Персональный межсетевой экран ZyXEL ZyWALL P1

Часть 1: спецификация, настройки


В данном обзоре мы рассмотрим возможности и настройки устройства ZyXEL ZyWALL P1.

Функциональные возможности устройства: интернет-маршрутизатор со встроенным межсетевым экраном, IPSec VPN сервер. Устройство также включает в себя механизм обнаружения и предотвращения вторжений, а также имеет возможность антивирусной проверки трафика (по протоколам FTP, SMTP, POP3, HTTP).

На устройстве расположены следующие индикаторы:

  • Индикатор питания
  • Индикатор состояния/активности порта WAN
  • Индикатор состояния/активности VPN-соединения
  • Индикатор, сигнализирующий о том, что в данный момент устройство настраивается с использованием ПО централизованного управления Vantage CNM
  • Индикатор состояния/активности порта LAN

На устройстве расположены:

  • Кнопка Reset — сброс параметров
  • Порт WAN — RJ-45
  • Порт LAN — RJ-45
  • Порт USB
  • Разъем питания

Комплектация устройства:

  • Сам межсетевой экран
  • Кабель RJ-45 — RJ-45 длиной 0,5 метра
  • Руководство по быстрой установке и настройке устройства на 7-ми языках (без русского)
  • Диск с инструкцией
  • USB-кабель для подключения устройства к USB-порту компьютера длиной около 20 см
  • Блок питания 5В, 1,5А (длина провода около 2-х метров)

 

Вид изнутри

Спецификация

корпуспластиковый, допускается горизонтальная установка
исполнениеIndoor
проводной сегмент
WANтипFast Ethernet
количество портов1
auto MDI/MDI-Xда
типы поддерживаемых соединенийфиксированный IPда
динамический IPда
PPPoEда
PPTPда
L2TPнет
IPSecда
LANколичество портов1
auto MDI/MDI-Xда
ручное блокирование интерфейсовнет
возможность задания размера MTU вручнуюнет
основные возможности
конфигурирование устройства и настройка клиентовадминистрированиеWEB-интерфейсда
WEB-интерфейс через SSLда
собственная утилитада
telnetда
sshда
COM-портнет
SNMPда
возможность сохранения и загрузки конфигурациида
встроенный DHCP серверда
поддержка UPnPда
метод организации доступа в ИнтернетNetwork Address Translation (NAT-технология)да
возможности NATone-to-many NAT (стандартный)да
one-to-one NATда
возможность отключения NAT (работа в режиме роутера)да
Встроенные VPN-сервераIPSecда
PPTPнет
L2TPнет
VPN pass throughIPSecда
PPTPда
PPPoEнет
L2TPда
Traffic shaping (ограничение трафика)нет
DNSвстроенный DNS-сервер (dns-relay)да
поддержка динамического DNSда, DynDNS.org
внутренние часыприсутствуют
синхронизация часовда, NTP, Time, Daytime
встроенные утилитыICMP pingнет
tracerouteнет
resolvingнет
логирование событийда, системные события, файрвол
логирование исполнения правил файрволада
способы хранениявнутри устройствада
на внешнем Syslog сервереда
отправка на emailда
SNMPподдержка SNMP Readда
поддержка SNMP Writeда
поддержка SNMP Trapsда
Роутинг
статический (задания записей вручную)на WAN интерфейседа
на LAN интерфейседа
динамический роутингна WAN интерфейсевозможность отключенияда
RIPv1да
RIPv2да
на LAN интерфейсевозможность отключенияда
RIPv1да
RIPv2да
возможности VPN
сервер IPSecтипы аутентификацииpre shared keyда
сертификатыда
алгоритмы хешированияSHA1да
MD5да
алгоритмы шифрованияDESда
3DESда
AESда
возможности встроенных фильтров и файрвола
поддержка SPI (Stateful Packet Inspection)да, но без возможности использования в правилах
наличие фильтров/файрволана LAN-WAN сегментеда, с указанием направления
на LAN-LAN сегментеда, возможна фильтрация при маршрутизации трафика между подгруппами LAN
типы фильтровс учетом SPIнет
по MAC адресуда, из консольного интерфейса настройки
по source IP адресуда, в том числе по диапазону или подсети
по destination IP адресуда, в том числе по диапазону или подсети
по протоколуда, TCP/UDP/TCP&&UDP/ICMP или по номеру протокола
по source портунет
по destination портуда, в том числе по диапазону
привязка ко временида
по URL-унет
по доменунет
работа со службами списков URL для блокировкинет
тип действияallowда
denyда
rejectда
виртуальные серверавозможность созданияда
задания различных public/private портов для виртуального серверада
возможность задания DMZда
питание
тип БПвнешний, 5VDC, 1500mA
поддержка 802.1af (PoE)нет
дополнительная информация
версия прошивкиV4.01(XJ.0) от 28.09.2006
дополнительные портыUSB
размеры128,5 × 81,5 × 20 мм
вес130 г

Конфигурация

Настройка устройства может осуществляться через WEB-интерфейс, через консольный интерфейс, а также с использованием системы централизованного управления оборудованием ZyXEL Vantage CNM (данная программа является отдельным коммерческим проектом компании ZyXEL и поэтому в данном обзоре не рассматривается).

Полный набор скриншотов WEB-интерфейса настройки приведен здесь.

Список параметров SNMP приведен здесь.

Рассмотрим некоторые параметры интерфейса настройки более подробно.

Устройство позволяет задать до 8-ми статических записей для DHCP-сервера.

LAN-интерфейс устройства помимо «основного» IP-адреса может иметь 2 дополнительных. При этом устройство осуществляет маршрутизацию между подсетями, в которых устройство является шлюзом, а также может производить фильтрацию трафика (посредством файрвола) между данными подсетями.

WAN-интерфейс устройства может получать IP-адрес автоматически (по DHCP) либо IP-адрес может быть задан вручную. Также возможно подключение с использованием протоколов PPPoE или PPTP.

В настройках файрвола задаются стандартные правила (правила «по умолчанию») для трафика, идущего через определенные интерфейсы,

после чего задаются правила файрвола для конкретных направлений.

При этом каждое правило файрвола может иметь собственное расписание, определять диапазон или подсеть IP-адресов источника/назначения пакетов и содержать список сервисов, к которым применяется данное правило (устройство уже имеет небольшой список предопределенных сервисов и позволяет создать свой собственный список).

Работа таких возможностей как антивирусная проверка трафика и механизма обнаружения и предотвращения вторжений по окончанию ознакомительного периода (3 месяца) оплачивается отдельно и требует соответствующей «лицензии».

VPN-сервер устройства позволяет установить одновременно только один туннель IPSec VPN. При этом возможно использование следующих алгоритмов шифрования: DES, 3DES, AES. Для аутентификации на первом этапе установления IPSec VPN-соединения (напомню, что данные соединения устанавливаются в 2 этапа) возможно использование как предварительного ключа (Pre-Shared Key, PSK), так и сертификатов. Расширенная аутентификация может производиться как с использованием внешнего RADIUS-сервера, так и при использовании встроенной в устройство базы данных пользователей (всего в данной базе данных может быть заведено до 8-ми пользователей).

Настройка сервиса NAT позволяет достаточно подробно задать параметры форвардинга портов и переадресации запросов. Возможно также задание переадресации трафика «Many-to-many» (то есть все запросы на несколько внешних IP-адресов переадресуются на несколько скрытых за NAT'ом IP-адресам), однако в WEB-интерфейсе настройки устройства мне не удалось найти способ задать WAN-интерфейсу несколько IP-адресов.

Устройство также позволяет задавать до 11 статических записей в таблицу маршрутизации.

Как было сказано выше, устройством можно управлять посредством WEB-интерфейса и с использованием интерфейса командной строки. Доступ к WEB-интерфейсу возможен как по стандартному HTTP, так и по HTTP с использованием шифрования посредством SSL (HTTPS). Доступ к командной строке управления устройством возможен как по протоколу Telnet, так и с использованием SSH.

Обратившись к устройству по протоколу FTP можно получить доступ к файлам с прошивкой и к файлу с настройками. Файл с прошивкой доступен только для перезаписи (таким образом можно обновить прошивку устройства), а файл с настройками доступен как для чтения, так и для записи (обновление и сохранение конфигурации).

Устройство может производить логирование событий. Логи могут храниться как внутри устройства (только до перезагрузки), так и отправляться по электронной почте или на Syslog-сервер.

Устройство также может работать в режиме обычного маршрутизатора (без NAT) или моста.

Помимо WEB-интерфейса настройки, как уже говорилось выше, возможно управление устройством с использованием интерфейса командной строки. Командная строка является интерфейсом сетевой операционной системы ZyNOS 4.0 — она состоит из иерархической системы команд.

Для тонкой настройки устройства, возможно, придется воспользоваться интерфейсом командной строки. Некоторые параметры (например, таймаут работы интерфейса настройки устройства) можно задать только с использованием командного интерфейса настройки. Однако большинству пользователей может оказаться достаточно возможностей WEB-интерфейса настройки.

Что касается PPTP-подключений, осуществляемых устройством, — возможно использование PAP, CHAP, MSCHAP аутентификации. Использование MPPE-шифрования не предусмотрено. При подключении к PPTP-серверу WAN-интерфейс устройства должен иметь статический IP-адрес, а PPTP-сервер должен находиться в той же подсети, что и WAN-интерфейс устройства. После подключения устройства к PPTP-серверу, связь с WAN-сегментом устройства теряется.

Доступность

Средняя розничная цена на рассматриваемое в статье устройство : $112(3)

Выводы

Устройство имеет достаточно много различных возможностей, результаты тестирования которых будут рассмотрены в последующих статьях, посвященных данному устройству. Пока обратим внимание на те возможности, которые предоставляет данное устройство.

LAN-интерфейс устройства позволяет разделить LAN-сегмент на несколько подсетей. При этом устройство осуществляет маршрутизацию трафика между данными подсетями и может осуществлять фильтрацию трафика, что разрешает получить несколько больший контроль над LAN-сегментом сети.

Компактные размеры устройства дают возможность расположить его практически, где угодно. Устройство также может получать питание через USB-порт, что позволяет сделать устройство более мобильным.

Широкие возможности настройки правил файрвола разрешают производить достаточно точную настройку фильтрации трафика. Каждое созданное правило файрвола может иметь собственное расписание (по дням недели и интервалу времени), по которому оно будет исполняться.

Из особенностей стоит отметить наличие возможности антивирусной проверки трафика по протоколам FTP, SMTP, HTTP, POP3 и наличие возможности обнаружения и предотвращения вторжений. Более подробно данные возможности будут рассмотрены в следующих частях обзора, посвященного данному устройству.

С устройством поставляется очень подробная документация (почти на 370 страниц), однако документация на русском языке отсутствует. На момент написания данного обзора розничная цена устройства составляла 200$, что несколько сужает круг пользователей, готовых его приобрести.

Плюсы:

  • Возможность создания нескольких подсетей (до 3-х) в LAN-сегменте устройства + маршрутизация и фильтрация трафика между ними
  • Возможность питания устройства через USB-порт, что позволяет сделать устройство более мобильным
  • Широкие возможности настройки правил фильтрации трафика
  • Подробная документация на устройство
  • IPSec VPN-сервер
  • Возможность антивирусной проверки трафика (по протоколам HTTP, SMTP, POP3, FTP)
  • Возможность обнаружения/предотвращения вторжений

Минусы:

  • Высокая стоимость данного устройства
  • Отсутствие документации на русском языке
  • Некоторые параметры настройки устройства можно изменить только с использованием командного интерфейса
  • Потеря связи с подсетью WAN-интерфейса после установления PPTP-соединения
  • PPTP-сервер устройства должен находиться в той же подсети, что и WAN-интерфейс устройства

 

Навигация:

 

Оборудование предоставлено ZyXEL Communication Corporation

 




12 января 2007 Г.