Межсетевой экран ZyWALL 5 EE
ростом числа компьютеров, имеющих доступ в Интернет, будь то домашние ПК пользователей или компьютеры в составе корпоративной локальной сети, угрозы, связанные с проявлением нежелательной Интернет-активности, растут экспоненциально. В связи с этим все большую актуальность приобретают задачи обеспечения сетевой безопасности, контроля доступа в Интернет и организации защищенной совместной работы пользователей корпоративной сети. Более того, сегодня уже можно констатировать, что словосочетания «доступ в Интернет» и «обеспечение сетевой безопасности» немыслимы одно без другого.
Понятно, что проблема обеспечения сетевой безопасности решается по-разному в различных случаях. К примеру, для домашнего пользователя или для домашней сети, в которую входит не более четырех ПК, вполне достаточно возможностей, заложенных в маршрутизатор, который нередко совмещается с беспроводной точкой доступа и ADSL-модемом. Что касается корпоративных сетей, то здесь довольно популярным решением является использование специализированных программных средств защиты. Однако в этом случае приходится выделять специализированный ПК, который выполняет функцию межсетевого экрана.
В то же время на рынке имеются и специализированные аппаратные сетевые экраны, предоставляющие комплексное решение по обеспечению политики сетевой безопасности. Примером подобных аппаратных решений могут служить сетевые экраны компании ZyXEL, составляющие серию ZyWALL.
В этой статье мы рассмотрим функциональные возможности межсетевого экрана ZyWALL 5 EE, который относится к категории сетевых устройств класса SOHO и ориентирован на использование в малых офисах с числом сотрудников от 5 до 20 человек.
Функциональные возможности
ежсетевой экран ZyWALL 5 EE предназначен для организации защищенного доступа в Интернет и в корпоративную сеть, а также для использования в тех случаях, когда наряду с защищенным доступом стоит задача организации высокоскоростной беспроводной сети (802.11g) и демилитаризованной зоны (DMZ-зона) для размещения Web-серверов и других Интернет-приложений. Кроме того, ZyWALL 5 EE может использоваться и в крупных корпоративных сетях, когда ставится задача прозрачно отделить сегмент локальной сети (например, один из отделов компании) и предоставить для него повышенный уровень безопасности.
Конструктивно межсетевой экран ZyWALL 5 EE выполнен в металлическом корпусе, который допускает как настольное расположение, так и монтаж в стойку, для чего в комплект включены соответствующие крепления. При этом габариты устройства составляют 242x175x35,5 мм, а вес 1,2 кг.
На передней панели устройства расположен WAN-порт (10/100Base-TX) для подключения межсетевого экрана к внешней сети (Интернет) и четыре LAN-порта (10/100Base-TX) для подключения ZyWALL 5 EE к внутренней локальной сети.
На задней панели устройства расположены два порта RS-232 для локального управления и резервирования доступа в Интернет (до 150 Кбит/с) и слот для PC-карты 802.11b/g. При использовании беспроводной карты ZyXEL G-110 имеется возможность развертывания защищенной беспроводной сети стандарта 802.11g с возможностью подключения внешних направленных антенн. Для защиты беспроводной сети может применяться шифрование данных WEP и WPA, а также протокол авторизации 802.1х
В соответствии с технической документацией производительность межсетевого экрана составляет 80 Мбит/с. При этом в качестве межсетевого экрана ZyWALL 5 EE осуществляет пакетную фильтрацию и фильтрацию IP-протоколов. Кроме того, межсетевой экран ZyWALL 5 EE обладает возможностью контроля пакетов с учетом состояния протокола (SPI). В сравнении с обычным пакетным фильтром это позволяет пропускать из Интернета только ответы на запросы, инициированные из внутренней сети, и блокировать любую активность со стороны внешней сети.
Встроенный механизм защиты от атак типа DoS и DDoS обеспечивает компании безопасную работу даже в условиях массированных атак со стороны хакеров.
Еще один круг задач, решаемых межсетевым экраном ZyWALL 5 EE, организация защищенных частных виртуальных сетей по протоколу IPSec с аппаратным шифрованием VPN-туннелей. Чтобы связать локальные сети филиалов компании, не нужно создавать собственную выделенную сеть передачи данных межсетевой экран организует закрытые каналы через Интернет и обеспечивает высокий уровень конфиденциальности передаваемых данных. Всего межсетевой экран ZyWALL 5 EE поддерживает до 10 одновременных IPSec VPN-соединений, а пропускная способность VPN-туннеля составляет до 25 Мбит/с при использовании 3DES/AES-шифрования.
Помимо этого межсетевой экран ZyWALL 5 EE обладает средствами контроля содержимого (Web Content Filtering), закрывая или открывая доступ к определенным Интернет-ресурсам на основании корпоративной политики. При этом можно как самостоятельно вести список запрещенных Интернет-ресурсов, так и использовать постоянно обновляемую централизованную базу данных, размещенную на сервере my.zyxel.com.
Механизм работы сервера основан на технологии Web-фильтрации компании Blue Coat, которая ежедневно осуществляет мониторинг миллионов сайтов, относя их к той или иной категории.
Управление и настройка межсетевого экрана ZyWALL 5 EE возможны как локальные (с использованием интерфейса RS-232), так и сетевые (с использованием Web-браузера). Интерфейс Web-управления сравнительно прост и в то же время предполагает поистине огромное количество всевозможных настроек.
Для настройки межсетевого экрана с использованием Web-браузера достаточно подключить к LAN-порту компьютер и сконфигурировать его сетевые настройки таким образом, чтобы он находился в той же подсети, что и межсетевой экран (по умолчанию IP-адрес ZyWALL 5 EE равен 192.168.1.1). Далее, используя Web-браузер и задав в качестве адреса IP-адрес межсетевого экрана, попадаем в главное окно программы настройки, в котором отображаются текущие настройки устройства. Из этого же окна программы осуществляется доступ к сетевым настройкам, настройкам безопасности и дополнительным настройкам.
Сетевые настройки предназначены для задания IP-адреса и маски подсети межсетевого экрана, назначения сетевого адреса WAN-порта, конфигурирования DMZ-зоны и настройки беспроводной сети (в случае использования дополнительной беспроводной PC-карты).
Настройки безопасности соединения позволяют настраивать Firewall, фильтр контента (Web Content Filtering), а также VPN-соединение и доступ к RADIUS-серверу.
Дополнительные настройки межсетевого экрана ZyWALL 5 EE дают возможность управлять протоколом NAT и полосой пропускания, создавать таблицу статической маршрутизации и делать многое другое.
Тестирование
ля тестирования межсетевого экрана ZyWALL 5 EE была развернута сеть на базе двух ПК и самого межсетевого экрана. Один из компьютеров имитировал внешнюю сеть (Интернет) и подключался к WAN-порту межсетевого экрана, в то время как другой имитировал внутреннюю сеть и подключался к LAN-порту.
На обоих компьютерах устанавливалась операционная система Microsoft Windows XP Professional SP2. Тестирование производительности выполнялось при помощи специального программного обеспечения NetIQ Chariot версии 5.0, разработанной специально для тестирования сетевого оборудования.
Посредством программного пакета NetIQ Chariot 5.0 измерялся трафик по протоколу TCP между компьютерами, подключенными к межсетевому экрану, для чего в течение 5 минут запускались модифицированные скрипты Filesndl.scr (File Send) и Filercvl.scr (File Reciever).
На первом этапе тестирования рассматривалась скорость маршрутизации пакетов при различных настройках межсетевого экрана между внутренней и внешней сетями без использования демилитаризованной зоны.
Сетевые настройки компьютеров и портов межсетевого экрана указаны в табл. 1.
Таблица 1. Сетевые настройки компьютеров и межсетевого экрана
Измерялась максимальная скорость передачи данных в направлении LAN -> WAN (для этого использовался скрипт Filesndl.scr) и в направлении WAN->LAN WAN (применялся скрипт Filercvl.scr). Тестирование производилось как при активированных Firewall и протоколе NAT, так и при их отключении.
Результаты теста отображены в табл. 2.
Таблица 2. Результаты тестирования производительности межсетевого экрана
Как следует из результатов тестирования, заявленная в технической документации скорость маршрутизации порядка 80 Мбит/с достигается только при отключении Firewall и протокола NAT, то есть когда межсетевой экран фактически перестает выполнять свои функции. В случае же активации протокола NAT и Firewall скорость передачи данных между внутренней и внешней сетями не превышает 36 Мбит/с. Однако справедливости ради отметим, что данной полосы пропускания более чем достаточно для обеспечения разделяемого доступа в Интернет и вряд ли возможна ситуация, когда в малом офисе с числом сотрудников не более десятка используется более производительный канал подключения к Интернету.
На втором этапе рассматривалась скорость маршрутизации между внешней сетью и компьютером, размещенным в демилитаризованной зоне. Для этого один из портов межсетевого экрана конфигурировался как DMZ-порт. Тестирование производилось при отключенном NAT-протоколе. Данные передавались как в направлении LAN -> WAN, так и в обратном направлении. Сетевые настройки компьютеров и портов межсетевого экрана указаны в табл. 3.
Таблица 3. Сетевые настройки компьютеров и межсетевого экрана при использовании DMZ-зоны
По результатам тестирования скорость маршрутизации WAN -> DMZ составляет 52,5 Мбит/с, а скорость в обратном направлении 51,7 Мбит/с, что более чем достаточно для любого Интернет-канала.
Редакция выражает признательность представительству компании ZyXEL (www.zyxel.ru) за предоставление для тестирования межсетевого экрана ZyWALL 5 EE.