«Черепаха» — особое построение римских легионеров.
До сих пор существует практика разделять подход к безопасности для небольших компаний и для крупного бизнеса. С одной стороны, вроде бы логика в этом прослеживается. Якобы для штаб-квартиры в столице требуется высокий уровень безопасности, а для небольшого филиала — уровень попроще и пониже.
Но, может быть, стоит посмотреть с другой стороны? Владельцы хотят максимально обезопасить свой бизнес, даже если он небольшой. А если государственная организация находится не в столице, то это не значит, что она должна работать с перебоями только потому, что в ИТ из-за проблем с безопасностью что-то нарушилось и никак не восстановят.
Когда вместо того, чтобы взламывать хорошо оберегаемый центральный узел, достаточно получить доступ к менее защищённой сети филиала — это уже давно является классикой жанра. А сетевые администраторы постоянно решают множество интересных проблем из-за необходимости поддерживать одновременно целый «зоопарк» линеек оборудования: «посерьёзнее и подороже» для штаб-квартиры и «попроще и подешевле» для филиалов и небольших предприятий.
С другой стороны, и на уровне Enterprise возникает ситуация, что любое локальное решение может быть недостаточным. Проще говоря, какую сверхмощную «железку» ни поставишь — её возможностей всё равно будет мало.
Zyxel знает про эти проблемы и предлагает комплексный подход для решения.
Во-первых, можно сделать продуктовую линейку соответствующих устройств более широкой. Включающей оборудование как для небольшой сети, так и для крупной ИТ инфраструктуры.
Во-вторых, подключить внешние облачные сервисы. Тогда небольшие мощности используемого «железа» компенсируются за счёт возможностей облака.
Ниже мы разберём, как это выглядит на практике. Забегая вперёд, стоит сказать, что речь пойдёт о недавно поступившей в продажу платформе USG FLEX.
Почему облачные технологии так важны?
Коллективная защита
Количество угроз постоянно растёт. Если ограничить выбор только в пользу обычных локальных средств, то потребуется всё больше ресурсов. И всё больше усилий будет уходить на постоянную модернизацию, постоянный контроль ресурсов, попытки снизить нагрузку на шлюз безопасности и так далее.
Борьба средств безопасности против сетевых угроз — это уже не классический сценарий «самый твёрдый наконечник против самого крепкого щита», сейчас ситуация стала значительно интересней. Представьте себе поле боя, когда количество копий, мечей, секир и других атакующих объектов несётся на вас со всех сторон, а у вас в руках один щит. Тут самое время попросить помощи у соратников. Если сложить щиты в плотную конструкцию, можно отразить гораздо больше атак с самых разных сторон, нежели в одиночку.
В 5 веке до нашей эры римская армия, до этого копирующая боевое построение греков — фалангу, кардинальна сменила тактику в пользу манипульного построения пехотинцев (см. рисунок выше). Современники в то время «крутили пальцем у виска», предрекая Риму скорое поражение. Однако смелый ход оправдал себя и позволил Риму уверенно побеждать на протяжении следующих 600 лет.
Примерно такой подход реализован в облаке. Облачные решения позволяют использовать мощные центральные ресурсы и перехватить большую часть угроз. С другой стороны, расширенный сбор информации об угрозах позволяет быстрее выработать средства защиты и распространить их между подписчиками.
Это интересно. Уже в следующей прошивке будет выпущена полноценная поддержка централизованного облака Zyxel Nebula. Появится возможность использовать облачные ресурсы не только для защиты, но и реализовать централизованное управление крупной сетевой инфраструктурой, подключившись к облаку. Новая прошивка планируется в марте 2021 года.
Что делается для повышения защиты?
В облако Zyxel Security Cloud поступают данные об угрозах из различных источников. В свою очередь межсетевые экраны серии USG FLEX используют облачную базу данных в режиме Cloud Query Express, которая включает миллиарды сигнатур.
То есть это не скромная локальная антивирусная база, целиком загружаемая из Интернет, а гораздо более мощная конструкция. Если говорить о скорости взаимодействия, то функция Cloud Query проверяет хэш-код подозрительного файла за несколько секунд и при этом точно диагностирует угрозу.
Если говорить о количественных показателях, то при работе в режиме Cloud Query Express были получены результаты дополнительного прироста производительности UTM до 500%. При этом уровень потребления локальных вычислительных ресурсов не растёт, а снижается за счёт использования облачных мощностей, высвобождая локальные ресурсы для других задач.
Проще говоря, есть какое-то вычислительное устройство. Мы можем её нагрузить анализом трафика, или можем озадачить другими вещами, например, управлением точками доступа. И таких полезных задач в единицу времени может быть решено гораздо больше благодаря «облаку».
В целом, за счёт использование более современной платформы рост производительности межсетевого экрана достигает 125%.
Откуда поступают данные о вредоносных элементах?
В облачной базе данных, поддерживающей USG FLEX, собираются подробные сведения, предоставляемые ведущими компаниями и организациями в области кибербезопасности для накопления информации о проблемных файлах и данных об угрозах. Сбор информации происходит постоянно в режиме реального времени. Мощная база данных позволяет повысить точность выявления вредоносного кода.
Отдельно стоит отметить хорошую контекстную фильтрацию, а также специальный фильтр CTIRU (Counter-Terrorism Internet Referral Unit) для ограничения доступа к экстремистской информации. В последнее время, к сожалению, эта функция становится необходимой.
Давайте попробуем «галопом-по-европам» пробежаться по основным ступенькам защиты, предоставляемым USG FLEX.
Среди функций безопасности стоит выделить такие возможности, как:
- антивирусная защита;
- антиспам;
- фильтрация URL и IDP для отражения атак извне;
- Патруль приложений;
- контентная фильтрация (вместе с Патрулем приложений эти функции блокируют доступ пользователей к посторонним приложениям и web-сайтам);
- инспекция SSL с поддержкой TLS 1.3. (для анализа защищённого трафика).
Применение этих сервисов позволяет ликвидировать слабые места в системе защиты корпоративной сети.
Аналитические отчёты и углублённый анализ угроз
В принципе, у Zyxel всегда было неплохо со статистикой и построение отчётов. В USG FLEX это поучило дальнейшее развитие. Графические диаграммы по статистике угроз, сводка статистики по трафику выводятся на главной консоли межсетевых экранов, это позволяет быстро понять, что происходит в сети.
Сервис SecuReporter предоставляет детальный анализ угроз, что даёт возможность вовремя проследить изменения в сети и вовремя избежать неприятностей.
Когда все события отображаются на одной централизованной консоли — это удобно. Управлять разными клиентами и устройствами теперь стало проще.
Не только безопасность
Как говорится, безопасность — безопасностью, но ещё и работать надо. Что предлагается для организации работы в USG FLEX?
Много разных VPN
Серия USG FLEX поддерживает VPN на основе IPsec, L2TP, SSL. Это позволяет не только организовать межсайтовое взаимодействие по защищённым каналам (полезно для крупных организаций с большим числом филиалов), но и наладить безопасный доступ к корпоративной сети удалённым работникам или малым «полевым» офисам.
Немаловажную роль играют возможности удалённой настройки. Удалённый доступ с нулевой конфигурацией упрощает настройку. В том числе, даже если нет ИТ-поддержки на местах — всё равно можно настроить подключение по VPN к удалённому офису.
Для чего нужна расширенная подписка?
При построении защищённых сетей возникает противоречивая ситуация. С одной стороны, необходимо установить высокий уровень безопасности без разделения предприятий на малые и большие (бедные и богатые, столичные и провинциальные и так далее). С другой стороны, для каждой ситуации необходим индивидуальный подход. Порой приходится работать максимально гибко, с привлечением набора дополнительных, но необязательных функций. Для этого и существует расширенная подписка
Расширенная подписка добавляет лицензии на Unified Threat Management для поддержки функций:
- Web Filtering — Блокирование доступа к опасным и подозрительным web-сайтам;
- IPS (IDP) — проверка пакетов на наличие вредоносного кода;
- Application Patrol — анализ поведения приложений, их классификация ранжированный подход в использовании сетевых ресурсов;
- Anti-Malware —проверка файлов и выявление опасных «сюрпризов» с использованием облачных мощностей;
- Email Security — поиск и блокировка спама, а также защита от фишинга посредством электронной почты;
- SecuReporter — расширенный анализ в области безопасности, построение подробных отчётов.
Пакет сервисов Hospitality
USG FLEX создан не только для обеспечения прямых функций безопасности, но и для контроля сети. Набор функций для Hospitality позволяет автоматически обнаруживать и производить конфигурацию точек доступа. Также в пакет входят: управление хот-спотами (биллинг), управление точками доступа с поддержкой Wi-Fi 6, различные функции управления доступом к сети и увеличение максимально допустимого числа авторизованных пользователей.
Проще говоря, Hospitality Pack служит именно для расширения возможностей контроллера беспроводной сети (сам по себе встроенный контроллер уже может автоматически обнаруживать и производить конфигурацию до 8 точек доступа, в том числе Wi-Fi 6). Hospitality Pack позволяет увеличить количество точек и авторизованных пользователей до максимума, добавить возможности биллинга и поддержки принтеров печати квитанций.
Есть отдельные бессрочные лицензии на увеличение количества точек (+ 2/4/8/64 AP), на увеличение количества авторизованных пользователей (+100/300) и на функцию биллинга с поддержкой принтеров.
Примечание. Hospitality — это индустрия гостеприимства (отели, рестораны, кафе...), и для неё больше всего подходит данный набор функций. Однако новые возможности не ограничены этой сферой бизнеса. Например, увеличение количества точек и авторизованных пользователей набор может потребоваться в крупных компаниях с большим количеством «приходящих» сотрудников.
Панель инструментов серии USG FLEX предоставляет удобную для пользователя сводку трафика и визуальную статистику угроз.
SecuReporter расширяет возможности для дальнейшего анализа угроз с разработкой функции корреляции. Это позволяет не ликвидировать последствия, а предотвращать опасные события. Централизованный подход к анализу сетевых операций позволяет управлять сразу несколькими клиентами.
Миграция без усилий и проблем
Если используются лицензии серии USG — в этом случае USG FLEX обеспечивает бесшовную миграцию лицензий. Можно обновить систему защиты до новой комплектной лицензии UTM 6-в-1 более полной версии защиты. Подробнее об этом можно посмотреть в видео.
Подробнее об устройствах USG FLEX
Прежде чем приступим к описанию, остановимся на ключевых моментах.
Как было сказано выше, очень важно обеспечить единообразие среди используемого оборудования. Зачастую системные администраторы сталкиваются с проблемой, когда слабое оборудование уровня СМБ или даже SOHO (начальный уровень) требуется увязать с мощными решениями уровня Enterprise.
Тут возникает масса интересных «сюрпризов». Мало того, что слабые устройства для совсем малых (квартирных) сетей могут не поддерживать нужные протоколы (или поддерживать их только «на бумаге»), так ещё и настройка всего этого «хозяйства» может занять значительное время. Несмотря на то, что процедура настроек, в принципе, похожа, на практике могут возникать неожиданные нюансы. При этом разработчики интерфейсов управления порой проявляют недюжинную фантазию, а вот желание написать хорошую подробную документацию встречается гораздо реже.
В Zyxel при разработке новых устройств документации уделяется большое значение, а широкая линейка позволяет унифицировать операции по настройке и обслуживанию.
Совет. Чтобы получить устройство на тест, нужно прислать запрос по адресу: Sales_rusc@zyxel.eu
Если говорить про USG Flex, то данная линейка на данный момент содержит целых 5 устройств:
- USG FLEX 100 и версию с точкой доступа Wi-Fi USG FLEX 100W.
- USG FLEX 200;
- USG FLEX 500;
- USG FLEX 700.
Важно отметить, что все они поддерживают одинаковые протоколы VPN, функцию контроллера точек доступа (8 точек со стандартной лицензией при покупке), антивирус, антиспам, IDP (обнаружение и предотвращение вторжений), Патруль приложений, контентную фильтрацию, возможность подключить SecuReporter Premium по подписке.
Ниже мы остановимся подробно на каждой модели USG FLEX.
Описание USG FLEX 100
Это самый простой, экономичный, но, тем не менее, надёжный вариант защиты для небольших филиалов и малых сетей.
Устройство мало потребляет, питание осуществляется от внешнего адаптера на 2A, 12V постоянного тока.
Имеет 4 порта LAN/DMZ, 1 порт WAN, 1 порт SFP.
Также присутствует порт USB, через который можно подключит USB-модем для создания резервного канала.
Рисунок 1. Внешний вид USG FLEX 100.
Несколько слов о USG FLEX 100W
В принципе, модель USG FLEX 100W отличается от модели USG FLEX 100 только встроенным модулем Wi-Fi.
Характеристики Wi-Fi:
- Соответствие стандартам — 802.11 a/b/g/n/ac
- Частота радиосвязи — 2.4 / 5 ГГц
- Количество радио модулей — 2
- Количество SSID — 8
- Количество антенн — 3 съёмные антенны
- Усиление антенны — 2 дБи @ 2.4 ГГц
- Скорость передачи данных — 802.11n: до 450 Мбит/сек, 802.11ac: до 1300 Мбит/сек.
Рисунок 2. Внешний вид USG FLEX 100W.
Как уже было сказано выше, основные отличия лежат в количественных показателях:
- Пропускная способность SPI (Мбит/сёк) — 900
- Пропускная способность VPN (Мбит/сёк) — 270
- Пропускная способность IDP(Мбит/сёк) — 540
- Пропускная способность AV (Мбит/сёк)— 360
- Пропускная способность UTM (AV и IDP) — 360
- Максимум одновременных TCP сессий — 300,000
- Максимум одновременных туннелей IPSec — 40
- Максимум одновременных туннелей SSL — 30
Описание USG FLEX 200
А это уже вариант немного мощнее.
Имеет 4 порта LAN/DMZ, 1 порт SFP, но есть отличие — 2 два порта WAN (вместо одного в USG FLEX 100), что позволяет организовать отказоустойчивую схему с двумя проводными провайдерами.
Для питания нужен уже блок на 2,5A 12V постоянного тока.
Рисунок 3. Внешний вид USG FLEX 200.
По производительности и пропускной способности показатели также выше:
- Пропускная способность SPI (Мбит/сёк) — 1,800
- Пропускная способность VPN (Мбит/сёк) — 450
- Пропускная способность IDP(Мбит/сёк) — 1,100
- Пропускная способность AV (Мбит/сёк) — 570
- Пропускная способность UTM (AV и IDP) — 550
- Максимум одновременных TCP сессий — 600,000
- Максимум одновременных туннелей IPSec — 100
- Максимум одновременных туннелей SSL — 60
- VLAN интерфейсы — 16
Если сравнивать с более мощными моделями (о которых пойдет речь ниже), USG FLEX 200 всё-таки создан для сравнительно небольших нагрузок и кабинетного размещения. Об этом говорит и небольшой корпус, и внешний блок питания.
Но, тем не менее, USG FLEX 200 способен обеспечить хорошую поддержку сети в плане безопасности и организации работы сетевых сервисов, таких как управление точками доступа.
Описание USG FLEX 500
Это ещё более мощное устройство, имеет 7 конфигурируемых портов. Также присутствует 1 порт SFP и 2 порта USB 3.0
Примечание. Конфигурируемые порты позволяют избежать привязки к конкретному сценарию использования: нужно 1 порт WAN и 6 LAN — нет проблем, нужно организовать отказоустойчивую схему на 3 проводных канала — можно легко переназначить 3 WAN и 4 LAN порта.
Видно, что это универсальное устройство для решения широкого спектра задач.
Для питания нужен ещё более мощный блок — 4.17А, 12V постоянного тока.
Для охлаждения внутри корпуса используется вентилятор, поэтому может создаваться шум. USG FLEX 500 — скорее устройство для серверной или для кроссовой комнаты, нежели для компактного размещения в офисном пространстве.
Рисунок 4. Внешний вид USG FLEX 500.
Разумеется, по сравнению с предыдущими моделями, производительность отличается в большую сторону:
- Пропускная способность SPI (Мбит/сёк) — 2,300
- Пропускная способность VPN (Мбит/сёк) — 810
- Пропускная способность IDP(Мбит/сёк) — 1,500
- Пропускная способность AV (Мбит/сёк) — 800
- Пропускная способность UTM (AV и IDP) — 800
- Максимум одновременных TCP сессий — 1,000,000
- Максимум одновременных туннелей IPSec — 300
- Максимум одновременных туннелей SSL — 150
- VLAN интерфейсы — 64
Описание USG FLEX 700
Это устройство появилось позже всех, его можно назвать флагманом линейки. Имеет целых 12 конфигурируемых портов, 2 порта SFP, 2 порта USB 3.0
Питание производится из стандартной сети переменного тока 100-240V, 50/60Hz, ~2.5А.
Для охлаждения применяется встроенный вентилятор.
Это классическое устройство для серверной или кроссовой, с широкими возможностями как для обеспечения безопасности, так и для организации работы сети.
Рисунок 5. Внешний вид USG FLEX 700.
Имеет самую высокую производительность из всех USG FLEX на данный момент
- Пропускная способность SPI (Мбит/сёк) — 5,400
- Пропускная способность VPN (Мбит/сёк) — 1,100
- Пропускная способность IDP(Мбит/сёк) — 2,000
- Пропускная способность AV (Мбит/сёк) — 1,450
- Пропускная способность UTM (AV и IDP) — 1,350
- Максимум одновременных TCP сессий — 1,600,000
- Максимум одновременных туннелей IPSec — 500
- Максимум одновременных туннелей SSL — 150
- VLAN интерфейсы — 128
—
Подведём небольшой итог:
- И большие и малые сети требуют заботы о безопасности.
- Облачные решение упрощают построение и обслуживание защищённой сети.
- Новая линейка Zyxel USG FLEX как раз для этого и создавалась.
Полезные ссылки
- Telegram chat Zyxel
- Форум по оборудованию Zyxel
- Много полезного видео на канале Youtube
- Преимущества USG FLEX
- Полезная статья в КБ о USG FLEX
- Видео: Перенос лицензий с устройств USG на устройства USG FLEX Series
- Описание USG-FLEX-100
- Описание USG-FLEX-100W
- Описание USG-FLEX-200
- Описание USG-FLEX-500
- Описание USG-FLEX-700