Обзор межсетевых экранов с функцией VPN компании Zyxel

[AM_Bot 48]

Межсетевые экраны с функцией VPN от компании Zyxel Communications Corporation разработаны для гибкого построения защищенных каналов без необходимости сложной многочасовой настройки. Поддерживаются все популярные способы организации защищенных соединений: SSL VPN, site-to-site IPSec, L2TP over IPSec, PPTP, GRE. Отдельными устройствами серии можно гибко управлять с помощью современной технологии построения программно-определяемых сетей (Zyxel Nebula SD-WAN). Кроме того, реализованы функции балансировки между разными каналами связи (Multi-WAN failover).  ВведениеУстройства Zyxel ZyWALL VPN2SУстройства Zyxel VPN50/100/300 линейки Advanced VPN Firewall SeriesУстройства Zyxel ZyWall VPN линейки Business Firewall SeriesСервисы и лицензирование межсетевых экранов с VPN компании ZyxelВыводы ВведениеВ прошлой статье мы уже рассказывали об основных подходах к построению корпоративной безопасности, реализованных компанией Zyxel в своих решениях, на примере унифицированных шлюзов безопасности Next Generation Performance Series Zyxel USG (решения класса UTM — Unified Threat Management) с модулем NGFW (Next Generation Firewall) на борту. Сегодня детально разберем типовую и, на первый взгляд несложную, задачу — построение в компании виртуальной частной сети (VPN).В любой современной организации неизбежно возникает необходимость обеспечить работу удаленных сотрудников из дома, командировки, либо прямо с «полей». Сегодня является абсолютной нормой для компании вообще не содержать собственный офис, либо напротив — размер филиальной сети крупной корпорации может исчисляться сотнями географически разбросанных точек. В таких условиях для решения задач по обеспечению безопасности корпоративной сети и защиты важных для бизнеса данных при их передаче по открытым каналам необходимы межсетевые экраны с функцией построения VPN.Компания Zyxel, ориентируясь прежде всего на доступность и гибкий инструментарий для решения конкретных задач, разработала линейку VPN с упором на простоту администрирования, при сохранении всех необходимых функций в устройствах. Zyxel следует принципу четкого сегментирования своих решений. Средства построения VPN можно разделить на 2 группы: Advanced VPN Firewall Series, подходящие для самых небольших и средних компаний, и ZyWall Business Firewall Series, предназначенные для крупных корпораций. Рисунок 1. Модельный ряд решений Zyxel VPN С полным перечнем всех продуктов компании Zyxel можно ознакомиться на официальном сайте. В обзоре мы подробно разберем особенности каждой линейки и отдельно остановимся на крайне интересной модели VPN2S, специально разработанной по принципу настройки в «5 простых кликов». Устройства Zyxel ZyWALL VPN2SZyWALL VPN2S специально разрабатывался для малых предприятий, небольших филиалов и подключения домашних или удаленных пользователей. Устройство представляет собой межсетевой экран с функцией VPN, который позволяет сконфигурировать безопасное соединение point-to-point без сложной настройки параметров. Рисунок 2. Ключевые особенности Zyxel ZyWALL VPN2S  VPN2S имеет пять портов Gigabit Ethernet (2 настраиваются для интерфейсов LAN/WAN и 3 — только для LAN), а также один порт USB для подключения 3G/4G-модемов. В VPN2S реализована поддержка соединений «точка-точка» (Site-to-Site VPN) типов IPSec, L2TP, PPTP, GRE, L2TP Over IPSec. Для подключения отдельных удаленных VPN-клиентов, в зависимости от возможностей провайдеров и принятых корпоративных правил, применяются протоколы IPSec, L2TP или PPTP. Таблица 1. Основные характеристики модели Zyxel ZyWALL VPN2SСпецификацияZyWALL VPN2S Интерфейсы3 x LAN, 1 x OPT, 1 x WANПорты USB2 x USB 2.0Пропускная способность межсетевого экрана SPI (statefull packet inspection)1.5 Гбит/сПропускная способность VPN35 Мбит/сМаксимальное число одновременных TCP сессий50 000Максимальное число одновременных туннелей IPsec VPN20Возможность монтажа в стойкуНетБесшумная технология охлажденияДаМаксимальное число интерфейсов VLAN16Балансировка нагрузки / отказоустойчивость внешних каналов (Multi-WAN)ДаТехнологии построения VPNIPSec, L2TP over IPSec, PPTP, L2TP, GREПоддерживаемых типы подключения VPN клиентовIPSec, L2TP, PPTPТехнология фильтрации контентаДаФизические размеры210 x 115 x 33 В ZyWALL VPN2S встроен межсетевой экран с полной поддержкой SPI (Stateful Packet Inspection), что, согласитесь, хорошее преимущества для устройства бюджетного класса. Это позволяет защитить пользователей от кибератак различного типа, в том числе DoS/DDoS, атак с использованием поддельных IP-адресов, неавторизованного удаленного доступа к инфраструктуре и приложениям. Рисунок 3. Резервирование каналов интернета с помощью Zyxel ZyWALL VPN2S  Отдельно доступна опция подключения модуля Content Filtering для блокировки подозрительного трафика, вредоносных сетевых пакетов и постореннего контента. Отметим, что Content Filtering предоставляется бесплатно в течение одного года. Технология позволяет фильтровать доступ к опасным сайтам, разбитым на различные категории (анонимайзеры, вредоносное программное обеспечение, фишинг и мошенничество, боты, сайты со спамом и т. д.), а также к постороннему контенту, например, содержащему сцены насилия и порнографию. Помимо непосредственного обеспечения защиты сети компании, Content Filtering помогает повысить продуктивность работы персонала, ограничивая доступ к определенным приложениям, например, к социальным сетям, видеохостингам, тематическим форумам и развлекательным порталам. Рисунок 4. Схема работы функций безопасности Zyxel ZyWALL VPN2S  Отдельно отметим способность VPN2S выступать в том числе клиентом L2TP VPN, что облегчает процесс настройки множества устройств и позволяет однократно задать параметры конфигурируемой VPN-сети в компании.Ключевой особенностью VPN2S является встроенный сервис быстрой настройки в 5 шагов. Максимальное облегчение и визуализация процесса конфигурирования всегда было фирменным отличием устройств компании Zyxel еще со времен широкого распространения домашних роутеров вендора в России. Рисунок 5. Настройка Zyxel ZyWALL VPN2S в 5 шагов  Виртуальный помощник имеет удобный графический интерфейс и помогает оперативно настроить устройство VPN2S. Для облегчения управления конфигурациями компания Zyxel предоставляет пакет утилит удаленного администрирования, в том числе специальный сервис для обновления прошивок — Cloud Helper. Cloud Helper обеспечивает простой поиск информации о последней версии нужной прошивки, которая устанавливается сразу же после официального релиза производителя, что гарантирует ее достоверность и актуальность.Остается добавить, что в устройства VPN2S встроен аппаратный криптографический модуль L2TP/IPSec VPN, который обеспечивает приличную для своего класса скорость VPN-соединений и реализует функции отказоустойчивости и балансировки нагрузки (VPN failover и load balance). В качестве алгоритмов хэширования используется семейство SHA-2, а непосредственно для шифрования — набор протоколов IKEv2. Устройства Zyxel VPN50/100/300 линейки Advanced VPN Firewall SeriesУстройства Zyxel серии VPN50/100/300 подходят для организации безопасного выхода в интернет и объединения нескольких удаленных офисов в единую VPN-сеть как в небольших, так и в средних по размеру компаниях. Таблица 2. Основные характеристики моделей Zyxel VPN50/100/300СпецификацияVPN50VPN100VPN300 Интерфейсы4 x LAN/DMZ, 1 x WAN, 1 x SFP4 x LAN/DMZ, 1 x WAN, 1 x SFP7x GbE (конфигурируемые), 1x SFPПорты USB122Консольный портДа (RJ-45)Да (DB9)Да (DB9)Возможность монтажа в стойкуНетДаДаБесшумная технология охлажденияДаДаДаМакс. число интерфейсов VLAN81664Максимальное число одновременных туннелей IPSec VPN50100300Максимальное число соединений SSL VPN50200300Максимальное число управляемых точек доступа (AP)3668132Пропускная способность межсетевого экрана SPI (statefull packet inspection)800 Мбит/c2000 Мбит/c2600 Мбит/cПропускная способность VPN150 Мбит/c500 Мбит/c1000 Мбит/cМаксимальное число одновременных TCP сессий400 000800 0002 000 000Балансировка нагрузки / отказоустойчивость внешних каналов (Multi-WAN)ДаДаДаТехнологии построения VPNIKEv2, IPSec, SSL, L2TP / IPSecIKEv2, IPSec, SSL, L2TP / IPSecIKEv2, IPSec, SSL, L2TP / IPSecРежим инспекции SSL (HTTPS)НетДаДаТехнология фильтрации контентаДаДаДаСервис геопривязки внешних IPДаДаДаСервис Amazon VPCДаДаДаСервис Facebook Wi-FiДаДаДаТехнология Device HA ProНетДаДаВозможность управления точками доступа Wi-FiНетДаДаПоддержка технологии Nebula SD-WANДаДаДаФизические размеры216 x 143 x 33272 x 187 x 36300 x 188 x 44 ZyWALL VPN50/100/300 на правах старших моделей линейки Advanced VPN Firewall Series поддерживают полный набор функций, реализованных в младшем устройстве VPN2S, поэтому остановимся чуть подробнее на отличительных особенностях и самых интересных технологиях. Рисунок 6. Ключевые технологии ZyWALL VPN50/100/300  Вся линейка Advanced VPN Firewall Series оборудована аппаратными ускорителями шифрования. Помимо встроенной поддержки описанного ранее сервиса Content Filtering, старшие модели Advanced VPN Firewall Series снабжены технологией Geo Enforcer, с помощью которой можно прямо на карте мира отслеживать опасные IP-адреса. Это может применяться для блокировки адресов злоумышленников, пытающихся атаковать из определенных стран, или для ограничения доступа пользователей к определенным источникам данных. И Content Filtering, и Geo Enforcer предоставляются бесплатно на 1 год. Рисунок 7. Построение защищенных сетей с помощью ZyWALL VPN50/100/300  Другая интересная особенность — способность интегрироваться с Amazon Virtual Private Cloud (AWS VPC) посредством IPSec VPN, с целью реализации безопасного доступа к размещенным там корпоративным приложениям. Реализация указанной технологии позволяет обеспечить безопасное расширение корпоративной сети с помощью облака, используя при этом все преимущества построения современных гибридных инфраструктур. Кроме того, поддерживаются расширенные инструменты интеграции с провайдерами управляемых сервисов (MSP) с целью повышения уровня предоставления самих услуг, сокращения времени недоступности при сбоях для конечных пользователей и упрощения обслуживания сетевой инфраструктуры.Помимо поддержки описанных выше технологий балансировки самих соединений (Multi-WAN load balancing/failover и IPSec load balancing and failover), преимуществом моделей ZyWall, начиная с VPN50, является наличие механизма кластеризации и повышенной отказоустойчивости самих устройств. При развертывании внутри сети компании устройства собираются в кластер active-passive High-Availability (HA) или failover (в режиме соединения при сбоях). Для обслуживания указанных режимов компанией Zyxel разработан специальный инструмент Device HA Pro, обеспечивающий мгновенное «горячее» переключение при сбоях.ZyWALL VPN50/100/300 способны гибко управлять точками доступа Wi-Fi в компаниях любого масштаба, позволяя предоставлять своим клиентам и сотрудникам различные уровни доступа к сети. Например, можно разграничить зоны по помещениям, организовать бесплатный или платный доступ в интернет. В последнем случае поможет встроенная система регистрации пользователей, учета трафика, ведения биллинга и выставления счетов за услуги. Рисунок 8. Организация дополнительных сервисов с помощью ZyWALL VPN50/100/300 на примере построения сети в отеле  Интеграции в ZyWall VPN50/100/300 сервиса Facebook Wi-Fi может оказаться полезной для компаний из сферы услуг: магазины, рестораны, отели, торговые центры. Благодаря ей владельцы таких предприятий могут не только предоставить своим посетителям выход в интернет, но и сделать процесс авторизации удобным, с помощью поддержки современных методов с использованием социальных сетей (в данном случае — Facebook).Все устройства VPN50/100/300 поддерживают специально разработанное вендором решение Zyxel Nebula SD-WAN, которое реализует интеллектуальное управление трафиком на основе технологии построения программно-определяемых распределенных сетей. Nebula SD-WAN упрощает развертывание, обеспечивает удобное централизованное управление, повышает гибкость сети, а также увеличивает ее пропускную способность. Применение Nebula SD-WAN позволяет объединить устройства, развернутые на центральной площадке и в удаленных филиалах компании таким образом, что управление такой распределенной сети осуществляется из единой точки, а при каких-либо изменениях — новые конфигурации транслируются на все устройства автоматически. Рисунок 9. Ключевые преимущества технологии Zyxel Nebula SD-WAN  Nebula SD-WAN позволяет динамически выбирать и строить маршрут для каждого пакета, основываясь на определении задержек в сети, джиттера (изменения времени пинга) и частоты отбрасывания пакетов. Кроме того, технология обеспечивает снижение деградации в протоколе TCP (т. е. улучшаются характеристики), одновременную многопоточность (агрегируют всю полосу пропускания), способна отслеживать состояния с интернетом и динамически регулировать параметры соединения. Nebula SD-WAN реализует автоматическое предоставление ресурсов, что упрощает развертывание, настройки сети можно быстро передать на все площадки даже по электронной почте или на съемном флеш-накопителе, а встроенный оркестратор позволяет строить трехуровневую топологию и осуществлять мониторинг с помощью информативных дашбордов и инфографики. Устройства линейки VPN50/100/300 поддерживают технологию NebulaFlex, что позволяет им работать как в режиме Nebula SD-WAN, так и в режиме автономного шлюза безопасности. Устройства Zyxel ZyWall VPN линейки Business Firewall SeriesМодельный ряд класса решений Zyxel Business Firewall Series представлен устройствами ZyWall VPN 110/310/1100. Они, в зависимости от выбранной конфигурации, могут применяться для организации защищенного VPN-соединения в компаниях любого масштаба: от небольшой фирмы с точечными удаленными офисами, до крупной компании с штаб-квартирой и множеством территориально-распределенных площадок. Устройства Business Firewall Series оснащены современными процессорами и специальными аппаратными модулями шифрования, поддерживающими современные криптографические алгоритмы. Рисунок 10. Общий подход к построению VPN-сетей с помощью Zyxel Business Firewall Series на примере устройства ZyWall 1100  Zyxel Business Firewall Series способны обеспечивать надежные непрерывные VPN-соединения с поддержкой технологии dual-WAN failover (два одновременно подключенных канала доступа в интернет). Благодаря использованию двух соединений WAN, основного и резервного, в случае сбоев устройство автоматически переключается между ними, не оставляя пользователей без связи. Кроме этого, устройства Zyxel линейки Business Firewall Series предоставляют расширенный набор функций по обеспечению комплексного безопасного доступа сотрудников в интернет, которые во многом аналогичны описанным в прошлой статье технологиям, применяемым в унифицированных шлюзах безопасности Zyxel USG Series. Поэтому совпадающие функциональные возможности кратко перечислим, а на отличающихся остановимся подробнее. Таблица 3. Основные характеристики моделей USG20-VPN/USG20W-VPN/USG2200-VPNСпецификацияUSG20-VPNUSG20W-VPNUSG2200-VPN  Интерфейсы4 x LAN/DMZ, 1 x WAN, 1 x SFP4 x LAN/DMZ, 1 x WAN, 1 x SFP7 x GbE (конфигурируемые), 4 x SFP, (конфигурируемые), 2x 10G ComboПорты USB112Консольный портДа (RJ-45)Да (RJ-45)Да (DB9)Возможность монтажа в стойкуНетНетДаБесшумная технология охлажденияНетНетНетПропускная способность межсетевого экрана SPI (statefull packet inspection)350 Мбит/c350 Мбит/c25000 Мбит/cПропускная способность VPN90 Мбит/c90 Мбит/c2500 Мбит/cМаксимальное число одновременных TCP-сессий20 00020 0001 500 000Максимальное число одновременных туннелей IPSec VPN10103 000Максимальное число соединений SSL VPN15151 000Макс. число интерфейсов VLAN88128Максимальное число конкурентных авторизаций пользователей64645 000Максимальное число управляемых точек доступа (AP)НетНет1026АнтивирусНетНетНетМодуль предотвращения вторжений (IDP)НетНетНетАнтиспамДаДаДаТехнология фильтрации контента Content Filtering 2.0ДаДаДаТехнологии построения VPNIKEv2, IPSec, SSL, L2TP / IPSecIKEv2, IPSec, SSL, L2TP / IPSecIKEv2, IPSec, SSL, L2TP / IPSecРежим инспекции SSL (HTTPS)НетНетДаРежим быстрой настройки Easy ModeДаДаНетВозможность управления точками доступа Wi-FiНетНетДаБалансировка нагрузки / отказоустойчивость внешних каналов (Multi-WAN)ДаДаДаСервис Amazon VPCДаДаДаСервис Facebook Wi-FiДаДаДаТехнология Device HA ProНетНетДаРезервирование внешних соединений (Link Aggregation)НетНетНетФизические размеры216 x 143 x 33216 x 143 x 33438.5 x 500 x 89 Младшие в данном классе модели USG20-VPN/USG20W-VPN поддерживают упрощенный режим настройки EASY MODE, который специально рассчитан на пользователей из небольших компаний. При использовании этого режима настройка конфигурации выполняется с помощью удобных интегрированных программ-мастеров (wizard) с неперегруженным интерфейсом. В то же время наличие режима EASY MODE никоим образом не означает урезание функциональности и не ограничивает администраторов в дополнительных расширенных настройках.Помимо основной задачи — организации VPN-канала и технологий, ее обеспечивающих, — в USG20-VPN/USG20W-VPN возможно подключить по подписке сервисы антиспам и фильтрации контента. Напомним, что Zyxel использует антиспам-движок от партнера — CyREN. Рисунок 11. Ключевые технологии Zyxel USG20-VPN/USG20W-VPN/ USG2200-VPN  Построение VPN-сетей сегодня является повсеместным и востребовано компаниями совершенно любого масштаба, как безопасное и удобное решение для организации доступа к своим ресурсам для партнеров, заказчиков и сотрудников, находящихся вне офиса. Однако конфигурирование сетевых устройств — задача непростая даже для продвинутого пользователя. В Zyxel Business Firewall Series реализована технология быстрой настройки Easy VPN, позволяющая существенно упростить настройку устройств для типовых задач, например, организации соединения client-to-site IPsec VPN. Простой в использовании wizard (автоматизированный помощник) из пакета программного обеспечения, поставляющегося с Business Firewall Series, автоматически извлекает (скачивает) файл конфигурации из устройства, после чего для завершения настройки останется выполнить только три простых шага по подтверждению настройки сетевых параметров. Таблица 4. Основные характеристики моделей Zyxel ZyWall 110/310/1100СпецификацияZyxel ZyWall 110Zyxel ZyWall 310Zyxel ZyWall 1100Интерфейсы4 x LAN/DMZ, 1 x WAN, 1 x SFP8 x GbE (конфигурируемые)8 x GbE (конфигурируемые)Порты USB222Консольный портДа (DB9)Да (DB9)Да (DB9)Возможность монтажа в стойкуДаДаДаБесшумная технология охлажденияНетНетНетПропускная способность межсетевого экрана SPI (statefull packet inspection)1 600 Мбит/c5 000 Мбит/c6 000 Мбит/cПропускная способность VPN400 Мбит/c650 Мбит/c800 Мбит/cМаксимальное число одновременных TCP сессий150 000500 0001 000 000Максимальное число одновременных туннелей IPSec VPN50100300Максимальное число соединений SSL VPN150150500Макс. число интерфейсов VLAN1664128Максимальное число конкурентных авторизаций пользователей308001 500Максимальное число управляемых точек доступа (AP)3434130АнтивирусДаДаДаМодуль предотвращения вторжений (IDP)ДаДаДаАнтиспамДаДаДаТехнология фильтрации контента Content Filtering 2.0ДаДаДаТехнологии построения VPNIKEv2, IPSec, SSL, L2TP / IPSecIKEv2, IPSec, SSL, L2TP / IPSecIKEv2, IPSec, SSL, L2TP / IPSecРежим инспекции SSL (HTTPS)ДаДаДаРежим быстрой настройки Easy ModeНетНетНетВозможность управления точками доступа Wi-FiДаДаДаБалансировка нагрузки / отказоустойчивость внешних каналов (Multi-WAN)ДаДаДаСервис Amazon VPCДаДаДаСервис Facebook Wi-FiДаДаДаТехнология Device HA ProДаДаДаРезервирование внешних соединений (Link Aggregation)НетДаДаФизические размеры300 x 188 x 44430 x 250 x 44430 x 250 x 44 Набор дополнительных расширений и подключаемых сервисов в современных устройствах построения VPN-сетей практически стирает границы между ними и универсальными шлюзами безопасности (USG или UTM). Zyxel Business Firewall Series здесь не исключение. Помимо технологий, описанных выше, модели Zyxel ZyWall 110/310/1100 оснащены системой предотвращения вторжений (Intrusion Detection and Prevention — IDS/IPS), инспектором приложений (Application Patrol), антивирусом Zyxel AV (движок от партнера — Bitdefender). Рисунок 12. Ключевые технологии Zyxel ZyWall 110/310/1100  Сервисы и лицензирование межсетевых экранов с VPN компании ZyxelНапомним, что все корпоративные устройства Zyxel реализуют полный набор технологий, доступный для каждой серии, а активация той или иной функциональности происходит посредством подключения необходимой лицензии. Производителем поддерживается модульность в следующем виде:Комплексная подписка на все сервисы безопасности Zyxel (AS, AV, CF, IDP/DPI).Подписка на сервис Zyxel CF (контентная фильтрация).Лицензия Zyxel на увеличение числа одновременных SSL VPN.Подписка на сервис Zyxel AV (антивирус).Подписка на сервис Zyxel IDP/DPI (обнаружение/предотвращение вторжений и патруль приложений).Подписка на сервис Zyxel AS (антиспам).Лицензия Zyxel SecuReporter.Лицензия Zyxel на увеличение числа управляемых точек доступа.Комплект лицензий Zyxel для IPSec VPN-клиента.Лицензия Zyxel для Cloud CNM SecuManager.Таким образом, политика лицензирования компании Zyxel предоставляет максимальную гибкость при поставке межсетевых экранов с VPN для разных компаний с индивидуальными потребностями, а также позволяет добиться оптимального баланса стоимости, производительности и безопасности.Дополнительно Zyxel предлагает воспользоваться Сервисом по удаленной настройке оборудования и Сервисом по опережающей замене оборудования в случае выхода из строя. ВыводыЗадача организации защищенного удаленного доступа рано или поздно возникает в любой компании, даже с самым консервативным подходом к построению сети и концепцией «замкнутого периметра, без доступа в интернет». Поэтому устройства создания корпоративной VPN-сети будут все более востребованы. Компания Zyxel при разработке межсетевых экранов с VPN делает ставку на широкий модельный ряд, надежность, простоту настройки и политику гибкого лицензирования дополнительных функций. Поддерживаются все популярные типы шифрованных соединений (site-to-site, client-to-site, разные виды туннелирования), современные протоколы (SHA-2, IKEv2), реализована отказоустойчивость (WAN-каналов, VPN-соединений, кластеризация самих устройств). Подключение технологий обнаружения и предотвращения вторжений (IDP), контроля приложений, антивируса, антиспама, модуля контентной фильтрации, инспекция SSL-трафика и вовсе размывает и без того тонкую грань между VPN-устройствами и комбинированным универсальным шлюзом безопасности (USG).Отдельно стоит отметить фокус на SMB-сегмент. Компания Zyxel действительно заботится о пользователях и реализует всевозможные методы упрощенного управления и администрирования «в несколько кликов», которые особенно актуальны для решения базовых задач. Такой подход видится перспективным, благодаря ему Zyxel способен получить заметную долю рынка, особенно в отдельном сегменте.

Читать далее