ZyWALL 1100
Межсетевой экран нового поколения ZyWALL 1100 предназначен для решения задач по созданию высокоскоростных защищенных каналов передачи данных через Интернет для связи с удаленными офисами, филиалами, партнерами и выездными сотрудниками, отвечая тенденциям малого и среднего бизнеса к глобализации и мобильности бизнес-процессов.
ZyWALL 1100 сочетает в себе новейшую аппаратную платформу, основанную на высокопроизводительном процессоре Cavium Octeon CN6230 и проверенную временем операционную систему ZLD, надежность и функциональность которой подтверждена многолетней успешной эксплуатацией центров безопасности ZyWALL USG различными компаниями во многих странах мира. ZyWALL 1100 располагает тем же впечатляющим арсеналом функций, что и центры безопасности ZyWALL USG, за исключением сервисов сетевой безопасности, таких как антивирус, защита от вторжений и патруль приложений, контентная фильтрация и фильтрация спама. При отсутствии этих сервисов, все ресурсы аппаратной платформы устройства направлены на повышение производительности SPI Firewall и VPN, благодаря чему ZyWALL 1100 демонстрирует одни из самых высоких показателей пропускной способности SPI Firewall и VPN в своем классе устройств. Высокая производительность ZyWALL 1100 делает его оптимальным решением для малых и средних предприятий с уже сформированной защитой от угроз из Интернета.
Благодаря реализованным в ZyWALL 1100 технологиям VPN, таким как IPSec, L2TP/IPSec и SSL VPN, предприятия могут объединять свои многочисленные географически распределенные подразделения в единую безопасную информационную инфраструктуру используя широкополосные подключения к Интернету, а так же создавать мобильные рабочие места на базе смартфонов и планшетов для своих выездных сотрудников, позволяя им мгновенно решать многие рабочие вопросы вне офиса, что значительно ускоряет бизнес-процессы. Наряду с высокой скоростью передачи данных по каналам VPN, межсетевой экран ZyWALL 1100 располагает эффективными средствами приоритезации трафика и распределения полосы пропускания, и тем самым адекватно отвечает потребностям бизнеса в использовании современных бизнес-приложений, чувствительных к задержкам и потерям передаваемых данных. С использованием ZyWALL 1100, телефонная связь, видеоконференции, а так же совместный централизованный доступ к документам и базам данных становятся доступными сотрудникам многочисленных удаленных подразделений. Бесперебойная работа туннелей VPN между удаленными объектами обеспечивается резервированием VPN через множественные каналы Интернета подключенные к внешним интерфейсам устройства.
Поддержка LDAP/MS AD/RADIUS помогает структурировать политики безопасности на основе уже существующей методики организации сети. В устройстве присутствует 8 универсальных портов WAN/LAN/DMZ GbE, реализуется множественное резервирование доступа в Интернет и балансировка нагрузки. Поддерживается резервирование подключения к провайдеру с помощью USB-модемов 2,5/3G и резервирование самого ZyWALL, что позволяет обеспечить высокую отказоустойчивость.
При всех своих широких функциональных возможностях новые межсетевые экраны ZyWALL являются простыми и надежными в эксплуатации устройствами с привлекательным соотношением цены и качества, внедрение и эксплуатация которых не требует существенных финансовых и трудовых затрат. Эти устройства оснащены интуитивно понятным пользовательским веб-интерфейсом с перекрестной системой навигации, встроенным справочником и графическим мониторингом состояния. Объектно-ориентированная модель управления позволяет максимально упростить настройку даже в сложных сетях.
Основные преимущества
Три типа VPN в одном устройстве
В дополнение к традиционной для межсетевых экранов поддержке технологии IPSec VPN, идеальной для создания постоянных подключений типа сеть-сеть между удаленными подразделениями, также поддерживаются L2TP over IPSec и SSL, которые идеально подходят для подключения удаленных сотрудников. Появление на рынке недорогих и эффективных мобильных компьютерных устройств с подключением к Интернету и поддержкой VPN способствует мобильности бизнеса. Технология L2TP over IPSec VPN реализованная в ZyWALL 1100 и поддерживаемая операционными системами iPhone iOS, Android и MS Windows позволяет компаниям создавать мобильные рабочие места для своих сотрудников на базе таких устройств, предоставляя им удаленный доступ к бизнес-приложениям в корпоративной сети. Благодаря ZyWALL 1100 каждый сотрудник компании, имеющий при себе смартфон или планшет, может в любой момент безопасно подключиться к корпоративной сети и мгновенно решить многие рабочие вопросы вне офиса, что значительно ускоряет бизнес-процессы.
Кроме того, ZyWALL 1100 поддерживает технологию SSL VPN, которая так же является эффективным решением для предоставления сотрудникам безопасного удаленного доступа к ресурсам корпоративной сети. Используя эту технологию, межсетевой экран ZyWALL 1100 способен обеспечить простой, не связанный с настройкой клиентского оборудования или установкой программных клиентов способ доступа к почтовому серверу, файлам и приложениям, веб-серверам и другим ресурсам корпоративной сети. Для создания SSL-подключения на стороне клиента требуется только наличие стандартного компьютера с веб-браузером и подключением к Интернету, что позволяет создавать подключение из любой точки мира с любого компьютера. Безопасность подключения обеспечивается современными криптостойкими методами шифрования, применением цифровых сертификатов, а так же, при необходимости, системой двухфакторной аутентификации. Доступ к ресурсам сети осуществляется через настраиваемый SSL-портал. Функциональность SSL-портала может быть расширена при помощи тонкого клиента SecuExtender (Java), автоматически загружаемого с шлюза ZyWALL USG и устанавливаемого определенным пользователям для обеспечения дополнительных возможностей доступа к сети.
Технология Easy VPN
Технологии VPN весьма эффективны для создания мобильных и удаленных рабочих мест для сотрудников предприятия. Но настройка VPN-подключения на устройствах сотрудников может стать непростой задачей, как для самих сотрудников, так и для IT-персонала. В дополнение к упомянутым выше технологиям VPN для создания мобильных рабочих мест, межсетевой экран ZyWALL 1100 предоставляет возможность удаленного подключения пользователей с программой ZyWALL IPSec VPN Client. Преимуществом данного решения является автоматическое конфигурирование VPN-соединения на стороне удаленного сотрудника. Благодаря использованию технологии Easy VPN, для конфигурирования VPN-соединения пользователю требуется только ввести IP-адрес удаленного ZyWALL и свои учетные данные (имя пользователя и пароль). Конфигурация VPN, предварительно подготовленная IT-персоналом для пользователя, в считанные секунды загружается в программу и все готово для создания VPN-соединения с удаленным ZyWALL.
Бесперебойный доступ в Интернет
При выполнении повседневных операций бизнеса недоступность каналов подключения к Интернету негативно отражается на работе организации. Межсетевой экран ZyWALL 1100 позволяет решить эту проблему. Благодаря множественным портам WAN, он позволяет использовать одновременно несколько каналов Интернета от разных Интернет-провайдеров. Балансировка нагрузки каналов, автоматическое переключение на резервный канал в случае отказа основных, возврат на основной канал при возобновлении его функционирования и использование 3G-модема в качестве резервного канала – все эти функции могут обеспечить бесперебойный доступ в Интернет 24 часа в сутки.
Резервирование устройства
Резервирование устройства (Device HA) гарантирует круглосуточную бесперебойную работу всех функций межсетевого экрана ZyWALL 1100. Это достигается путем одновременного использования двух устройств ZyWALL 1100: основного и резервного. В случае временного сбоя или выхода из строя основного устройства все его функции автоматически берет на себя резервное устройство.
Настраиваемые уровни безопасности сегментов сети
ZyWALL 1100 поддерживает технологии виртуализации L3: VLAN и виртуальные интерфейсы-псевдонимы. Сегмент сети может содержать набор из нескольких интерфейсов, что позволяет с легкостью управлять уровнем безопасности различных подразделений, назначать гранулированные политики контроля и вести наблюдение за активностью в сетях различного уровня сложности.
Многокритериальные политики доступа
Интеллектуальная система обработки правил реализованная в ZyWALL 1100 принимает решение о направлении пакетов в соответствии с политиками доступа основанными на множественных критериях объектного набора, в том числе, таких как пользователь/группа пользователей, IP-адрес источника/получателя, тип сервиса и время активации/деактивации правила. Подобные политики действуют для правил межсетевого экрана, маршрутизации и управления полосой пропускания.
Управление полосой пропускания для обеспечения QoS
Инструментарий управления полосой пропускания позволяет вводить приоритеты передачи трафика, гарантируя либо ограничивая использование доступной емкости подключения для определенных типов трафика и объектов в сети. Это позволяет обеспечивать наилучшее качество обслуживания для трафика бизнес-приложений чувствительных к задержкам и потерям передаваемых данных, например, таким как IP-телефония и видеоконференсвязь. История распределения полосы пропускания заносится в журнал и может быть просмотрена в виде отчета.
Поддержка IPv6
Межсетевой экран ZyWALL 1100 поддерживает протокол IPv6 (Internet Protocol version 6), что подтверждают результаты испытаний по программе сертификации IPv6 Gold Logo Phase 1 и Phase2, проводимой по инициативе консорциума IPv6 Forum. Поддержка IPv6 позволит компаниям избежать затрат на новое IPv6-совместимое оборудование в процессе предстоящей миграции корпоративных сетей к инфраструктуре IPv6, сохраняя высокий уровень сетевой безопасности и оправдывая инвестиции в ZyWALL 1100.
Комплексная система отчетности
Устройства серии ZyWALL USG имеют встроенную систему отчетности, которая включает в себя целый ряд отчетов реального времени и исторических отчетов, в том числе о работе межсетевого экрана, антивируса, системы обнаружения и предотвращения вторжений, использовании пропускной способности интерфейсов устройства, активности пользователей и посещаемых ими интернет-сайтах. Кроме того, имеется возможность захвата и сохранения в файл дампов трафика на любых интерфейсах устройства. Эти возможности позволят IT-персоналу компании получать всю необходимую информацию для поддержания сети в рабочем состоянии и оптимизации ее работы.
Централизованное управление и мониторинг
ZyWALL 1100 поддерживает работу с современной системой централизованного управления сетевыми шлюзами Vantage CNM и инструментом мониторинга и создания отчетов Vantage Report. Использование этих инструментов позволит IT-персоналу централизованно управлять работой географически распределенных сетей любой сложности.
Порты USB и слот CF CARD для расширения функциональности
Порты USB и слот CF CARD могут быть использованы для установки поддерживаемых типов 3G-модемов, а так же для подключения FLASH-накопителей, используемых для накопления и хранения логов и дампов трафика.
Система
- Пропускная способность МСЭ, Мбит/с *1: 3 600
- Пропускная способность VPN IPSec (AES) *2, Мбит/с: 800
- Максимальное количество пользовательских сессий *3: 500 000 (8 000 сессий в секунду)
- Максимальное количество одновременных туннелей VPN IPSec: 1000
- Одновременных пользователей SSL VPN: 250
- MAC-адреса: 8
- Физические порты: 8xRJ45 GbE
- Группы портов L2: 8xOPT (WAN/LAN1/LAN2/WLAN/DMZ)
Сеть
- Сервер/клиент DHCP
- Стандартные опции DHCP: 2,4,42,66,67,120,124,125,138,150
- Поддержка пользовательских опций DHCP с типом данных boolean/unit8/unit16/ip/fqdn/text/hex
- Одновременная работа в режимах моста и маршрутизатора
- Интерфейсы VLAN 802.1q: 128
- Виртуальные интерфейсы-псевдонимы (IP Alias)
- Поддержка IPv6
- Маршрутизация на основе политик, статическая, RIP и OSPF
- NAT: SNAT/DNAT
- Динамический ALG: SIP/H.323, FTP, IPSec, L2TP, MSN, PPTP и RTP
- Встроенный DNS-сервер
- HTTP Redirect
Поддерживаемые модемы 3G
Модель |
Микропрограмма |
Huawei E160E |
11.608.06.00.00 |
Huawei EC1261 (CDMA) |
11.102.11.00.45 |
11.106.07.00.000 |
|
TCPU_HWEC1261DT02 |
|
Huawei E372 |
11.113.19.20.55 |
Huawei E150 |
11.609.82.02.143 |
Huawei E1550 |
11.609.16.01.108 |
Huawei E230 |
11.104.14.00.00 |
Huawei E220 |
076.11.07.106 |
Huawei E169u |
11.108.03.01.68 |
11.126.08.02.68 |
|
Huawei E612 |
056.11.04.103 |
Huawei E1750 |
11.126.00.00.00 |
Huawei E270 |
11.306.04.00.00 |
Huawei E173 |
11.126.85.00.00 |
11.126.83.00.00 |
|
E173 (SWISSCOM) |
11.126.16.01.103 |
E173 (Sunrise) |
11.126.16.00.00 |
Huawei E156G |
11.609.10.00.00 |
Huawei E161 |
11.806.06.86.00 |
Huawei E177 |
11.126.85.00.00 |
Huawei E180 |
11.126.10.00.00 |
Sierra AC850 |
U1_1_29ACAP |
U1_2_40ACAP |
|
F1_0_0_2AP |
|
F1_0_0_11AP |
Безопасность
- МСЭ с контролем состояния сессий (SPI Firewall)
- Виртуальные частные сети: IPSec, L2TP over IPSec и SSL
- Политики управления доступом по критериям: ip-адрес/порт/пользователь/время
- VoIP поверх VPN
Виртуальные частные сети (VPN)
- Маршрутизируемые туннели IPSec VPN
- Аппаратный ускоритель DES, 3DES, AES,
- Аутентификация в туннеле: MD5, SHA-1 и SHA-2
- Управление ключами: назначение вручную или IKE
- PKI: PKCS #7, #10 и #12
- Регистрация сертификатов: CMP, SCEP
- Упреждающая смена ключей (PFS): DH 1, 2, 5
- Аутентифицирующий заголовок (AH)
- Инкапсуляция зашифрованных данных (ESP)
- Поддержка NAT поверх IPSec и NAT Traversal
- DPD (Dead Peer Detection) и предотвращение повторного обнаружения
- VPN-концентратор (Hub and Spoke)
- Поддержка Split DNS
- SSL VPN в режимах Reverse Proxy и Full Tunnel
- L2TP over IPSec VPN (совместимость с Android v3.00 и iPhone iOS4)
Резервирование
- Резервирование WAN c балансировкой нагрузки
- Резервирование VPN (Failover/Fallback)
- Резервирование устройства (Device HA)
- Подключение к нескольким провайдерам на одном внешнем интерфейсе
- Балансировка нагрузки WAN-портов при входящих соединениях
- Резервирование 3G
Авторизация пользователей
- RADIUS, LDAP, MS Active Directory и во внутренней базе
- Поддержка двухфакторной аутентификации (OTP)
- Политики правил на основе пользователей/групп
Управление
- Интуитивный веб-интерфейс (HTTP и HTTPS) со встроенным руководством пользователя
- Мастера настройки основных функций
- Панель мониторинга статуса системы
- Ролевая модель администрирования с поддержкой привилегий и одновременного доступа
- Объектно-ориентированная архитектура
- Текстовый файл конфигурации
- Поддержка Shell Script, выполнение скриптов по расписанию
- Полнофункциональный командный интерфейс: консоль/веб-консоль/ssh/telnet
- Регистрация устройства, активация сервисов и загрузка обновлений платформы ZSDN (ZyXEL Security Distribution Network) встроена в интерфейс
- Централизованная система журналирования системных событий
- Поддержка экспорта журналов syslog (до 4 внешних серверов)
- SNMP v2/v3 с поддержкой MIB-II
- Оповещение по электронной почте
- Мониторинг сетевой активности и установленных VPN-туннелей в реальном времени
- Обновление микропрограммы: FTP, FTP-TLS, веб-интерфейс
- Поддержка отката конфигурации
- Поддержка системы централизованного управления Vantage CNM и инструмента мониторинга Vantage Report
Аппаратные характеристики
- Объем памяти: 2 Гбайт системная память, 512 Мбайт флэш-память
- 7 Ethernet-портов 1 Гбит RJ-45 с автоопределением скорости и типа подключения
- Консольный порт RS-232, DB9F
- Светодиодная индикация: PWR, SYS
- Кнопка сброса настроек
- Слот расширения CF CARD
- 2 порта USB 2.0
- Питание: 100-240 В переменного напряжения (потребляемый ток не более 1.3 A)
- Максимальная потребляемая мощность: 58,5 Вт
Рабочая среда и размеры
- Монтаж в 19’’ стойку, настольное и настенное размещение
- Размеры: 430.0(Ш) x 250.0(Г) x 44(В), мм
- Масса: 3300 г
- Температура: от 0 ºC до 40 ºC
- Влажность: от 10% до 90% (без конденсации)
*1: Максимальная пропускная способность, измеренная в соответствии с RFC 2544 (трафик UDP, размер пакета 1,518 байт)
*2: Максимальная пропускная способность VPN, измеренная в соответствии с RFC 2544 (алгоритм шифрование AES, трафик UDP, размер пакета 1,424 байт)
*4: Максимальное количество сессий, измеренное с помощью программного обеспечения IXIA IxLoad
Комплектация
ZyWALL 1100
Сетевой шнур
Монтажный комплект для установки в стойку
Кабель RJ45 Gigabit Ethernet
Y-разветвитель RS-232 для подключения по консоли
Краткое руководство (брошюра)