Компания ZyXEL произвела рестайлинг линейки аппаратных межсетевых экранов
Аппаратные межсетевые экраны (hardware firewall) разработки ZyXEL за год с момента появления на отечественном рынке доказали свою востребованность во всех сегментах рынка и демонстрировали уверенный рост продаж всего спектра моделей. За это время у компании ZyXEL было время проанализировать специфику задач, выполняемых устройствами, и обработать статистику наиболее часто предотвращаемых атак. Новая линейка межсетевых экранов ZyWALL, разработанная с учетом накопленного опыта, еще более адаптирована под специфические нужды бизнеса.


ZyWALL 70W EE
ZyWALL 70W EE
Изначально модельный ряд был представлен только тремя устройствами: для малого, среднего и крупного бизнеса, теперь в обновленной линейке компания представила уже четыре устройства. Все они призваны заменить стандартные программные межсетевые экраны как на базе Unix-, так и на базе Windows-платформ. Аппаратные экраны воплощают качественно новый подход как к вопросу обеспечения безопасности информации в локальной сети офиса, так и к защите самой сети, а также ее сервисов, безотказное функционирование которых для многих компаний не менее важно, чем сохранность информации. Дополнительными возможностями данных устройств являются: соединение удаленных офисов через VPN-соединение, распределение нагрузки в сети и создание приоритетов по обслуживанию, резервирование канала связи, контроль доступа к ресурсам интернета и множество других.

Возможности каждого из устройств зависят от их предназначения. Четыре модели аппаратных межсетевых экранов имеют следующее позиционирование.


ZyWALL 35 EE
ZyWALL 35 EE
Домашняя сеть или отдел предприятия (до 4—5 машин)
Малый офис (10—30 компьютеров)
Средний офис (40—70 компьютеров)
Крупный офис (100 и компьютеров)

Ранее в линейке компании отсутствовал межсетевой экран для сегмента SOHO с расчетом на 2—4-х пользователей, однако в обновленном модельном ряду присутствует модель ZyWALL 2 EE, которая идеально вписывается в первую модель применения. Этот экран способен организовать два защищенных VPN-канала с шифрованием по протоколам DES, 3DES и AES. Предусмотрены два способа подключения 2 ЕЕ к интернет: через сетевой интерфейс 10/100 Мбит/с с автоматическим определением скорости и через интерфейс RS-232, который также используется для локального управления экраном. В устройство встроен 4-портовый коммутатор Fast Ethernet для подключения пользователей.

Ранее малые и средние офисы были практически лишены возможности размещать на своих площадках web- или другие публичные сервисы. Теперь для офисов среднего масштаба такая возможность может быть доступна с помощью устройства ZyWALL 5 EE. Эта модель обеспечивает реализацию демилитаризованной зоны, физически отделенной от локальной сети, где и будут размещаться сервисы.


ZyWALL 5 EE
ZyWALL 5 EE
Этот экран подойдет и для второй модели применения (офис до 30 человек). В таких условиях раскрываются его дополнительные преимущества, такие как возможность установки до 10 VPN-соединений одновременно, возможность создания на базе этой модели беспроводной сети стандарта 802.11g (при установке в заднюю панель экрана PC-карты G-110, вместе с которой могут использоваться внешние антенны со специальными диаграммами направленности). Кроме того, устройство способно обнаруживать и защищать сеть от DoS-и DDoS-атак, оповещать о них в режиме реального времени и вести протоколирование событий на локальном или внешнем сервере. Экран 5ЕЕ предусматривает возможность гибкой настройки полосы пропускания канала, предоставляемой различными приложениями с возможностью приоритизации трафика QoS (Quality of Service — качество обслуживания), что очень важно, например, при построении web-сервера с большим количеством запросов к нему. Другой полезной функцией в офисе может стать возможность установки устройства в качестве сетевого моста, который может прозрачно разделять корпоративные подразделения, требующие дополнительной защиты в локальной сети всего офиса. Установка данного устройства достаточно проста и может быть выполнена как на стене, так и в 19-дюймовой стойке, при этом прочный металлический корпус обеспечит защиту от механических и магнитных помех, а также не создаст проблем с отводом тепла. Как и ZyWALL 2 EE, ZyWALL 5 EE позволяет резервировать канал доступа к Глобальной сети через интерфейс RS-232.


ZyWALL 2 EE
ZyWALL 2 EE
Если в офисе — от 40 до 70 компьютеризированных рабочих мест и необходимо обеспечить полноценное резервирование интернет-канала на скорости WAN-интерфейса с возможностью балансировки нагрузки, то стоит обратить внимание на устройство ZyWALL 35 EE. Оно имеет дополнительный порт Fast Ethernet, который и служит для резервирования нагрузки и балансировки трафика между двумя каналами. Этот экран поддерживает все функции предыдущей модели, однако он способен устанавливать до 35 одновременных VPN-соединений, а производительность его криптопроцессора составляет 90 Мбит/с, что позволяет добиться производительности межсетевого экрана в 40 Мбит/с. Возможность резервирования канала через интерфейс RS-232 была сохранена и в данном устройстве. Модель ZyWALL 35 EE, так же как и ZyWALL 5 EE, имеет внешний блок питания. Построение беспроводной сети на базе данного устройства осуществляется аналогично предыдущей модели и требует установки дополнительного адаптера.

Наиболее функциональным устройством в линейке ZyWALL является модель ZyWALL 70 EE, которая способна обслуживать сети до 100 узлов. Данное устройство выполнено для установки в 19-дюймовую стойку и имеет высоту 1U. В отличие от предыдущих моделей, ZyWALL 70 EE имеет встроенный блок питания, рассчитанный на работу в сетях переменного тока с напряжением от 100 до 240 В. Семь портов Fast Ethernet данного устройства предназначены для подключения локальной сети, интернет и демилитаризированной зоны. Данная модель оснащена не одним, как раньше, а двумя интерфейсами RS-232, один из которых служит для подключения управляющей консоли, а второй — для резервного
интернет-соединения. Фильтрация пакетов в этом экране происходит на максимальной скорости Ethernet-соединения (100 Мбит/с), при этом шифрование данных осуществимо на скоростях до 50 Мбит/с. Как и раньше, два Fast Ethernet-порта могут быть задействованы для автоматического резервирования интернет-канала или работать в режиме балансировки нагрузки, когда оба канала доступны. Демилитаризированная зона подключается к ZyWALL 70 EE через встроенный четырехпортовый коммутатор. Время наработки на отказ для данной модели составляет 40,9 лет, что является оптимальным показателем отказоустойчивости для любой сети. Возможность полноценного протоколирования и оповещения в режиме реального времени позволит быстро решить проблемы, возникающие даже в достаточно большой сети.

Все межсетевые экраны ZyWALL сертифицированы Международной Ассоциацией компьютерной безопасности (International Computer Security Associ-ation — ICSA). А используемая во всех устройствах операционная система ZyNOST позволяет реализовать работу всех сетевых функций, необходимых для построения полноценной и безопасной корпоративной сети, а также ее интеграции с Глобальной сетью.

В частности, модели ZyWALL 5, 35 и 70 способны автоматически обнаруживать и пресекать такие сетевые атаки, как фальсификация IP-адресов и отказ от обслуживания (Denial of Service — DoS).

Первый вид атаки базируется на подмене реального IP-адреса удаленного хоста фальшивым. Таким образом, в сеть могут попасть пакеты с адресами, предназначенными только для локального использования, а не для использования в сети интернет, например пакеты с адресами, подпадающими под маску 192.168.0.1. Такие пакеты могут возникать и из-за ошибок в настройках сети, поэтому они должны обязательно отфильтровываться. Если же такие пакеты возникают в локальной сети, экран не должен пропустить их в глобальную сеть.

Второй тип атак нацелен не на хищение информации, а на блокирование сети или сетевого устройства, с тем умыслом, чтобы пользователи локальной или глобальной сети не смогли получать доступ к его ресурсам. Если же система призвана оказывать онлайн-услуги, критичные для пользователей, например, сервер системы клиент — банк, то отказ от обслуживания может привести к непредвиденным для компании последствиям. Существует несколько видов подобных атак: Ping of Death, SYN Flood, LAND Attack, IP Spoofing и другие, данные устройства обнаруживают и пресекают все атаки, сохраняя жизнеспособность ваших сервисов.

Весь модельный ряд межсетевых экранов ZyWALL поддерживает систему контентной фильтрации, которая способна обеспечить значительную экономию ресурсов организации. Используемые контентные фильтры обращаются на централизованный рубрикатор Blue Coat, а он, в свою очередь, ранжирует более 5 млн. глобальных и украинских сайтов.

Возможность приоритизации трафика и поддержка протокола SIP позволяет существенно снизить затраты на предоставление услуг IP-телефонии и обеспечить качественную работу мультимедиа-приложений.

Дополнительным преимуществом линейки межсетевых экранов является возможность дистанционного защищенного управления устройствами ZyWALL через web-интерфейс, командную строку (HTTPS, SSH, HTTP, Telnet, SNMP) и централизованно — через систему Vantage CNM. Наряду с общей операционной системой ZyNOS и унифицированными интерфейсами управления это позволяет снизить требования к квалификации сотрудников на местах и использовать аутсорсинг услуг системного администрирования. Все устройства имеют поддержку Multi NAT, что позволяет использовать любые адреса для локальной сети и одновременно обеспечивать прозрачный доступ в интернет. К тому же, локальные компьютеры становятся невидимыми для внешней сети, что повышает безопасность всей сети в целом и позволяет снизить затраты на подключения, благодаря использованию лишь одного IP-адреса.

Все вышеперечисленные достоинства делают межсетевые экраны от ZyXEL очень эффективными, а их удачное сегментирование, наряду с возможностью масштабировать решения на их основе, позволяет говорить об оправданности применения этих устройств в бизнесе.

Сводная таблица технических параметров аппаратных межсетевых экранов, упомянутых в обзоре
Модель
ZyWall 2 EE
ZyWALL 5 EE
ZyWALL 35 EE
ZyWALL 70 EE
Производительность межсетевого экрана, Мбит/с
12
80
90
100
Количество портов WAN
1
1
2
2
Количество портов LAN/DMZ
4 LAN
4 LAN/DMZ
4 LAN/DMZ
1 LAN, 4 DMZ
Количество одновременных IPSec VPN-cоединений
2
10
35
100
Наличие демилитаризованной зоны
-
+
+
+
Ориентировочная стоимость, у.е.
220
375
685
940
*Использованы справочные данные с сайта компании-производителя