Zyxel ATP500: контроллер Wi-Fi, Mesh и UTM в одном флаконе

У компании Zyxel есть прекрасная концепция для быстрого развёртывания беспроводной сети на объекте, будь то загородный клуб, филиал компании или центральный офис: это связка из шлюза безопасности Zyxel ATP и цепляющихся к нему точек доступа. Задумка выглядит следующим образом: сегодня в сеть без шлюза безопасности, разве что, домашние юзеры ходят, и вам в любом случае в компании придётся использовать такое устройство, программное или аппаратное. Так как вам нужна поддержка и SLA, то вы естественно выбираете коммерческое решение с облачным обучением и автоматическими обновлениями. И этот шлюз будет управлять находящимися снизу точками доступа в вашей беспроводной сети, обеспечивая работу «из одного окна».

Здесь надо отметить, что сама по себе функция управления WLAN-ами - достаточно простая с точки зрения нагрузки на процессор, и контроллеры беспроводных сетей уже и встраивают в точки доступа, и выводят в облако, и запускают на обычных компьютерах, хотя есть и чисто аппаратные решения, о которых мы тоже писали. В общем, каждое из этих решений в той или иной мере имеет свои плюсы и минусы, и основной плюс использования Zyxel ATP500 - это возможность использования простых точек доступа при том, что ниже шлюза вы устанавливаете только коммутаторы по количеству портов: минимум лишних устройств, минимум возни и максимум интеграции.

Межсетевой экран Zyxel ATP500

Итак, у вас есть объект, в котором вы строите безопасный беспроводной интернет. Серия Zyxel ATP относится к последнему поколению шлюзов безопасности, которые способны анализировать загружаемые файлы, в том числе архивы, проявлять их на наличие вирусов, подозрительные файлы отправлять на анализ в облако, а безопасные и полезные - пропускать. Помимо этого используется мульти-уровневая защита на базе паттернов существующих атак, защита уровня приложения, Web-безопасность и репутационные листы, необходимые при массированных DDoS-атаках.

Все ATP-шлюзы в мире общаются с центральным облаком, обмениваясь данными о новых типах атак (привет, телеметрия), что позволяет глобальной системе безопасности постоянно обучаться и развиваться автономно. То есть, завтра ваш Zyxel ATP станет чуть умнее, чем он был сегодня, и всё это за счёт модного сегодня машинного обучения.

На момент подготовки обзора, в серии Zyxel ATP было 4 модели, отличающиеся числом портов и производительностью. Рассматриваемая нами ATP500 занимает вторую сверху позицию и обещает вам поддержку 64 VLAN-ов, 50 туннелей SSL и пропускную способность Firewall (SPI) на уровне 2600 Мбит/с. Одновременно поддерживается до 1 миллиона TCP-сессий, то есть если за шлюзом у вас стоит маленькое публичное или большое корпоративное облако - возможностей ATP500 будет достаточно для поддержания трафика пользователей и приложений. Все устройства собраны в металлических корпусах высотой 1U, но различной ширины, так что вы можете устанавливать их как в телекоммуникационном шкафу, так и просто на столе, в духе Edge. :)

Что касается VPN, то поддерживается до 200 одновременных тоннелей IPSec, 50 тоннелей SSL, а так же поддержка Microsoft Azure и Amazon VPC. Тоннель SSL VPN организует подключение к шлюзу по 443 порту для доступа к приватной сети. Клиент для VPN вы можете скачать непосредственно с самого шлюза, точнее из его веб-интерфейса. Стандарт OpenVPN не поддерживается, вероятно из-за невысокой производительности SoC.

Что интересно, Firewall-а в виде таблицы с флажками Accept / Drop / Forward здесь нет, и с моей точки зрения это - минус, потому что насколько бы вы ни сделали всё в виде сервисов, всегда следует оставлять возможность для ручного прописывания правил через Web-интерфейс.

Конечно, изюминка ATP-серии - это всевозможные фильтры, защищающие вас от:

• Вторжений в вашу сеть из Интернета
• Проникновения в сеть заражённых файлов и троянов
  DoS и DDoS атак
• Посещения вашими сотрудниками сомнительных сайтов

Вся эта фильтрация работает прозрачно для пользователя, и даже администратору устройства даётся возможность только включить/выключить тот или иной фильтр и настроить категории нежелательных сайтов из предложенных. Конечно, для интегратора или компании-посредника, которой нужно быстренько развернуть защиту сети и скинуть всю работу устройства на вендора - это подарок, но если вы привыкли досконально всё настраивать - вас ждёт разочарование.

Вот, например Zyxel ATP500 использует технологию DNSBL, чёрных списков адресов, с которых генерируется вредоносный трафик. Определить и настроить источники подписок вам не дано, и если всё включить с настройками по умолчанию, то даже крупные сайты типа Yandex или RBC теряют свой нормальный вид.

Отчасти, это происходит из-за блокировки рекламы и треккеров. Сегодня эту гадость не блокирует разве что ленивый, и надо сказать - весьма эффективно.

При мощной DDoS атаке у вас не останется выбора кроме как отбивать целиком континенты и страны, и прежде всего, с сомнительной репутацией. Вы, конечно же, сразу можете ограничить трафик только той областью, на которую вы работаете, отключив к примеру, Вьетнам, всю Африку, или всю Восточную Европу, если это необходимо. Но делать это придётся вручную: такой полезной настройки, как например «1000 срабатываний из Африки - блокировать весь континент» здесь нет, но для корпоративной сети это, в общем-то, не проблема.

Антивирусная защита, так называемая «Песочница» работает совершенно прозрачно для пользователя: заражённые файлы шлюз безопасности очищает (забивает нулями). Эта функция работает как при веб-сёрфинге, так и при сканировании почты, и для эффективного обнаружения угроз при веб-серфинге по защищённому протоколу HTTPS, вам нужно лишь создать соответствующий профиль.

Зато сколько раз вы встречали на форумах крики сисадминов: «Помогите заблокировать Youtube на Mikrotik?» Вот здесь ответ прост как белый день: у вас все сайты мира разделены на категории, а списки регулярно обновляются и являются частью сервиса Zyxel. Вы можете заблокировать целиком типы сайтов, например порнографического или развлекательного содержания, и отдельной строкой в чёрный список занести Youtube, чтобы враг не пробрался через ваш заслон.

Что интересно, фильтрация используется для различных интерфейсов, то есть вы можете для VPN настроить одни правила, а для GE/2 - другие, и за счёт этого применять разделение полномочий в рамках вашей организации.

Zyxel ATP500 позволяет создавать до 64 VLAN-сетей, привязывая их на физические или логические порты. Из стандартных функций маршрутизатора, вам доступны проброс портов и NAT.

Контроллер точек доступа логически объединяет хот-споты в группы, позволяя создавать различные WLAN-сети на объекте. Поддерживаются функции бесшовного роуминга IEEE 802.11k/r, обнаружение подозрительных точек доступа и автоматическая калибровка радио модуля. При захвате точек доступа, их собственный интерфейс управления отключается, так что о безопасности хо-спотов можно не беспокоиться.

В качестве Mesh-функции, используется Zyxel-евский проприетарный протокол ZyMesh, который отличается от традиционной Mesh-сети. Всё дело в том, что в обычном Mesh-пространстве вся сеть является одноранговой, а точки доступа - равнозначными. Выпадение одной точки доступа крупная сеть может даже и не заметить, а связь между хот-спотами проходит как по Wi-Fi, так и по проводу. В случае ZyMesh, вы устанавливаете роли корневых хот-спотов и репитеров. Первые подключаются к интернету только по кабелю, а для backhaul-канала и у тех и у других резервируется один из радиомодулей (2.4 ГГц или 5 ГГц). По отношению к корневым хот-спотам, репитеры могут организовываться в цепочку или звезду, здесь так же используется некий аналог STP для нахождения наиболее быстрого маршрута, но связь между репитерами осуществляется только по радио каналу.

Вообще, впервые ZyMesh была описана ещё в 2015 году на первом этапе перехода от WDS к одноранговым сетям, но сегодня, в конце 2019 года я не могу назвать вам ни одной причины, чем Zymesh лучше обычного Mesh, реализованного например в Zyxel Multy X, о котором мы делали обзор ранее. Тем не менее, если число хопов, на которые вы масштабируете беспроводную сеть, небольшое, ну скажем 2-3, то топология не так важна, и даже на краю такой сети, у клиентов будет скорость порядка 70-80 Мбит/с.

Точки доступа Zyxel NWA5123AC-HD и WAC-6103D

Если вы решили использовать сеть ZyMesh, то возможно, вам придётся устанавливать 2 или более корневых точки доступа, и с одной вести Backhaul канал на частоте 2.4 ГГц, а с другой - на частоте 5 ГГц. Не каждая точка доступа Zyxel даст вам переключить в режим RootAP свой 5-гигагерцовый радиомодуль. Из рассматриваемых нами моделей, такая функция есть у NWA5123AC-HD.

Эта модель имеет 2 радиомодуля: один - формата 2x2 MIMO для частоты 2.4 ГГц, и второй - формата 3х3 SU/MU-MIMO для 5 ГГц. Поддерживается второе поколение технологии направления сигнала Beamforming и управление из облака Nebula (работа этого сервиса подробно рассмотрена в обзоре коммутатора Zyxel GS1920-8HP). Как это положено точкам доступа Zyxel, сам антенный блок вынесен на отдельную металлическую пластину для снижения наводок на электронику. На материнской плате точки доступа ВЧ-модули имеют собственное экранирование, да плюс к этому - корпус хот-спота сделан из алюминия. Суммарно это помогает сконцентрировать направление радиосигнала в одну сторону, и снизить излучение в сторону электроники и перекрытий, чтобы не мешать другим точкам доступа.

Точка доступа WAC6103D-I - это хорошо знакомая нам NWA1123AC-Pro (см. наш обзор), имеющая антенные группы 3х3 как для 2.4-ГГц, так и для 5 ГГц диапазонов. Эта модель интересна тем, что имеет аппаратный переключатель режима установки: на потолке / на стене.

К экранированию здесь всё тот же суровый Zyxel-евский подход, но задняя стенка корпуса - пластиковая. Обе точки доступа имеют по два 1-гигабитных порта. Суммарная пропускная способность NWA5123AC-HD составляет 1.6 Гбит/с, а у WAC6103D-I этот показатель равен 1.75 Гбит/c.

Рекомендации при заказе

Серию Zyxel ATP стоит рассматривать не как железку, а как сервис, который вы приобретаете у компании-разработчика, а железка даётся вам в нагрузку. В первую очередь, конечно, речь идёт о безопасности обслуживаемого объекта, которая здесь настраивается буквально в два-три клика мышью. Конечно, вам доступна красивая панель управления, на которой ежеминутно обновляется число отражённых атак вашим сетевым шлюзом. В области же защиты от DDoS, ботнетов и вредных сайтов, в том числе Youtube, и антивирусной защиты, это устройство - то, что надо. Конечно, многого здесь не хватает, как например: OpenVPN, полноценного Firewall с удобным интерфейсом, возможности добавить свои подписки, ну хотя бы те же самые Emergint Threats, а в области Wi-Fi остаётся открытым вопрос с Band Steering.

При всём этом, рассмотренное решение - это своеобразный конструктор, который можно в готовом виде засылать на удалённый объект, настраивать буквально за пару часов, а затем обслуживать удалённо через облако, возложив вопрос безопасности сети на компанию Zyxel.

Михаил Дегтярёв (aka LIKE OFF)
16/12.2019