный DHCP серверда
поддержка UPnPда
метод организации доступа в ИнтернетNetwork Address Translation (NAT-технология)да
возможности NATone-to-many NAT (стандартный)да
one-to-one NATда
возможность отключения NAT (работа в режиме роутера)да
возможность работы в режиме моста да
Встроенные VPN-сервераIPSecда
PPTPнет
L2TPнет
VPN pass throughIPSecда
PPTPда
PPPoE??
L2TP??
Traffic shaping (ограничение трафика)да
DNSвстроенный DNS-сервер (dns-relay)да
поддержка динамического DNSда, DynDNS.org
внутренние часыприсутствуют
синхронизация часовда (NTP, Time, Daytime)
встроенные утилитыICMP pingнет
tracerouteнет
resolvingнет
логирование событийда
логирование исполнения правил файрволада
способы хранениявнутри устройствада
на внешнем Syslog сервереда
отправка на emailда
SNMPподдержка SNMP Readда
поддержка SNMP Writeда
поддержка SNMP Trapsда
Роутинг
статический (задания записей вручную)да
динамический роутингна WAN интерфейсевозможность отключенияда
RIPv1да
RIPv2да
на LAN интерфейсевозможность отключенияда
RIPv1да
RIPv2да
возможности VPN
сервер IPSecвиды туннелейtunnel, transport
типы аутентификацииpre shared keyда
сертификатыда
алгоритмы хешированияSHA1да
MD5да
алгоритмы шифрованияDESда
3DESда
AESда
возможности встроенных фильтров и файрвола
поддержка SPI (Stateful Packet Inspection)да, но без возможности использования в правилах
наличие фильтров/файрволана LAN-WAN сегментеда
на WLAN-WAN сегментеда
на LAN-WLAN сегментеда
типы фильтровс учетом SPIнет
по MAC адресунет
по source IP адресуда, в том числе по диапазону
по destination IP адресуда, в том числе по диапазону
по протоколуда, TCP/UDP/TCP&&UDP/ICMP/*Custom*
по source портуда
по destination портуда
привязка ко временида
по URL-уда
по доменуда(совмещен с URL)
работа со службами списков URL для блокировкида
тип действияallowда
denyblock, reject
logда
поддержка спец. приложений (netmeeting, quicktime etc)Настройки устанавливаются вручную для таких приложений задаются вручную в настройках NAT. Встроенный SIP/H.323/FTP шлюз уровня приложений (ALG)
виртуальные серверавозможность созданияда
задания различных public/private портов для виртуального серверада
возможность задания DMZда
traffic shaping
типы шейпинга
ограничение общего исходящего трафикада
ограничение общего входящего трафикада
ограничение входящего трафика по критериямда
ограничение исходящего трафика по критериямда
критерии задания правила для ограничений
src interface lan/wanда
dst interface lan/wanнет
src ip/rangeда
dst ip/rangeда
protocolпо номеру протокола
src port/rangeда
dst port/rangeда
привязка ко временинет
типы ограничений
количественные ограничения для полосы байтахда
задание в процентахнет
назначение приоритетада
питание
тип БПвстроенный
поддержка 802.1af (PoE)нет
дополнительная информация
версия прошивкиV4.00(WM.2) | 10/27/2005
встроенный ftp-serverда, через него возможно обновление или сохранение конфигурации
размеры355 × 200 × 55 mm
вес2600 г

Конфигурирование

Настройку устройства можно производить через WEB-интерфейс, по протоколу Telnet или через консольный порт, а также через программу Vantage CNM, являющуюся отдельной коммерческой программой ZyXEL для управления сетью, состоящей из множества межсетевых экранов ZyWALL. Для удаленной диагностики и мониторинга, включая учет трафика отдельных пользователей и используемой ими полосы пропускания WAN-канала может использоваться бесплатная утилита Vantage Report.

Виртуальный WEB-интерфейс устройства приведен на сайте zywall70utmdemo.zyxel.com/. Также доступен виртуальный Telnet-интерфейс устройства — для этого нужно воспользоваться командой "telnet zywall70utmdemo.zyxel.com"

Список параметров SNMP настроенного маршрутизатора приведен здесь.

DHCP-сервер устройства позволяет задать 128 статических записи.

Маршрутизатор позволяет создавать BackUp-соединение с Интернетом через обычный аналоговый модем, в случае, если связь по основному каналу будет прервана.

В устройстве предусмотрена возможность распределения нагрузки между 2-мя WAN-портами, что позволяет увеличить производительность при ограниченности скорости каждого из каналов.

Устройство позволяет задать для каждого подключения к Интернет различные приоритеты (от 0 до 15, чем больше значение — тем ниже приоритет), которые не могут совпадать. По умолчанию приоритет порта WAN1 равен 1, WAN2 — 2, перенаправление трафика (Trafic redirect) — 14, а резервный канал, организованный с помощью аналогового модема (Dial BackUp) — 15.

В случае недоступности одного из каналов с более высоким приоритетом, устройство автоматически переключается на канал с более низким приоритетом. Условием недоступности является результат команды ping (по умолчанию пингуется "шлюз по умолчанию", но можно указать любой IP-адрес; если ping не проходит — устройство принимает решение, что канал недоступен). Мы можем указать маршрутизатору переключиться на "первичный" канал, как только он снова становится доступным.

Другим способом подключения является распределение нагрузки между WAN каналами с использованием механизма Load Balancing (балансировка нагрузки). Балансировка нагрузки происходит по одному из следующих алгоритмов: Least Load First, Weighted Round Robin или Spillover.

При использовании алгоритма Least Load First, в параметрах устройства задается промежуток времени (10-600 с) и доступная ширина канала. По достижении указанного промежутка времени, рассчитывается текущая загруженность каждого из каналов. На протяжении последующего интервала времени, все соединения будут производиться через менее загруженный канал.

При использовании алгоритма Weighted Round Robin, мы задаем "вес" (значение от 0 до 10), который канал может на себя принять. Например, если доступные скорости каналов отличаются в 2 раза, то каналу с меньшей скоростью нужно назначить в 2 раза меньший вес.

При использовании алгоритма Spillover, мы задаем максимальную пропускную способность WAN канала с бОльшим приоритетом, по достижении которой, все вновь устанавливаемые соединения производятся через второй WAN-интерфейс (интерфейс с меньшим приоритетом).

Для каждого правила файрвола можно задать расписание, режим логирования, а также действие: Premit, Block, Reject.

При использовании карты расширения ZyWALL Turbo, устройство может реализовать функции обнаружения и предотвращения вторжений (IDP, Inrusion Detection and Prevention), а также функции антивирусной защиты. Антивирусная защита, реализуемая в устройстве, не является заменой антивирусного ПО, устанавливаемого на компьютере пользователя, так как устройство производит проверку трафика только на наиболее распространенные на момент проверки вирусы. К тому же антивирусной проверке подвергается только трафик, идущий по протоколам HTTP, SMTP, POP3 и FTP, а также задаются интерфейсы, исходящий трафик с который подвергается проверке.

Помимо вышесказанного, устройство реализует антиспам-фильтр и контент-фильтр, которые работают с внешними базами фильтрации, и поэтому являются платными.

Anti-Spam фильтр позволяет проверять почту, проходящую по протоколам POP3 и SMTP, и использует внешнюю базу данных для проверки на спам.

Контент-фильтр также работает совместно с внешними списками фильтрации, позволяющими проводить фильтрацию по содержимому. Фильтрация сайтов может проводиться по 52 категориям. Контент-фильтр также кэширует запросы к списку фильтрации и при повторной попытке зайти на "запрещенный" сайт использует данные из кэша (настройки контент-фильтра устройства полностью аналогичны тем, что представлены в ZyXEL ZyWALL 5 UTM, который уже рассматривался нами в одном из прошлых обзоров).

VPN-сервер устройства позволяет устанавливать соединения IPSec, используя алгоритмы шифрования DES, 3DES и AES. Начальная аутентификация производится с использованием предварительных ключей или с использованием сертификатов. Устройство также позволяет создавать сертификаты вручную через WEB-интерфейс.

Для аутентификации возможно использование внешнего Radius-сервера или локальной базы пользователей, являющейся как бы альтернативой Radius-серверу

Количество записей статического роутинга ограничено 50-ю.

Устройство также поддерживает управление полосой пропускания канала — эта возможность будет рассмотрена в следующей части обзора.

Имеется возможность настройки роутера по протоколу Telnet (настройка по Telnet полностью аналогична настройке через консоль)

которая в свою очередь предоставляет интерфейс к командной строке ОС роутера.

Еще раз напомню, что услуги контент-фильтрации, спам-фильтрации, антивирусной проверки трафика и обнаружение вторжений (IDP) являются платными. При покупке устройства можно зарегистрировать Trial-версии этих услуг для ознакомления с их возможностями. Срок Trial-лицензии на контент-фильтр составляет 1 месяц с момента регистрации. Срок Trial-лицензии на услуги обнаружения и предотвращения атак, на антивирусную защиту и на спам-фильтр составляет 3 месяца с момента регистрации. По истечении этих сроков, для использования указанных возможностей придется оплачивать новую лицензию.

Теперь перейдем собственно к тестированию производительности устройства.

Тестирование производительности

Тестирование проводного сегмента

Тест LAN-WAN - тестирование проводилось по этой методике. При тестировании никакие возможности, связанные с картой расширения ZyWALL Turbo (такие как IDP — обнаружение и предотвращение вторжений и антивирусная проверка трафика) не использовались.

Максимальная скорость: 58,92 Мбит/с — при работе в полнодуплексном режиме.

Теперь посмотрим что произойдет при уменьшении размера пакетов



Как видно из диаграмм, при уменьшении размеров пакетов, скорость трафика значительно падает.

Тестирование NetPIPE:

Для определения влияния механизма обнаружения и предотвращения атак IDP на скорость трафика, тест NetPIPE проводился в 2 этапа: с включенным IDP и выключенным IDP. Посмотрим какие получились результаты

Защита IDP отключена:

Максимальная скорость: 58.55 Мбит/с. Аномалий в графике не наблюдается.

Защита IDP включена:

Максимальная скорость: 11,48 Мбит/с. На графике наблюдаются провалы при увеличении размера блока передаваемых данных.

При работе устройства в режиме моста, падения скорости на WAN-LAN сегментах не наблюдается (если сравнивать ее со скоростью используемых сетевых адаптеров, подключенных напрямую).

При включении механизма IDP в режиме моста, были получены следующие скорости:

Максимальная скорость: 20,59 Мбит/с — та максимальная скорость, которую можно получить при использовании механизма IDP (только в режиме моста).

Тестирование беспроводного сегмента

Тестирование проводилось в несколько этапов:

  • Тест "Точка доступа — Cardbus адаптер"

Для тестирования беспроводной связи использовался ZyXEL ZyAIR G-162 Cardbus адаптер. Для того, чтобы устройство начало работать в режиме точки доступа в слот расширения был установлен беспроводной Cardbus адаптер ZyXEL ZyAIR G-110.

Тест "Точка доступа — Cardbus адаптер" — трафик гонялся между компьютером локального (LAN) сегмента маршрутизатора и ноутбуком с беспроводным сетевым Cardbus-адаптером ZyXEL G-162 через точку доступа ZyXEL ZyWALL 70W (на базе ZyXEL ZyAIR G-110). Скорость соединения устанавливалась автоматически для режима IEEE 802.11g. Тест проводился с помощью Chariot NetIQ. Расстояние между точками не превышало 5 метров.

Сокращения:

  • Cardbus — беспроводной Cardbus-адаптер ZyXEL G-162
  • AP — точка доступа роутера ZyXEL ZyWALL 70W (на базе ZyXEL ZyAIR G-110)
  • fdx — генерация трафика в обоих направлениях

Максимальная скорость: 21,73 Мбит/с — нормальная скорость для режима IEEE 802.11g. Скорость от точки доступа к Cardbus-адаптеру в полнодуплексном режиме почти в 5 раз выше скорости от Cardbus-адаптера к точке доступа — это не очень хороший показатель — явная асимметрия линии.

Безопасность:

При проведении тестов на безопасность, были включены все виды удаленного управления.

Результаты Nessus:

Nessus находит несколько 3 критических уязвимостей, 2 из которых связаны с паролем SNMP по умолчанию, который необходимо изменить, а третья — с возможностью определения уникального номера пакета и перехвата соединения злоумышленником путем подмены этого номера.

Доступность:

Средняя розничная цена на рассматриваемое в статье устройство:

ZyXEL ZyWALL 70W Н/Д(0)
ZyXEL ZyWALL Turbo Card Н/Д(0)

Выводы:

Устройство обладает достаточно высокой производительностью как проводного так и беспроводного сегмента, однако при включении механизма обнаружения и предотвращения вторжений, скорость трафика заметно падает (с 58 до 11.5 Мбит/с при работе в режиме NAT-маршрутизатора). Это говорит о том, что обнаружение и предотвращение вторжений — очень ресурсоемкая операция.

В следующей части обзора, мы коснемся производительности VPN-сервера и возможностей управления полосой пропускания, а также рассмотрим возможности антивирусной защиты и Spam-фильтрации.

Продолжение следует...

Навигация:

 

Оборудование предоставлено российским представительством компании ZyXEL

 




25 января 2006 Г.