Межсетевой экран zyxel usg flex 100 обзор
USG FLEX 100 предоставляет единую платформу централизованного управления Nebula, расширяя и усиливая защиту от межсетевых экранов до точек доступа с автоматическим реагированием. Недавно разработанная серия USG FLEX способна минимизировать использование вычислительных ресурсов и максимизировать производительность брандмауэра, обеспечивая до 5-кратного роста производительности UTM с возможностью облачного управления и совместного обнаружения и реагирования (CDR).
Комплексная
веб-фильтрация
USG FLEX обеспечивает расширенные функциональные возможности веб-фильтрации и безопасность благодаря мощному сочетанию фильтрации на основе категорий и репутации. Динамический анализ содержимого сайтов определяет, принадлежит ли он к нежелательной категории, например азартные игры, порнография, игры и многое другое. Недавно добавленный контент-фильтр по DNS предлагает лучший подход к проверке доступа в Интернет, особенно когда веб-сайт использует ESNI (зашифрованное указание имени сервера), где традиционная фильтрация URL-адресов не применима к домену назначения.
Не только безопасность
Как говорится, безопасность — безопасностью, но ещё и работать надо. Что предлагается для организации работы в USG FLEX?
Надежная
многоэшелонная защита
В USG FLEX используется многоэшелонная система безопасности, защищающая от разных типов как внутренних, так и внешних угроз. Множественные службы безопасности позволяют ограничивать несоответствующее использование приложений или сайтов. Zyxel предлагает ведущий в отрасли контент-фильтр по DNS, устраняющий слепые пятна во всем зашифрованном трафике TLS 1.3 без необходимости SSL инспекции. Применение этих сервисов полностью ликвидирует слабые места в системе защиты вашей сети.
Много разных VPN
Серия USG FLEX поддерживает VPN на основе IPsec, L2TP, SSL. Это позволяет не только организовать межсайтовое взаимодействие по защищённым каналам (полезно для крупных организаций с большим числом филиалов), но и наладить безопасный доступ к корпоративной сети удалённым работникам или малым «полевым» офисам.
Немаловажную роль играют возможности удалённой настройки. Удалённый доступ с нулевой конфигурацией упрощает настройку. В том числе, даже если нет ИТ-поддержки на местах — всё равно можно настроить подключение по VPN к удалённому офису.
- Web Filtering — Блокирование доступа к опасным и подозрительным web-сайтам;
- IPS (IDP) — проверка пакетов на наличие вредоносного кода;
- Application Patrol — анализ поведения приложений, их классификация ранжированный подход в использовании сетевых ресурсов;
- Anti-Malware —проверка файлов и выявление опасных «сюрпризов» с использованием облачных мощностей;
- Email Security — поиск и блокировка спама, а также защита от фишинга посредством электронной почты;
- SecuReporter — расширенный анализ в области безопасности, построение подробных отчётов.
Безопасность сетей с нулевым доверием
Серия USG FLEX применяет принципы доступа с нулевым доверием. Это гарантирует, что одинаковые меры безопасности применяются к штаб-квартире, филиалам, или домам, где проживают ваши удаленные сотрудники. Создайте политику доступа с контекстом, например версией ОС или категорией устройств, чтобы обеспечить сегментацию сети. Это уменьшает поверхность атаки и предотвращает распространение угроз.
USG FLEX минимизирует риски, добавляя детализированные политики и аутентификацию доступа для постоянно растущих потребностей безопасного рабочего места. Улучшите защиту идентификационных данных, устройств, приложений и сети. Снижайте риски и укрепляйте доверие ко всем своим цифровым активам.
Описание USG FLEX 700
Это устройство появилось позже всех, его можно назвать флагманом линейки. Имеет целых 12 конфигурируемых портов, 2 порта SFP, 2 порта USB 3.0
Питание производится из стандартной сети переменного тока 100-240V, 50/60Hz, ~2.5А.
Для охлаждения применяется встроенный вентилятор.
Это классическое устройство для серверной или кроссовой, с широкими возможностями как для обеспечения безопасности, так и для организации работы сети.
Рисунок 5. Внешний вид USG FLEX 700.
Универсальный подход к управлению точками доступа и организации шлюза в вопросах и ответах
Мы предлагаем читателям ответы на наиболее часто возникающие вопросы (FAQ), которые помогут лучше сориентироваться при выборе альтернативных вариантов.
Несколько слов о USG FLEX 100W
В принципе, модель USG FLEX 100W отличается от модели USG FLEX 100 только встроенным модулем Wi-Fi.
- Соответствие стандартам — 802.11 a/b/g/n/ac
- Частота радиосвязи — 2.4 / 5 ГГц
- Количество радио модулей — 2
- Количество SSID — 8
- Количество антенн — 3 съёмные антенны
- Усиление антенны — 2 дБи @ 2.4 ГГц
- Скорость передачи данных — 802.11n: до 450 Мбит/сек, 802.11ac: до 1300 Мбит/сек.
Как уже было сказано выше, основные отличия лежат в количественных показателях:
- Пропускная способность SPI (Мбит/сёк) — 900
- Пропускная способность VPN (Мбит/сёк) — 270
- Пропускная способность IDP(Мбит/сёк) — 540
- Пропускная способность AV (Мбит/сёк)— 360
- Пропускная способность UTM (AV и IDP) — 360
- Максимум одновременных TCP сессий — 300,000
- Максимум одновременных туннелей IPSec — 40
- Максимум одновременных туннелей SSL — 30
Безопасность сетей с нулевым доверием
Серия USG FLEX применяет принципы доступа с нулевым доверием. Это гарантирует, что одинаковые меры безопасности применяются к штаб-квартире, филиалам, или домам, где проживают ваши удаленные сотрудники. Создайте политику доступа с контекстом, например версией ОС или категорией устройств, чтобы обеспечить сегментацию сети. Это уменьшает поверхность атаки и предотвращает распространение угроз.
USG FLEX минимизирует риски, добавляя детализированные политики и аутентификацию доступа для постоянно растущих потребностей безопасного рабочего места. Улучшите защиту идентификационных данных, устройств, приложений и сети. Снижайте риски и укрепляйте доверие ко всем своим цифровым активам.
Заключение
Эффективное построение ИТ инфраструктуры — это не всегда дорого и не всегда требует больших ресурсов. Иногда приобретая одно устройство можно решить целый набор задач: от фильтрации контента в сети до управления точками доступа.
До сих пор существует практика разделять подход к безопасности для небольших компаний и для крупного бизнеса. С одной стороны, вроде бы логика в этом прослеживается. Якобы для штаб-квартиры в столице требуется высокий уровень безопасности, а для небольшого филиала — уровень попроще и пониже.
Но, может быть, стоит посмотреть с другой стороны? Владельцы хотят максимально обезопасить свой бизнес, даже если он небольшой. А если государственная организация находится не в столице, то это не значит, что она должна работать с перебоями только потому, что в ИТ из-за проблем с безопасностью что-то нарушилось и никак не восстановят.
Ситуация, когда вместо того, чтобы взламывать хорошо оберегаемый центральный узел, достаточно получить доступ к менее защищённой сети филиала — это уже давно является классикой жанра. А сетевые администраторы постоянно решают множество интересных проблем из-за необходимости поддерживать одновременно целый «зоопарк» линеек оборудования: «посерьёзнее и подороже» для штаб-квартиры и «попроще и подешевле» для филиалов и небольших предприятий.
С другой стороны, и на уровне Enterprise возникает ситуация, что любое локальное решение может быть недостаточным. Проще говоря, какую сверхмощную «железку» ни поставишь — её возможностей всё равно будет мало.
Zyxel знает про эти проблемы и предлагает комплексный подход для решения.
Во-первых, можно сделать продуктовую линейку соответствующих устройств более широкой. Включающей оборудование как для небольшой сети, так и для крупной ИТ инфраструктуры.
Во-вторых, подключить внешние облачные сервисы. Тогда небольшие мощности используемого «железа» компенсируются за счёт возможностей облака.
Ниже мы разберём, как это выглядит на практике. Забегая вперёд, стоит сказать, что речь пойдёт о недавно поступившей в продажу платформе USG FLEX.
Безопасность сетей
с нулевым доверием
Серия USG FLEX применяет принципы доступа с нулевым доверием. Это гарантирует, что одинаковые меры безопасности применяются к штаб-квартире, филиалам, или домам, где проживают ваши удаленные сотрудники. Создайте политику доступа с контекстом, например версией ОС или категорией устройств, чтобы обеспечить сегментацию сети. Это уменьшает поверхность атаки и предотвращает распространение угроз.
USG FLEX минимизирует риски, добавляя детализированные политики и аутентификацию доступа для постоянно растущих потребностей безопасного рабочего места. Улучшите защиту идентификационных данных, устройств, приложений и сети. Снижайте риски и укрепляйте доверие ко всем своим цифровым активам.
Описание USG FLEX 500
Это ещё более мощное устройство, имеет 7 конфигурируемых портов. Также присутствует 1 порт SFP и 2 порта USB 3.0
Примечание. Конфигурируемые порты позволяют избежать привязки к конкретному сценарию использования: нужно 1 порт WAN и 6 LAN — нет проблем, нужно организовать отказоустойчивую схему на 3 проводных канала — можно легко переназначить 3 WAN и 4 LAN порта.
Видно, что это универсальное устройство для решения широкого спектра задач.
Для питания нужен ещё более мощный блок — 4.17А, 12V постоянного тока.
Для охлаждения внутри корпуса используется вентилятор, поэтому может создаваться шум. USG FLEX 500 — скорее устройство для серверной или для кроссовой комнаты, нежели для компактного размещения в офисном пространстве.
Рисунок 4. Внешний вид USG FLEX 500.
Разумеется, по сравнению с предыдущими моделями, производительность отличается в большую сторону:
- Пропускная способность SPI (Мбит/сёк) — 2,300
- Пропускная способность VPN (Мбит/сёк) — 810
- Пропускная способность IDP(Мбит/сёк) — 1,500
- Пропускная способность AV (Мбит/сёк) — 800
- Пропускная способность UTM (AV и IDP) — 800
- Максимум одновременных TCP сессий — 1,000,000
- Максимум одновременных туннелей IPSec — 300
- Максимум одновременных туннелей SSL — 150
- VLAN интерфейсы — 64
Коллективная защита
Количество угроз постоянно растёт. Если ограничить выбор только в пользу обычных локальных средств, то потребуется всё больше ресурсов. И всё больше усилий будет уходить на постоянную модернизацию, постоянный контроль ресурсов, попытки снизить нагрузку на шлюз безопасности и так далее.
Борьба средств безопасности против сетевых угроз — это уже не классический сценарий «самый твёрдый наконечник против самого крепкого щита», сейчас ситуация стала значительно интересней. Представьте себе поле боя, когда количество копий, мечей, секир и других атакующих объектов несётся на вас со всех сторон, а у вас в руках один щит. Тут самое время попросить помощи у соратников. Если сложить щиты в плотную конструкцию, можно отразить гораздо больше атак с самых разных сторон, нежели в одиночку.
В 5 веке до нашей эры римская армия, до этого копирующая боевое построение греков — фалангу, кардинальна сменила тактику в пользу манипульного построения пехотинцев (см. рисунок выше). Современники в то время «крутили пальцем у виска», предрекая Риму скорое поражение. Однако смелый ход оправдал себя и позволил Риму уверенно побеждать на протяжении следующих 600 лет.
Примерно такой подход реализован в облаке. Облачные решения позволяют использовать мощные центральные ресурсы и перехватить большую часть угроз. С другой стороны, расширенный сбор информации об угрозах позволяет быстрее выработать средства защиты и распространить их между подписчиками.
Это интересно. Уже в следующей прошивке будет выпущена полноценная поддержка централизованного облака Zyxel Nebula. Для USG FLEX появится возможность использовать облачные ресурсы не только для защиты, но и реализовать централизованное управление крупной сетевой инфраструктурой, подключившись к облаку. Новая прошивка планируется в марте 2021 года.
Опережайте угрозы с CDR
Совместное обнаружение и реагирование (CDR) используется для выявления угроз и рисков, возникающих в сети. Межсетевые экраны USG FLEX обнаруживают угрозу на любом из подключенных клиентов, а затем автоматически реагируют на киберугрозы и сдерживают устройство на границе вашей сети (точке доступа). Они идеально подходят IT-специалистам для удовлетворения требований децентрализованной сетевой инфраструктуры и обеспечения автоматической защиты.
Вопросы и ответы по общей организации инфраструктуры и бизнес-процессов
Вопрос 1. Для каких случаев такой подход: шлюз и AP контроллер — два в одном — наиболее удобно?
Ответ: Удобно и для малых компаний, и для больших организаций.
Для небольших компаний это удобно снижением затрат на момент становления бизнеса: одно устройство стоит дешевле чем два. Соответственно, и «приходящему админу» проще администрировать одно устройство.
Для больших компаний такой подход удобен тем, что позволяет ликвидировать дополнительную точку отказа, нуждающуюся в обслуживании. Это важно, например, при использовании систем контроля электропитания (watchdog), позволяющих автоматически перезапускать устройство по питанию при возникновении определённых условий.
Вопрос 2. Не получится ли так, что из-за размещения на одном устройстве между управлением точками доступа и поддержанием функций Интернет-шлюза возникнет конкуренция за аппаратные ресурсы: процессор, память?
Нет, если приобретать соответствующее устройство для нужного количества точек доступа. Любое устройство: ATP, USG, USG FLEX, VPN, ZyWALL проектируется с соблюдением баланса между количеством максимально возможных пользователей Wi-Fi и обеспечении максимальной производительности шлюза при доступе в Интернет.
Скорее наоборот, имея Интернет-шлюз отдельно и контроллер точек доступа (NXC) отдельно, можно получить тот самый дисбаланс производительности, например, когда контроллер доступа уже обновили на более производительный, а Интернет-шлюз — ещё нет (или наоборот).
Аналитические отчёты и углублённый анализ угроз
В принципе, у Zyxel всегда было неплохо со статистикой и построение отчётов. В USG FLEX это поучило дальнейшее развитие. Графические диаграммы по статистике угроз, сводка статистики по трафику выводятся на главной консоли межсетевых экранов, это позволяет быстро понять, что происходит в сети.
Сервис SecuReporter предоставляет детальный анализ угроз, что даёт возможность вовремя проследить изменения в сети и вовремя избежать неприятностей.
Когда все события отображаются на одной централизованной консоли — это удобно. Управлять разными клиентами и устройствами теперь стало проще.
Введение
Управление сетью Wi-Fi заслуживает пристального внимания: как со стороны системного или сетевого администратора, так и при внедрении специального оборудования. Иначе можно запросто получить весьма интересные, но нежелательные «странности» при работе сетевых устройств.
В этой же статье приводится информация о специализированных Wi-Fi контроллерах, при помощи которых и производится управление. Но что это получается? Обязательно покупать ещё одно устройство, настраивать его, обновлять прошивку и так далее?
Это и ещё одна точка отказа (например, может выйти из строя блок питания после броска напряжения), и ещё один объект для обслуживания (хотя бы время от времени нужно обновить прошивку).
К счастью, инженеры Zyxel предусмотрели и более универсальный вариант, добавив функции управления точками доступа в другие устройства, в частности, в межсетевые экраны.
Такой подход более удобен для управления сетевой инфраструктурой в целом. Хотя теоретически и можно представить разделение обязанностей из серии: один человек занимается только администрированием Интернет-шлюза, другой занимается только администрированием Wi-Fi контроллеров и точек доступа, но на практике такой подход встречается крайне редко, обычно есть один сетевой администратор или целое административное звено, в чьи обязанности входит поддержание работы всей сети.
Управление точками доступа поддерживают практически все серии сетевых шлюзов: ATP, USG, VPN, ZyWALL и USG FLEX. Собственно, у сетевого администратора есть где разгуляться в плане выбора.
Откуда поступают данные о вредоносных элементах?
В облачной базе данных, поддерживающей USG FLEX, собираются подробные сведения, предоставляемые ведущими компаниями и организациями в области кибербезопасности для накопления информации о проблемных файлах и данных об угрозах. Сбор информации происходит постоянно в режиме реального времени. Мощная база данных позволяет повысить точность выявления вредоносного кода.
Отдельно стоит отметить хорошую контекстную фильтрацию, а также специальный фильтр CTIRU (Counter-Terrorism Internet Referral Unit) для ограничения доступа к экстремистской информации. В последнее время, к сожалению, эта функция становится необходимой.
Давайте попробуем «галопом-по-европам» пробежаться по основным ступенькам защиты, предоставляемым USG FLEX.
Среди функций безопасности стоит выделить такие возможности, как:
- антивирусная защита;
- антиспам;
- фильтрация URL и IDP для отражения атак извне;
- Патруль приложений;
- контентная фильтрация (вместе с Патрулем приложений эти функции блокируют доступ пользователей к посторонним приложениям и web-сайтам);
- инспекция SSL с поддержкой TLS 1.3. (для анализа защищённого трафика).
Применение этих сервисов позволяет ликвидировать слабые места в системе защиты корпоративной сети.
Опережайте угрозы с CDR
Совместное обнаружение и реагирование (CDR) используется для выявления угроз и рисков, возникающих в сети. Межсетевые экраны USG FLEX обнаруживают угрозу на любом из подключенных клиентов, а затем автоматически реагируют на киберугрозы и сдерживают устройство на границе вашей сети (точке доступа). Они идеально подходят IT-специалистам для удовлетворения требований децентрализованной сетевой инфраструктуры и обеспечения автоматической защиты.
Что делается для повышения защиты?
В облако Zyxel Security Cloud поступают данные об угрозах из различных источников. В свою очередь межсетевые экраны серии USG FLEX используют облачную базу данных в режиме Cloud Query Express, которая включает миллиарды сигнатур.
То есть это не скромная локальная антивирусная база, целиком загружаемая из Интернет, а гораздо более мощная конструкция. Если говорить о скорости взаимодействия, то функция Cloud Query проверяет хэш-код подозрительного файла за несколько секунд и при этом точно диагностирует угрозу.
Если говорить о количественных показателях, то при работе в режиме Cloud Query Express были получены результаты дополнительного прироста производительности UTM до 500%. При этом уровень потребления локальных вычислительных ресурсов не растёт, а снижается за счёт использования облачных мощностей, высвобождая локальные ресурсы для других задач.
Проще говоря, есть какое-то вычислительное устройство. Мы можем её нагрузить анализом трафика, или можем озадачить другими вещами, например, управлением точками доступа. И таких полезных задач в единицу времени может быть решено гораздо больше благодаря «облаку».
В целом, за счёт использование более современной платформы рост производительности межсетевого экрана достигает 125%.
Единая сеть. Nebula.
Межсетевые экраны USG FLEX, новое дополнение к семейству устройств в Nebula, значительно расширяют возможности с помощью комплексной безопасности и защиты для бизнес-сетей малого и среднего размера. Zyxel предоставляет централизованную политику безопасности для удаленного персонала и ограничения трафика, устраняя узкие места в сети и обеспечивая максимальную производительность.
Технические вопросы, возникающие при построении или администрировании Wi-Fi сети и ответы на них
Вопрос 7. Как известно, «бескровной замены» одного на другое не бывает. Какие функции могут оказаться недоступны при замене NXC на управление с маршрутизатора, например, серии VPN?
Ответ: в межсетевых экранах нет и в ближайшее время не будет поддержки аутентификации по QR коду (QR Code Captive Portal Auth) и совместной работы аутентификации по MAC с портальной аутентификацией (MAC Auth fallback to Portal Auth).
Вопрос 8. Какие функции, полезные для WLAN, можно получить в результате такой замены?
Ответ: Как было сказано выше, в межсетевых экранах функция ZyMesh доступна бесплатно, а также в случае резервирования устройства (Device HA Pro) для беспроводных (и не только) клиентов переход на резервное устройство будет бесшовным, так как между межсетевыми экранами синхронизируются все открытые сессии и авторизованные пользователи.
Вопрос 9. Как дела с безопасностью? Как повлияет использование управления точками доступа с маршрутизаторов серий ATP, USG, VPN, ZyWALL и USG FLEX на безопасность Wi-Fi сети.
Ответ: При использовании маршрутизаторов описанных выше серий (особенно хочется выделить ATP по его богатству защитных функций) сетевому администратору доступен весь набор средств для повышения уровня безопасности, который есть в соответствующих межсетевых экранах: контентный фильтр, Geo IP, антивирус, IDP, патруль приложений (в зависимости от конкретной модели).
Поэтому уровень безопасности от этого только возрастет.
Подробнее об этих функциях можно прочитать в разделе Сервисы безопасности — Фильтрация контента Content Filtering 2.0 на сайте Zyxel. Также стоит прочесть статью в нашем корпоративном блоге Завтрак съешь сам, работой поделись с «облаком»
Вопрос 10. С какими точками доступа могут взаимодействовать межсетевые экраны ATP, USG, VPN, ZyWALL и USG FLEX?
Ответ: Ниже идёт список точек доступа, которыми могут управлять указанные межсетевые экраны:
- NWA3160-N
- NWA3550-N
- NWA3560-N
- NWA5160N
- NWA5550-N
- NWA5560-N
- NWA5121-NI
- NWA5123-NI
- NWA5121-N
- NWA5301-NJ
- WAC6502D-E
- WAC6502D-S
- WAC6503D-S
- WAC6553D-E
- WAC6103D-I
- NWA5123-A
- WAC5302D-S
- NWA5123-AC HD
- WAC6303D-S
- WAC6552D-S
- WAX650S*
- WAX510D*
* в режиме совместимости (без поддержки WPA3)
Упрощенное лицензирование
Мы знаем, что опыт покупки и продления лицензий одинаково важен для наших партнеров. Мы оптимизировали платформу управления лицензированием и обеспечили единообразный путь миграции между локальной и нашей облачной платформой. Мы заботимся о том, чтобы наши партнеры могли быстро адаптироваться к безопасной среде без лишних хлопот, но при этом сохраняя гибкость для тех, кому необходимо применять ту же безопасность в различных сетевых сценариях.
Повышеннная безопасность с 2-факторной аутентификацией
Пароля недостаточно для защиты доступа к сети. Необходим второй фактор аутентификации, чтобы неавторизованные пользователи не могли получить доступ к базам данных вашей компании, учетным записям электронной почты и многому другому. Google Authenticator позволяет вашим организациям проверять подлинность пользователей, получающих доступ к вашим сетям через удаленные рабочие места и личные мобильные устройства.
Почему облачные технологии так важны?
Описание USG FLEX 200
А это уже вариант немного мощнее.
Имеет 4 порта LAN/DMZ, 1 порт SFP, но есть отличие — 2 два порта WAN (вместо одного в USG FLEX 100), что позволяет организовать отказоустойчивую схему с двумя проводными провайдерами.
Для питания нужен уже блок на 2,5A 12V постоянного тока.
Рисунок 3. Внешний вид USG FLEX 200.
По производительности и пропускной способности показатели также выше:
- Пропускная способность SPI (Мбит/сёк) — 1,800
- Пропускная способность VPN (Мбит/сёк) — 450
- Пропускная способность IDP(Мбит/сёк) — 1,100
- Пропускная способность AV (Мбит/сёк) — 570
- Пропускная способность UTM (AV и IDP) — 550
- Максимум одновременных TCP сессий — 600,000
- Максимум одновременных туннелей IPSec — 100
- Максимум одновременных туннелей SSL — 60
- VLAN интерфейсы — 16
Если сравнивать с более мощными моделями (о которых пойдет речь ниже), USG FLEX 200 всё-таки создан для сравнительно небольших нагрузок и кабинетного размещения. Об этом говорит и небольшой корпус, и внешний блок питания.
Но, тем не менее, USG FLEX 200 способен обеспечить хорошую поддержку сети в плане безопасности и организации работы сетевых сервисов, таких как управление точками доступа.
Описание USG FLEX 100
Это самый простой, экономичный, но, тем не менее, надёжный вариант защиты для небольших филиалов и малых сетей.
Устройство мало потребляет, питание осуществляется от внешнего адаптера на 2A, 12V постоянного тока.
Имеет 4 порта LAN/DMZ, 1 порт WAN, 1 порт SFP.
Также присутствует порт USB, через который можно подключит USB-модем для создания резервного канала.
Рисунок 1. Внешний вид USG FLEX 100.
Безопасность сетей
с нулевым доверием
Серия USG FLEX применяет принципы доступа с нулевым доверием. Это гарантирует, что одинаковые меры безопасности применяются к штаб-квартире, филиалам, или домам, где проживают ваши удаленные сотрудники. Создайте политику доступа с контекстом, например версией ОС или категорией устройств, чтобы обеспечить сегментацию сети. Это уменьшает поверхность атаки и предотвращает распространение угроз.
USG FLEX минимизирует риски, добавляя детализированные политики и аутентификацию доступа для постоянно растущих потребностей безопасного рабочего места. Улучшите защиту идентификационных данных, устройств, приложений и сети. Снижайте риски и укрепляйте доверие ко всем своим цифровым активам.
Вопросы и ответы по лицензированию
Вопрос 3. Какие из устройств: ATP, USG, VPN, USG FLEX лучше подходят для управления точками доступа.
Ответ: Все эти устройства неплохо справляются с управлением беспроводный сетью. Набор функции Wi-Fi контроллера у них примерно одинаковый. Другое дело, что для бизнеса могут быть кричные другие направления, например, функции доступа VPN (серия VPN) или усиленные защитные механизмы (серия ATP).
Поэтому правильней будет использовать комплексный подход при проектировании будущей сети и модернизации уже имеющейся.
Если же говорить только о стоимости самих устройств, то самый бюджетный вариант — серия VPN.
Вопрос 4. На какую из моделей серии VPN можно заменить NXC2500 чтобы было подешевле и на какую модель — чтобы была максимально полноценная замена?
Ответ: Если точек меньше 36, то на для начального уровня достаточно ZyWALL VPN50, если больше — то на ZyWALL VPN100.
Рисунок 1. Межсетевой экран ZyWALL VPN50.
Вопрос 5. Аналогичный вопрос для более старших моделей. На что из VPN меняем
NXC5000, чтобы было подешевле и на что меняем NXC5500, чтобы была максимально
полноценная замена?
Ответ: Если точек меньше 132, то на для начального уровня достаточно ZyWALL VPN300,
если больше — то нужно использовать ZyWALL VPN1000.
Рисунок 2. Межсетевой экран ZyWALL VPN300.
Рисунок 3. Межсетевой экран ZyWALL VPN1000.
Важно. Говоря о начальном уровне, мы обсуждаем именно самую простую ситуацию —только управление Wi-Fi. Например, VPN50 может не подойти в случае необходимости использовать резервный канал WAN по витой паре, для которого у VPN100 есть специальный второй порт WAN, а начиная от VPN300 можно перенастроить любой из имеющихся сетевых интерфейсов.
Как было сказано выше, в зависимости от количества точек вместо серии NXC можно применять не только серию VPN, но и другие.
В таблице 1 показано — количество точек доступа, которым можно управлять «сразу из коробки» (без приобретения лицензии):
Таблица 1. Число точек доступа, доступное для управления по умолчанию.
NXC | ATP | USG | USG FLEX | VPN | ZyWALL |
---|---|---|---|---|---|
NXC2500: 8 | ATP100/100W/200/500/700/800: 8* | USG40/40W: 2 | USG FLEX 100: 8 | VPN50/100/300/1000: 4 | ZyWALL 110/310: 2 |
NXC5500: 64 | USG60/60W: 2 | USG FLEX 200: 8 | ZyWALL 1100: 2 | ||
USG110/210/310: 2 | USG FLEX 500: 8 | ||||
USG1100/1900: 2 |
В таблице 2. показано максимальное количество точек для всех устройств.
Таблица 2. Максимальное количество лицензий управления точками доступа для разных семейств.
NXC | ATP | USG | USG FLEX | VPN | ZyWALL |
---|---|---|---|---|---|
NXC2500: 64 | ATP100/100W: 24 | USG40/40W: 18 | USG FLEX 100: 24 | VPN50: 36 | ZyWALL 110: 34 |
NXC5500: 1026 | ATP200: 40 | USG60/60W: 18 | USG FLEX 200: 40 | VPN100: 68 | ZyWALL 310: 34 |
ATP500: 72 | USG110/210: 34 | USG FLEX 500: 72 | VPN300: 132 | ZyWALL 1100: 130 | |
ATP700: 264 | USG310: 34 | VPN1000: 1032 | |||
ATP800: 520 | USG1100: 130 | ||||
USG1900: 130 |
*У серии ATP с подпиской Gold Pack (которая входит в комплект на 1 год) доступно максимальное кол-во точек доступа.
Важно! Для NXC были лицензии на добавление 8, 32 и 64 точек доступа. Для межсетевых экранов есть лицензии на 2, 4, 8 и 64 точки — то есть более гибкое лицензирование.
Помимо этого, для работы функции ZyMesh на серии NXC требовалась соответствующая лицензия, а для межсетевых экранов она не нужна (входит в комплект).
Примечание. Функция ZyMesh позволяет уйти от необходимости прокладывать кабель для подключения новых точек доступа Wi-Fi и предоставляет механизм отказоустойчивости на базе Wi-Fi с возможностью выбора из нескольких маршрутов для каждой точки доступа с функцией повторителя. В противном случае для расширения покрытия Wi-Fi при настройке соединения WDS администратор сети должен на каждой точке доступа назначать канал и MAC-адрес. ZyMesh позволяет автоматически распределить ресурсы, благодаря чему управление становится
значительно проще.
Вопрос 6. А как быть с резервированием? Нужно ли дублировать количество лицензий?
Ответ: При резервировании Wi-Fi контроллера серии NXC требовался комплект лицензий на каждое устройство, для межсетевых экранов — в случае резервирования нужны лицензии только на одно устройство.
Надежная
многоэшелонная защита
В USG FLEX используется многоэшелонная система безопасности, защищающая от разных типов как внутренних, так и внешних угроз. Множественные службы безопасности позволяют ограничивать несоответствующее использование приложений или сайтов. Zyxel предлагает ведущий в отрасли контент-фильтр по DNS, устраняющий слепые пятна во всем зашифрованном трафике TLS 1.3 без необходимости SSL инспекции. Применение этих сервисов полностью ликвидирует слабые места в системе защиты вашей сети.
Упрощенное лицензирование
Мы знаем, что опыт покупки и продления лицензий одинаково важен для наших партнеров. Мы оптимизировали платформу управления лицензированием и обеспечили единообразный путь миграции между локальной и нашей облачной платформой. Мы заботимся о том, чтобы наши партнеры могли быстро адаптироваться к безопасной среде без лишних хлопот, но при этом сохраняя гибкость для тех, кому необходимо применять ту же безопасность в различных сетевых сценариях.
Мы предлагаем широкий спектр продуктов, которые обеспечивают различные варианты удаленного доступа, включая межсетевые экраны для головного офиса и филиалов, туннельные точки доступа (Secure Wi-Fi) и VPN клиенты для удаленных сотрудников, расширяя защиту конечных устройств.
Глубокое анализ всех ваших устройств
Анализ устройств дает вам больше информации о ваших сетях, включая проводные, беспроводные, BYOD и IoT устройства. Вы можете создать политику доступа с контекстом, например с версией ОС или категорией устройств, чтобы обеспечить сегментацию сети. Это уменьшает поверхность атаки и предотвращает распространение угроз. Это также помогает сократить время, затрачиваемое на расследование. Продолжая стремиться к обеспечению большей прозрачности для наших клиентов, Zyxel SecuReporter предоставляет вашей организации комплексную панель управления инвентаризацией конечных устройств.
Защита удаленного подключения к корпоративной сети
Единая сеть. Nebula.
Межсетевые экраны USG FLEX, новое дополнение к семейству устройств в Nebula, значительно расширяют возможности с помощью комплексной безопасности и защиты для бизнес-сетей малого и среднего размера. Zyxel предоставляет централизованную политику безопасности для удаленного персонала и ограничения трафика, устраняя узкие места в сети и обеспечивая максимальную производительность.
Аналитические отчеты
и углубленный анализ угроз
На основной консоли межсетевых экранов серии USG FLEX выводится в удобном для чтения формате сводка статистики по трафику и графические диаграммы статистики угроз. При использовании сервиса SecuReporter можно получить углубленный анализ угроз с корреляцией событий, на основе которого можно выявить тенденции изменения состояния сети и предпринять превентивные меры для отражения атак. Отображение всех событий в сети на одной централизованной консоли упрощает управление разными клиентами и устройствами.
Пакет сервисов Hospitality
USG FLEX создан не только для обеспечения прямых функций безопасности, но и для контроля сети. Набор функций для Hospitality позволяет автоматически обнаруживать и производить конфигурацию точек доступа. Также в пакет входят: управление хот-спотами (биллинг), управление точками доступа с поддержкой Wi-Fi 6, различные функции управления доступом к сети и увеличение максимально допустимого числа авторизованных пользователей.
Проще говоря, Hospitality Pack служит именно для расширения возможностей контроллера беспроводной сети (сам по себе встроенный контроллер уже может автоматически обнаруживать и производить конфигурацию до 8 точек доступа, в том числе Wi-Fi 6). Hospitality Pack позволяет увеличить количество точек и авторизованных пользователей до максимума, добавить возможности биллинга и поддержки принтеров печати квитанций.
Есть отдельные бессрочные лицензии на увеличение количества точек (+ 2/4/8/64 AP), на увеличение количества авторизованных пользователей (+100/300) и на функцию биллинга с поддержкой принтеров.
Примечание. Hospitality — это индустрия гостеприимства (отели, рестораны, кафе. ), и для неё больше всего подходит данный набор функций. Однако новые возможности не ограничены этой сферой бизнеса. Например, увеличение количества точек и авторизованных пользователей набор может потребоваться в крупных компаниях с большим количеством «приходящих» сотрудников.
Панель инструментов серии USG FLEX предоставляет удобную для пользователя сводку трафика и визуальную статистику угроз.
SecuReporter расширяет возможности для дальнейшего анализа угроз с разработкой функции корреляции. Это позволяет не ликвидировать последствия, а предотвращать опасные события. Централизованный подход к анализу сетевых операций позволяет управлять сразу несколькими клиентами.
Миграция без усилий и проблем
Если используются лицензии серии USG — в этом случае USG FLEX обеспечивает бесшовную миграцию лицензий. Можно обновить систему защиты до новой комплектной лицензии UTM 6-в-1 более полной версии защиты. Подробнее об этом можно посмотреть в видео.
Упрощенное лицензирование
Мы знаем, что опыт покупки и продления лицензий одинаково важен для наших партнеров. Мы оптимизировали платформу управления лицензированием и обеспечили единообразный путь миграции между локальной и нашей облачной платформой. Мы заботимся о том, чтобы наши партнеры могли быстро адаптироваться к безопасной среде без лишних хлопот, но при этом сохраняя гибкость для тех, кому необходимо применять ту же безопасность в различных сетевых сценариях.
USG FLEX 100 предоставляет единую платформу централизованного управления Nebula, расширяя и усиливая защиту от межсетевых экранов до точек доступа с автоматическим реагированием. Недавно разработанная серия USG FLEX способна минимизировать использование вычислительных ресурсов и максимизировать производительность брандмауэра, обеспечивая до 5-кратного роста производительности UTM с возможностью облачного управления и совместного обнаружения и реагирования (CDR).
Все возможности для
индустрии гостеприимства
Серия ZyWALL USG FLEX не только защищает вашу сеть, но и поддерживает функции гостеприимства, включая функционал хот-спота (биллинг). При необходимости можно приобрести временную лицензию. USG FLEX также предоставляет мониторинг качества Wi-Fi, который позволяет видеть состояние подключений клиентов и проблемы с точками доступа, позволяя сетевым администраторам легко их устранять.
Считается, что серьёзная сетевая инфраструктура — это должно стоить дорого, и чем больше в ней устройств, тем лучше. Но всегда ли справедлив этот принцип? Попробуем разобраться на примере управления точками доступа Wi-Fi.
Подробнее об устройствах USG FLEX
Прежде чем приступим к описанию, остановимся на ключевых моментах.
Как было сказано выше, очень важно обеспечить единообразие среди используемого оборудования. Зачастую системные администраторы сталкиваются с проблемой, когда слабое оборудование уровня СМБ или даже SOHO (начальный уровень) требуется увязать с мощными решениями уровня Enterprise.
Тут возникает масса интересных «сюрпризов». Мало того, что слабые устройства для совсем малых (квартирных) сетей могут не поддерживать нужные протоколы (или поддерживать их только «на бумаге»), так ещё и настройка всего этого «хозяйства» может занять значительное время. Несмотря на то, что процедура настроек, в принципе, похожа, на практике могут возникать неожиданные нюансы. При этом разработчики интерфейсов управления порой проявляют недюжинную фантазию, а вот желание написать хорошую подробную документацию встречается гораздо реже.
В Zyxel при разработке новых устройств документации уделяется большое значение, а широкая линейка позволяет унифицировать операции по настройке и обслуживанию.
Если говорить про USG Flex, то данная линейка на данный момент содержит целых 5 устройств:
- USG FLEX 100 и версию с точкой доступа Wi-Fi USG FLEX 100W.
- USG FLEX 200;
- USG FLEX 500;
- USG FLEX 700.
Важно отметить, что все они поддерживают одинаковые протоколы VPN, функцию контроллера точек доступа (8 точек со стандартной лицензией при покупке), антивирус, антиспам, IDP (обнаружение и предотвращение вторжений), Патруль приложений, контентную фильтрацию, возможность подключить SecuReporter Premium по подписке.
Ниже мы остановимся подробно на каждой модели USG FLEX.
Упрощенное лицензирование
Мы знаем, что опыт покупки и продления лицензий одинаково важен для наших партнеров. Мы оптимизировали платформу управления лицензированием и обеспечили единообразный путь миграции между локальной и нашей облачной платформой. Мы заботимся о том, чтобы наши партнеры могли быстро адаптироваться к безопасной среде без лишних хлопот, но при этом сохраняя гибкость для тех, кому необходимо применять ту же безопасность в различных сетевых сценариях.
Читайте также: