合勤ZyWALL USG 1000的前身是ZyWALL 1050,屬於中階等級的UTM設備,硬體方面採用1顆Pentium M 1.8GHz處理器,搭配自行開發的SecuASIC晶片處理IPS、防毒的運算工作,此外,也有1顆專用的VPN加、解密晶片,具備350Mbps的防火牆效能。由於內建了1GB記憶體,因此連線數可達200,000個。

設備內建5個GbE網路埠,其中第1組是LAN埠,其他分別是WAN及DMZ埠,採2埠、2埠方式預置,而且可隨著需求不同彈性變更角色。除此之外,ZyWALL USG 1000還內建了2組USB埠及1個PCMCIA插槽,連接3.5G網卡做為備援線路使用。

Web介面支援正體中文,可降低設定難度

ZyWALL USG 1000的Web介面支援正體中文的語系,有助於我們理解各項功能的設定,使用TCP 8080、443做為HTTP及HTTPS的通訊埠,所以不必修改,就可以讓使用者透過外部網路存取Exchange的OWA。如同其他兩款送測設備,這款UTM也提供了設定精靈的介面,可由此完成網路連線及IPsec VPN的設置,初次設定時,需向myZyXEL.com申請帳號,用於註冊設備,也可以在上面申請閘道防毒、IPS及Blue Coat網頁過濾服務的一個月試用授權。

VPN提供三種通道模式,其中SSL VPN具備反向代理及連接器連線兩種存取模式

設備具備L2TP、IPsec及SSL VPN三種通道模式,除了單採Preshared Key驗證的IPsec VPN之外,其餘兩者皆可透過本機帳號、LDAP及RADIUS等3種常見的帳號資料庫,去檢查使用者輸入的連線資料是否正確。

LDAP的設定相當簡單,僅需要指定LDAP伺服器的IP位址,並輸入Bind DN、Based DN,及網域管理者的密碼之後,就能連立連線。

IPsec VPN的用戶端工具上,原廠提供了ZyWALL IPsec VPN Client軟體,這部份的設定較為複雜,需留意用戶端程式與伺服器之間的驗證、加密設定是否一致,才能成功建立VPN通道。

很特別的是,ZyWALL USG 1000的SSL VPN具備反向代理及透過連接器連線的兩種模式,功能上己經相當接近單一功能的SSL VPN設備,在整合SSL VPN 的UTM設備上相當少見。

防護功能完整,可透過應用層防火牆精確管理通訊埠流量

就防護功能而言,除了傳統的第4層防火牆之外,這臺UTM也提供了應用層防火牆的機制,也就是所謂的應用程式巡查,可進一步管理通訊埠內部的封包傳輸,避免原本應該要禁用的應用程式利用跳埠的方式突破防火牆封鎖,除此之外,也能在這裡設定頻寬分配的優先等級。

閘道防毒、IPS及網頁過濾三項服務,可透過線上方式持續更新,設備預設每天執行一次更新工作,最短可以設定為每小時檢查一次更新。閘道防毒有合勤自行維護的掃毒引擎及Kaspersky兩種模組可供選擇,更新病毒碼使用上皆需要付費才能進行,設備預設針對從外部網路進入內部的流量採取防護,範圍包含HTTP、FTP及Mail三種服務的封包。

對於壓縮檔的處理,可以選擇略過或者直接丟棄無法解開的壓縮檔(例如設定密碼加密),以維持設備過濾封包的效能。

設備主要是利用RBL及黑、白名單兩種方式過濾垃圾郵件,RBL資料庫的部份可以自行定義網路上的RBL資料庫來源,查詢郵件的來源IP位址是否名列其中,至於黑、白名單可針對郵件的主旨、寄件者信箱、IP來源,及郵件標頭四種項目設立關鍵字的過濾規則,測試過程中,我們發現設備對於關鍵字的過濾有大小寫的區別,這是值得加以注意的一點。

對於垃圾郵件的處理,可以選擇直接丟棄、放行,或者在主旨前方加上標籤後放行,利用收信軟體的郵件規則,由使用者自行處理。

在只有開啟防火牆功能(應用層防火牆關閉)的情況下,我們所測得的速度為37.62Mbps,個別加入IPS、閘道防毒兩項功能之後,設備的效能分別下降至11.67及15.95Mbps,至於功能全開的數據則為9Mbps。

可連接3.5G網卡,建立備援線路

ZyWALL USG 1000是這次唯一可連接3.5G網卡的送測設備。接上相容的網卡之後(我們使用華為的E220),設備就會自行偵測,並在Web介面的首頁顯示裝置目前的狀態。

操作上並不需要太多的設定便能連接3.5G網路,僅需要將網卡的角色定義為WAN埠,接著按下網頁介面中的連線圖示,就能套用設備自動偵測到的設定檔,建立網路連線。

除了本機記錄之外,可搭配報表軟體協助分析事件

登入ZyWALL USG 1000的Web介面之後,就可以在首頁看到目前的設備狀態,包含硬體資源的使用量、各項安全服務的更新情況,及外接設備的類型等項目。

點選系統的日誌選項,可以查閱更加詳細的事件記錄,ZyWALL USG 1000以條列方式呈現記錄所得的事件,用戶可透過檢索方式,快速找到指定的項目。

設備本身沒有硬碟,但有內建一個2.5吋硬碟插槽,以便長久保存設備所記錄下的事件記錄,在沒有連接硬碟的情況下,我們可以透過TCP的514埠將資料傳送到Syslog,或合勤自家的Vantage CNM伺服器保存。

Vantage CNM是合勤的集中式管理軟體,除了具備分析報表的能力之外,也可以直接在此修改設備的功能設定。

 

 ZyWALL USG 1000效能實測結果 

一般來說,閘道防毒對於效能的影響會高於IPS,而ZyWALL USG 1000卻能有效拉抬設備啟用防毒引擎後的效能數據,顯示ASIC晶片確有發揮功能,協助處理器執行拆解、重組封包內容的工作。

 

產品規格

ZyWALL USG 100

●代理商:群環科技、展碁科技、零壹資訊

●網址:www.zyxel.com.tw

●電話:(02)2739-9889

●建議售價:263,250元

●尺寸:1U

●處理器:Pentium M 1.8GHz

●Flash:256MB

●記憶體:1GB

●部署模式:NAT模式、透通模式

●防火牆效能:350Mbps

●VPN效能:150Mbps

●連線數:200,000個(每秒最多同時建立13,000個)

●網路介面:GbE×5、USB×2、PCMCIA×1

內建功能

●閘道防毒:可選用合勤或Kaspersky的防毒模組

●網址/關鍵字過濾:可選用Blue Coat資料庫服務

●其他:P2P/IM過濾、垃圾郵件過濾、線路備援、QoS

●VPN通道類型:L2TP VPN、IPsec VPN、SSL VPN

 

【相關報導請參考「UTM設備採購大特輯」】


熱門新聞

Advertisement