合勤ZyWALL USG 1000支援反向代理及連接器等2種SSL VPN通道

合勤ZyWALL USG 1000的前身是ZyWALL 1050，屬於中階等級的UTM設備，硬體方面採用1顆Pentium M 1.8GHz處理器，搭配自行開發的SecuASIC晶片處理IPS、防毒的運算工作，此外，也有1顆專用的VPN加、解密晶片，具備350Mbps的防火牆效能。由於內建了1GB記憶體，因此連線數可達200,000個。

設備內建5個GbE網路埠，其中第1組是LAN埠，其他分別是WAN及DMZ埠，採2埠、2埠方式預置，而且可隨著需求不同彈性變更角色。除此之外，ZyWALL USG 1000還內建了2組USB埠及1個PCMCIA插槽，連接3.5G網卡做為備援線路使用。

Web介面支援正體中文，可降低設定難度

ZyWALL USG 1000的Web介面支援正體中文的語系，有助於我們理解各項功能的設定，使用TCP 8080、443做為HTTP及HTTPS的通訊埠，所以不必修改，就可以讓使用者透過外部網路存取Exchange的OWA。如同其他兩款送測設備，這款UTM也提供了設定精靈的介面，可由此完成網路連線及IPsec VPN的設置，初次設定時，需向myZyXEL.com申請帳號，用於註冊設備，也可以在上面申請閘道防毒、IPS及Blue Coat網頁過濾服務的一個月試用授權。

VPN提供三種通道模式，其中SSL VPN具備反向代理及連接器連線兩種存取模式

設備具備L2TP、IPsec及SSL VPN三種通道模式，除了單採Preshared Key驗證的IPsec VPN之外，其餘兩者皆可透過本機帳號、LDAP及RADIUS等3種常見的帳號資料庫，去檢查使用者輸入的連線資料是否正確。

LDAP的設定相當簡單，僅需要指定LDAP伺服器的IP位址，並輸入Bind DN、Based DN，及網域管理者的密碼之後，就能連立連線。

IPsec VPN的用戶端工具上，原廠提供了ZyWALL IPsec VPN Client軟體，這部份的設定較為複雜，需留意用戶端程式與伺服器之間的驗證、加密設定是否一致，才能成功建立VPN通道。

很特別的是，ZyWALL USG 1000的SSL VPN具備反向代理及透過連接器連線的兩種模式，功能上己經相當接近單一功能的SSL VPN設備，在整合SSL VPN 的UTM設備上相當少見。

防護功能完整，可透過應用層防火牆精確管理通訊埠流量

就防護功能而言，除了傳統的第4層防火牆之外，這臺UTM也提供了應用層防火牆的機制，也就是所謂的應用程式巡查，可進一步管理通訊埠內部的封包傳輸，避免原本應該要禁用的應用程式利用跳埠的方式突破防火牆封鎖，除此之外，也能在這裡設定頻寬分配的優先等級。

閘道防毒、IPS及網頁過濾三項服務，可透過線上方式持續更新，設備預設每天執行一次更新工作，最短可以設定為每小時檢查一次更新。閘道防毒有合勤自行維護的掃毒引擎及Kaspersky兩種模組可供選擇，更新病毒碼使用上皆需要付費才能進行，設備預設針對從外部網路進入內部的流量採取防護，範圍包含HTTP、FTP及Mail三種服務的封包。

對於壓縮檔的處理，可以選擇略過或者直接丟棄無法解開的壓縮檔（例如設定密碼加密），以維持設備過濾封包的效能。

設備主要是利用RBL及黑、白名單兩種方式過濾垃圾郵件，RBL資料庫的部份可以自行定義網路上的RBL資料庫來源，查詢郵件的來源IP位址是否名列其中，至於黑、白名單可針對郵件的主旨、寄件者信箱、IP來源，及郵件標頭四種項目設立關鍵字的過濾規則，測試過程中，我們發現設備對於關鍵字的過濾有大小寫的區別，這是值得加以注意的一點。

對於垃圾郵件的處理，可以選擇直接丟棄、放行，或者在主旨前方加上標籤後放行，利用收信軟體的郵件規則，由使用者自行處理。

在只有開啟防火牆功能（應用層防火牆關閉）的情況下，我們所測得的速度為37.62Mbps，個別加入IPS、閘道防毒兩項功能之後，設備的效能分別下降至11.67及15.95Mbps，至於功能全開的數據則為9Mbps。

可連接3.5G網卡，建立備援線路

ZyWALL USG 1000是這次唯一可連接3.5G網卡的送測設備。接上相容的網卡之後（我們使用華為的E220），設備就會自行偵測，並在Web介面的首頁顯示裝置目前的狀態。

操作上並不需要太多的設定便能連接3.5G網路，僅需要將網卡的角色定義為WAN埠，接著按下網頁介面中的連線圖示，就能套用設備自動偵測到的設定檔，建立網路連線。

除了本機記錄之外，可搭配報表軟體協助分析事件

登入ZyWALL USG 1000的Web介面之後，就可以在首頁看到目前的設備狀態，包含硬體資源的使用量、各項安全服務的更新情況，及外接設備的類型等項目。

點選系統的日誌選項，可以查閱更加詳細的事件記錄，ZyWALL USG 1000以條列方式呈現記錄所得的事件，用戶可透過檢索方式，快速找到指定的項目。

設備本身沒有硬碟，但有內建一個2.5吋硬碟插槽，以便長久保存設備所記錄下的事件記錄，在沒有連接硬碟的情況下，我們可以透過TCP的514埠將資料傳送到Syslog，或合勤自家的Vantage CNM伺服器保存。

Vantage CNM是合勤的集中式管理軟體，除了具備分析報表的能力之外，也可以直接在此修改設備的功能設定。

產品規格

ZyWALL USG 100

●代理商：群環科技、展碁科技、零壹資訊

●網址：www.zyxel.com.tw

●電話：(02)2739-9889

●建議售價：263,250元

●尺寸：1U

●處理器：Pentium M 1.8GHz

●Flash：256MB

●記憶體：1GB

●部署模式：NAT模式、透通模式

●防火牆效能：350Mbps

●VPN效能：150Mbps

●連線數：200,000個(每秒最多同時建立13,000個)

●網路介面：GbE×5、USB×2、PCMCIA×1

內建功能

●閘道防毒：可選用合勤或Kaspersky的防毒模組

●網址／關鍵字過濾：可選用Blue Coat資料庫服務

●其他：P2P／IM過濾、垃圾郵件過濾、線路備援、QoS

●VPN通道類型：L2TP VPN、IPsec VPN、SSL VPN

【相關報導請參考「UTM設備採購大特輯」】