Аппаратный файервол обычно интегрируют в сеть, когда обеспечивать защиту конечных пользователей программно становится слишком дорого и неэффективно. Вместо того, чтобы отдельно настраивать защитное программное обеспечение на каждом рабочем месте, проще выделить на роль секьюрити отдельную железку и управлять ей из единой точки. Это позволит защитить сеть от внешних и внутренних угроз, будь то злоумышленник или неосторожный пользователь.

В этой статье мы расскажем про модель USG Flex 200H, предназначенную для обеспечения безопасности сетей небольших компаний. Традиционно, раскрутим все болтики и посмотрим, как устройство выглядит изнутри. Наливайте кофейку и усаживайтесь поудобнее.

Внешний вид

^{Передняя панель}

На передней панели устройства расположены две группы Ethernet-портов: 2 x 2.5 GbE WAN и 6 x 1 GbE LAN. Аппаратно они различаются, а вот на программном уровне деление условно. Каждый порт может быть настроен в роли WAN/LAN/DMZ с соответствующей маршрутизацией. В левой части, помимо двух кнопок для перезагрузки устройства и сброса настроек, расположен порт USB 3.0 и светодиодные индикаторы. PWR/SYS служит для обозначения текущего статуса устройства. USER может быть запрограммирован обозначать одно из служебных действий:

• Вход администратора.
• Блокировка пользователя.
• Закончилась лицензия.
• Доступна новая прошивка.

По-умолчанию этот светодиод выключен, а поменять его назначение можно через веб-интерфейс (Система — Настройки — Индикатор User LED). В правой части передней панели расположен консольный порт для доступа к CLI. Соответствующий кабель с коннектором DB-9F для подключения вы найдёте в комплекте.

Zyxel USG Flex 200H рассчитан на использование в любых офисных и служебных помещениях. В комплекте есть 4 самоклеящиеся резиновые ножки от 3M, чтобы положить его на ровную поверхность. При необходимости, файервол может быть установлен в стандартную 19-дюймовую стойку (крепёжные уши есть в комплекте).

По высоте он меньше одного монтажного юнита, что в редких случаях позволит завести часть кабелей не сбоку, а сквозь юнит. С точки зрения монтажа это, разумеется, не лучшее решение, но иногда полезное (к примеру внутри крошечного, набитого оборудованием, офисного телеком-шкафчика).

^{Задняя часть корпуса}

Корпус устройства очень прочный, несмотря на множество перфорированных отверстий. Здесь, как и в Zyxel USG Flex 100AX, полностью пассивное охлаждение, поэтому перфорация есть и сверху, и по бокам. Предусмотрено отдельное крепление для кабеля заземления, чтобы обеспечить максимальную безопасность на случай попадания напряжения на корпус.

Что внутри

Вооружаемся отверткой и откручиваем 7 болтов, крепящих верхнюю крышку к шасси. Аккуратно сдвигаем крышку на себя и убираем в сторону:

^{Устройство со снятой верхней крышкой}

Большая часть платы закрыта радиатором охлаждения на который ложится задача отвода тепла от процессора и чипа коммутации. Откручиваем ещё четыре болтика и поднимаем радиатор вверх:

^{Снятый радиатор}

Никаких сюрпризов — там, где расположены чипы, используются достаточно толстые термопрокладки. Несмотря на отсутствие рёбер, такой радиатор эффективно отводит тепло, а чип просто не способен нагреться до такой точки, когда радиатора станет не хватать (разве что, если закрыть все перфорированные отверстия). Но ещё больший интерес вызывает то, что видно под радиатором:

^{Главная плата устройства}

Слева видим не распаянную площадку под беспроводной интерфейс и батарейку CR2032 для часов. В центральной части платы расположен ARM-процессор Marvell ARMADA 88F7040: 4 ядра, работающих на частоте 1.2 GHz:

^{Центральный процессор}

Рядом с процессором распаяна оперативная память: 8GB DDR4. Чуть левее и выше притаился второй горячий чип: Marvell 88E6193X:

^{Чип коммутации}

Этот чип устанавливается не только в сетевые устройства Zyxel и давно зарекомендовал себя в качестве надёжного и скоростного решения. Если внимательно взглянуть на технические характеристики, то устройство рассчитано пропускать через себя 5 Gbps трафика и поддерживать суммарно до 600 тысяч параллельных сессий.

Интересно то, что в процессе разработки линейки Zyxel USG Flex H было принято очень важное решение: устройства отныне будут работать на новой операционной системе Zyxel uOS. Это даст возможность улучшить отзывчивость интерфейса, мгновенное применение настроек и значительно увеличить пропускную способность. В ней пока что работают не все функции, которые были в старой ZLD, но это вопрос времени. Важно то, что uOS даст возможность разработки новых функций на основе отзывов и запросов пользователей.

Основные возможности

Системному администратору аппаратный файервол Zyxel USG Flex 200H даёт в руки большой пакет инструментов, каждый из которых способен принести значительную пользу. Это и защита от киберугроз, и дополнительные фичи для управления сетями в небольших офисах. Ниже расскажем чуть более детально.

Безопасность

Файервол. Обрабатывает входящий трафик и последовательно пропускает его через фильтры, соответствующие заданному набору правил. Одни пакеты отправляем на дальнейшую обработку, другие беспощадно дропаем. Типичная задача для такого устройства.

Защита от DoS-атак. Детектирует аномальную активность по сравнению с эталонным профилем. По-умолчанию один такой профиль уже есть в устройстве и содержит в себе наиболее часто применяемые техники подготовки и проведения DoS-атак (сканирование портов, определение живых хостов и флуд IP-пакетами). Идеальный вариант — составить собственный профиль, учитывая особенности сети и имеющийся анамнез по прошлым атакам.

Контроль сессий. Позволяет урезать количество сессий, которые можно одновременно держать на одном хосте. Это позволяет ограничить ущерб в случае сетевой атаки, рассчитанной на исчерпание ресурсов путём создания множества пустых сетевых соединений.

^{Добавление политики безопасности для Патруля приложений}

Патруль приложений. Позволяет блокировать или разрешать трафик выбранных приложений. В каталоге устройства находится более 3700 приложений, разбитых на категории. Любое приложение можно заблокировать в один клик, не нарушив при этом работу остальных. Это позволяет системным администраторам оперативно реагировать на возникающие угрозы.

^{Сигнатуры системы предотвращения вторжений IDS/IPS}

IDS/IPS. Система предотвращения вторжений хорошо помогает бороться с брутфорсом реквизитов доступа к различным сервисам. Увы, по интернету гуляет бесчисленное количество ботов, пытающихся вскрыть защиту стандартных сервисов, используя специально сформированные словари и базы слитых в сеть паролей. Также работает на базе регулярно обновляемых сигнатур.

Антивирус. Работает точно также, как обычный антивирус, но на уровне сети. Помимо стандартной проверки по сигнатурам, есть эвристический модуль, позволяющий выявлять вредоносные приложения, отсутствующие в антивирусных базах. Это в большинстве случаев помогает выявить и нейтрализовать зловредов ещё до того, как пользователь сможет их запустить.

Песочница. Полностью изолированная виртуализированная среда, расположенная за пределами устройства в облаке. Туда устройство отправляет копии неизвестных антивирусу исполняемых файлов. Там они запускаются, а их поведение анализируется. В случае выявления подозрительной активности, облачная база данных пополняется новыми сигнатурами. Это позволяет обнаруживать и устранять новые угрозы, без риска заражения защищаемой сети.

Контентная фильтрация. Призвана оградить пользователей от попадания на вредоносные и фишинговые сайты. Эта интегрированная служба безопасности работает по гибридной схеме: часть URL-адресов хранится в локальной базе данных, а если в ней URL не найден, то запрос перенаправляется в непрерывно обновляемую облачную базу данных.

Репутационный фильтр. Сопоставляет IP-адреса, домены и URL, с облачной базой данных, выявляя адреса, которые не заслуживают доверия. Это является отличным дополнением к контентной фильтрации и служит для той же самой цели: не пустить пользователей туда, где их данные могут быть украдены, а чувствительная информация — скомпрометирована.

Сетевые сервисы

Помимо того, что Zyxel USG Flex 200H обеспечивает безопасность защищаемого сегмента сети, он способен предоставлять некоторые полезные сетевые сервисы. Так, например, он может быть подключен одновременно к двум провайдерам и обеспечивать своевременное переключение между ними в случае потери связи.

Два WAN-порта можно также настроить в транк для автоматической балансировки трафика между ними. Используя различные алгоритмы балансировки можно получить максимальную пропускную способность или же настроить приоритезацию трафика от пары интернет-каналов даже с разной скоростью. Появляется возможность направлять мультимедийный трафик, критичный к задержкам, через интернет-канал с большей пропускной способностью, а весь остальной трафик заворачивать через другой.

^{Настройка шейпинга на основе приложения}

Ещё одной, крайне полезной для любого системного администратора функцией, будет настройка шейпинга. Можно сделать отдельные правила для определённого типа трафика (например, HTTPS) или для определённого типа приложения (например, BitTorrent).

Шейпер гибко настраивается, позволяя выставить ограничения на скорость исходящего/входящего канала или просто задать приоритет для конкретного типа трафика. Это позволит нативно решать типичные проблемы, вроде нехватки пропускной способности для IP-телефонии или приложений конференц-связи.

Отдельно стоит сказать о возможности поднять VPN-сервер. На выбор предлагается традиционный IPSec VPN и SSL VPN. Первый вариант наиболее востребован в корпоративной среде, поскольку не требуется установки отдельного VPN-клиента. В большинстве современных версий Windows, Android, macOS и iOS клиент уже есть в комплекте с операционной системой.

Второй же вариант более интересен, поскольку задействует тот же механизм шифрования, который есть в любом современном браузере. Чтобы подключиться к SSL VPN-серверу можно воспользоваться родным VPN-клиентом Zyxel SecuExtender или даже сторонним OpenVPN Connect.

Заключение

Подводим итоги. Аппаратный файервол Zyxel USG Flex 200H — устройство на новом чипсете, спроектированное для работы с новой операционной системой uOS. Оно рассчитано на защиту сети небольших компаний, позволяя при этом работать с несколькими провайдерами и обеспечивая своевременное переключение между ними (или балансировку нагрузки).

Два мультигигабитных WAN-порта способны суммарно принять до 5 Gbps трафика, что вполне вписывается в текущие потребности небольших компаний. Помимо основных функций, в устройстве есть много дополнительных фич, которые могут быть полезны в ряде ситуаций. Это может быть и антивирус, проверяющий трафик на лету, и система обнаружения вторжений IDS/IPS.

Устройство бесшумное и легко может быть установлено там, где нежелателен даже малейший шум (например, в конференц-зале или переговорной комнате). Оно может управляться как локально, так и при помощи централизованной системы управления Nebula. Это даёт возможность системным администратором управлять большим парком сетевого оборудования из единой точки, своевременно получая уведомления обо всех важных событиях прямо на свой смартфон.