Zyxel ATP500: контроллер Wi-Fi, Mesh и UTM в одном флаконе

У компании Zyxel есть прекрасная концепция для быстрого развёртывания беспроводной сети на объекте, будь то загородный клуб, филиал компании или центральный офис: это связка из шлюза безопасности Zyxel ATP и цепляющихся к нему точек доступа. Задумка выглядит следующим образом: сегодня в сеть без шлюза безопасности, разве что, домашние юзеры ходят, и вам в любом случае в компании придётся использовать такое устройство, программное или аппаратное. Так как вам нужна поддержка и SLA, то вы естественно выбираете коммерческое решение с облачным обучением и автоматическими обновлениями. И этот шлюз будет управлять находящимися снизу точками доступа в вашей беспроводной сети, обеспечивая работу «из одного окна».

Zyxel ATP500 - межсетевой экран

Здесь надо отметить, что сама по себе функция управления WLAN-ами - достаточно простая с точки зрения нагрузки на процессор, и контроллеры беспроводных сетей уже и встраивают в точки доступа, и выводят в облако, и запускают на обычных компьютерах, хотя есть и чисто аппаратные решения, о которых мы тоже писали. В общем, каждое из этих решений в той или иной мере имеет свои плюсы и минусы, и основной плюс использования Zyxel ATP500 - это возможность использования простых точек доступа при том, что ниже шлюза вы устанавливаете только коммутаторы по количеству портов: минимум лишних устройств, минимум возни и максимум интеграции.

Межсетевой экран Zyxel ATP500

Итак, у вас есть объект, в котором вы строите безопасный беспроводной интернет. Серия Zyxel ATP относится к последнему поколению шлюзов безопасности, которые способны анализировать загружаемые файлы, в том числе архивы, проявлять их на наличие вирусов, подозрительные файлы отправлять на анализ в облако, а безопасные и полезные - пропускать. Помимо этого используется мульти-уровневая защита на базе паттернов существующих атак, защита уровня приложения, Web-безопасность и репутационные листы, необходимые при массированных DDoS-атаках.

Облачная защита Zyxel

Все ATP-шлюзы в мире общаются с центральным облаком, обмениваясь данными о новых типах атак (привет, телеметрия), что позволяет глобальной системе безопасности постоянно обучаться и развиваться автономно. То есть, завтра ваш Zyxel ATP станет чуть умнее, чем он был сегодня, и всё это за счёт модного сегодня машинного обучения.

Спецификация

ZyWALL ATP100

ZyWALL ATP200 ZyWALL ATP500

ZyWALL ATP800

Число портов, 1GBase-T

4

4

7

12

Число слотов SFP+

1

1

1

2

Производительность устройства в обработке пакетов, Мбит/с

SPI

1000

2000

2600

8000

VPN

300

500

900

1500

IDP

600

1200

1700

2700

AV

250

450

700

1200

Производительность маршрутизации

Максимум TCP-сессий

300K

600K

1M

2M

Максимум туннелей IPsec

40

40

200

1000

Максимум туннелей SSL

10

10

50

100

VLAN-интерфейсы

8

16

64

128

Число управляемых точек доступа

10

18

34

130

На момент подготовки обзора, в серии Zyxel ATP было 4 модели, отличающиеся числом портов и производительностью. Рассматриваемая нами ATP500 занимает вторую сверху позицию и обещает вам поддержку 64 VLAN-ов, 50 туннелей SSL и пропускную способность Firewall (SPI) на уровне 2600 Мбит/с. Одновременно поддерживается до 1 миллиона TCP-сессий, то есть если за шлюзом у вас стоит маленькое публичное или большое корпоративное облако - возможностей ATP500 будет достаточно для поддержания трафика пользователей и приложений. Все устройства собраны в металлических корпусах высотой 1U, но различной ширины, так что вы можете устанавливать их как в телекоммуникационном шкафу, так и просто на столе, в духе Edge. :)

Что касается VPN, то поддерживается до 200 одновременных тоннелей IPSec, 50 тоннелей SSL, а так же поддержка Microsoft Azure и Amazon VPC. Тоннель SSL VPN организует подключение к шлюзу по 443 порту для доступа к приватной сети. Клиент для VPN вы можете скачать непосредственно с самого шлюза, точнее из его веб-интерфейса. Стандарт OpenVPN не поддерживается, вероятно из-за невысокой производительности SoC.

Что интересно, Firewall-а в виде таблицы с флажками Accept / Drop / Forward здесь нет, и с моей точки зрения это - минус, потому что насколько бы вы ни сделали всё в виде сервисов, всегда следует оставлять возможность для ручного прописывания правил через Web-интерфейс.

Конечно, изюминка ATP-серии - это всевозможные фильтры, защищающие вас от:

  • Вторжений в вашу сеть из Интернета
  • Проникновения в сеть заражённых файлов и троянов
    DoS и DDoS атак
  • Посещения вашими сотрудниками сомнительных сайтов

Вся эта фильтрация работает прозрачно для пользователя, и даже администратору устройства даётся возможность только включить/выключить тот или иной фильтр и настроить категории нежелательных сайтов из предложенных. Конечно, для интегратора или компании-посредника, которой нужно быстренько развернуть защиту сети и скинуть всю работу устройства на вендора - это подарок, но если вы привыкли досконально всё настраивать - вас ждёт разочарование.

Вот, например Zyxel ATP500 использует технологию DNSBL, чёрных списков адресов, с которых генерируется вредоносный трафик. Определить и настроить источники подписок вам не дано, и если всё включить с настройками по умолчанию, то даже крупные сайты типа Yandex или RBC теряют свой нормальный вид.

Отчасти, это происходит из-за блокировки рекламы и треккеров. Сегодня эту гадость не блокирует разве что ленивый, и надо сказать - весьма эффективно.

Гео-модуль в Zyxel ATP500

При мощной DDoS атаке у вас не останется выбора кроме как отбивать целиком континенты и страны, и прежде всего, с сомнительной репутацией. Вы, конечно же, сразу можете ограничить трафик только той областью, на которую вы работаете, отключив к примеру, Вьетнам, всю Африку, или всю Восточную Европу, если это необходимо. Но делать это придётся вручную: такой полезной настройки, как например «1000 срабатываний из Африки - блокировать весь континент» здесь нет, но для корпоративной сети это, в общем-то, не проблема.

Сервис песочницы

Антивирусная защита, так называемая «Песочница» работает совершенно прозрачно для пользователя: заражённые файлы шлюз безопасности очищает (забивает нулями). Эта функция работает как при веб-сёрфинге, так и при сканировании почты, и для эффективного обнаружения угроз при веб-серфинге по защищённому протоколу HTTPS, вам нужно лишь создать соответствующий профиль.

Зато сколько раз вы встречали на форумах крики сисадминов: «Помогите заблокировать Youtube на Mikrotik?» Вот здесь ответ прост как белый день: у вас все сайты мира разделены на категории, а списки регулярно обновляются и являются частью сервиса Zyxel. Вы можете заблокировать целиком типы сайтов, например порнографического или развлекательного содержания, и отдельной строкой в чёрный список занести Youtube, чтобы враг не пробрался через ваш заслон.

Настройка интерфейсов

Что интересно, фильтрация используется для различных интерфейсов, то есть вы можете для VPN настроить одни правила, а для GE/2 - другие, и за счёт этого применять разделение полномочий в рамках вашей организации.

Настройка VLAN

Zyxel ATP500 позволяет создавать до 64 VLAN-сетей, привязывая их на физические или логические порты. Из стандартных функций маршрутизатора, вам доступны проброс портов и NAT.

Контроллер точек доступа логически объединяет хот-споты в группы, позволяя создавать различные WLAN-сети на объекте. Поддерживаются функции бесшовного роуминга IEEE 802.11k/r, обнаружение подозрительных точек доступа и автоматическая калибровка радио модуля. При захвате точек доступа, их собственный интерфейс управления отключается, так что о безопасности хо-спотов можно не беспокоиться.

В качестве Mesh-функции, используется Zyxel-евский проприетарный протокол ZyMesh, который отличается от традиционной Mesh-сети. Всё дело в том, что в обычном Mesh-пространстве вся сеть является одноранговой, а точки доступа - равнозначными. Выпадение одной точки доступа крупная сеть может даже и не заметить, а связь между хот-спотами проходит как по Wi-Fi, так и по проводу. В случае ZyMesh, вы устанавливаете роли корневых хот-спотов и репитеров. Первые подключаются к интернету только по кабелю, а для backhaul-канала и у тех и у других резервируется один из радиомодулей (2.4 ГГц или 5 ГГц). По отношению к корневым хот-спотам, репитеры могут организовываться в цепочку или звезду, здесь так же используется некий аналог STP для нахождения наиболее быстрого маршрута, но связь между репитерами осуществляется только по радио каналу.

Схема Zymesh

Вообще, впервые ZyMesh была описана ещё в 2015 году на первом этапе перехода от WDS к одноранговым сетям, но сегодня, в конце 2019 года я не могу назвать вам ни одной причины, чем Zymesh лучше обычного Mesh, реализованного например в Zyxel Multy X, о котором мы делали обзор ранее. Тем не менее, если число хопов, на которые вы масштабируете беспроводную сеть, небольшое, ну скажем 2-3, то топология не так важна, и даже на краю такой сети, у клиентов будет скорость порядка 70-80 Мбит/с.

Точки доступа Zyxel NWA5123AC-HD и WAC-6103D

Если вы решили использовать сеть ZyMesh, то возможно, вам придётся устанавливать 2 или более корневых точки доступа, и с одной вести Backhaul канал на частоте 2.4 ГГц, а с другой - на частоте 5 ГГц. Не каждая точка доступа Zyxel даст вам переключить в режим RootAP свой 5-гигагерцовый радиомодуль. Из рассматриваемых нами моделей, такая функция есть у NWA5123AC-HD.

Эта модель имеет 2 радиомодуля: один - формата 2x2 MIMO для частоты 2.4 ГГц, и второй - формата 3х3 SU/MU-MIMO для 5 ГГц. Поддерживается второе поколение технологии направления сигнала Beamforming и управление из облака Nebula (работа этого сервиса подробно рассмотрена в обзоре коммутатора Zyxel GS1920-8HP). Как это положено точкам доступа Zyxel, сам антенный блок вынесен на отдельную металлическую пластину для снижения наводок на электронику. На материнской плате точки доступа ВЧ-модули имеют собственное экранирование, да плюс к этому - корпус хот-спота сделан из алюминия. Суммарно это помогает сконцентрировать направление радиосигнала в одну сторону, и снизить излучение в сторону электроники и перекрытий, чтобы не мешать другим точкам доступа.


Точка доступа WAC6103D-I - это хорошо знакомая нам NWA1123AC-Pro (см. наш обзор), имеющая антенные группы 3х3 как для 2.4-ГГц, так и для 5 ГГц диапазонов. Эта модель интересна тем, что имеет аппаратный переключатель режима установки: на потолке / на стене.

Установка точки доступа

К экранированию здесь всё тот же суровый Zyxel-евский подход, но задняя стенка корпуса - пластиковая. Обе точки доступа имеют по два 1-гигабитных порта. Суммарная пропускная способность NWA5123AC-HD составляет 1.6 Гбит/с, а у WAC6103D-I этот показатель равен 1.75 Гбит/c.

Рекомендации при заказе

Серию Zyxel ATP стоит рассматривать не как железку, а как сервис, который вы приобретаете у компании-разработчика, а железка даётся вам в нагрузку. В первую очередь, конечно, речь идёт о безопасности обслуживаемого объекта, которая здесь настраивается буквально в два-три клика мышью. Конечно, вам доступна красивая панель управления, на которой ежеминутно обновляется число отражённых атак вашим сетевым шлюзом. В области же защиты от DDoS, ботнетов и вредных сайтов, в том числе Youtube, и антивирусной защиты, это устройство - то, что надо. Конечно, многого здесь не хватает, как например: OpenVPN, полноценного Firewall с удобным интерфейсом, возможности добавить свои подписки, ну хотя бы те же самые Emergint Threats, а в области Wi-Fi остаётся открытым вопрос с Band Steering.

При всём этом, рассмотренное решение - это своеобразный конструктор, который можно в готовом виде засылать на удалённый объект, настраивать буквально за пару часов, а затем обслуживать удалённо через облако, возложив вопрос безопасности сети на компанию Zyxel.

Михаил Дегтярёв (aka LIKE OFF)
16/12.2019


Комментарии

Похожие статьи:

Обзор Mesh-системы корпоративного класса IP-Com EW9+EP9x2

Для задач, где просто нужно хорошее Wi-Fi покрытие, и никто не будет заморачиваться с прокладкой кабелей, используются бюджетные Mesh-комплекты, такие как предлагает IP-Com в серии EW9 стандарта AC1200 11ac Wave 2.

Настраиваем Mesh-сеть на Keenetic: теория и практика

Узнайте, почему Mesh - самая горячая Wi-Fi технология этого года, почему там, где раньше были две точки доступа, теперь появляется и третья, и насколько роутеры Keenetic готовы к построению бесшовных Wi-Fi сетей в вашем доме и офис

Обзор решения для корпоративных WLAN сетей от Huawei - контроллер AC6005 и точки доступа

У крупных компаний есть готовые решения, созданные для работы с большим числом пользователей. Для оркестрации, как правило, применяется программный или аппаратный Wi-Fi контроллер, в задачи которого входит не только управление п