ZyWALL ATP800 - тестируем скорость топового шлюза безопасности от Zyxel

Серия шлюзов безопасности Zyxel уже была рассмотрена нами ранее на примере моделей ATP500 и USG Flex 500, но подобные устройства - настолько необъятная тема, что возвращаться к ней можно снова и снова, и каждый раз открывать для себя что-то новое. Итак, если вы ранее не встречались с Zyxel ATP, то вот вам небольшой бриф: этот мощный 8-ядерный межсетевой шлюз с поддержкой Multi WAN совмещает в себе все современные методы анализа, защиты приватности и целостности вашей корпоративной сети: сигнатурные списки интернет-сайтов и IP адресов, систему предотвращения вторжений (IDP), антивирус и HTTPs сниффер как для Web, так и для почты и плюс к этому - контроллер Wi-Fi с фирменной технологией Secure Wi-Fi, устанавливающей VPN тоннель прямо до точки доступа.

Для формирования нагрузки при тестировании, я использовал сервер на базе VMware ESXi 6.5U2 с четырьмя гостевыми Windows 2019, из-под которых запускал iPerf в 8-поточном режиме. Тестовый трафик подавался через 10-гигабитную сетевую карту Intel X520-DA2 в 10-гигабитный же коммутатор Zyxel XS1920-12HP, где через VLAN нарезался в 1-гигабитные порты ATP800. Поскольку коммутационная матрица у шлюзов безопасности обычно небольшая, четырёх 1-гигабитных портов в дуплексном режиме хватило, чтобы с лихвой перекрыть возможности устройства и облегчить работу по тестированию. Итого я задействовал 4 виртуальные машины, связанных в кольцо через ATP800. Каждая машина тестировала через iPerf соседнюю, суммарно загружая 8 направлений общей максимальной скоростью до 8 Гбит/с, именно на эту скорость можно рассчитывать, судя по характеристикам устройства (см. таблицу ниже).

Спецификация

ZyWALL ATP100

ZyWALL ATP200

ZyWALL ATP500

ZyWALL ATP800

Число портов, 1GBase-T

4

4

7

12

Число слотов SFP

1

1

1

2

Производительность устройства в обработке пакетов, Мбит/с

SPI

1000

2000

2600

8000

VPN

300

500

900

1500

IDP

600

1200

1700

2700

Aнтивирус

380

450

890

2000

Производительность маршрутизации

Максимум TCP-сессий

300K

600K

1M

2M

Максимум туннелей IPsec

40

40

300

1000

Максимум туннелей SSL

10

10

150

500

VLAN-интерфейсы

8

16

64

128

Число управляемых точек доступа

24

40

72

520

Zyxel ATP800 рассчитан на крупные офисы, этот шлюз имеет 12 физических портов 1GBase-T, поддерживает одновременно до 1000 туннелей IPSec, до 520 (!) беспроводных точек доступа (в том числе Wi-Fi 6), а Firewall способен обрабатывать трафик скоростью до 8000 Мбит/с. Весь функционал шлюза теперь доступен в облаке Nebula, но мы будем делать основной упор именно на локальной настройке.

Конструкция

Не знаю, почему Zyxel не берёт на вооружение модную сегодня аббревиатуру NGFW (Next Generation FireWall): с точки зрения железа здесь всё на высоком уровне: 8-ядерный процессор и 8 Гб оперативной памяти позволяют обрабатывать весь поток в ОЗУ, включая проверку загружаемых файлов антивирусом.

Конструкттивно Zyxel ATP800 - это 19-дюймовый 1U корпус с ярко красными «ушами», со встроенным блоком питания и 4 вентиляторами, воздушный поток от которых выходит назад. В обычном режиме Zyxel ATP800 работает очень тихо, так что его можно устанавливать в общем помещении с персоналом, как в закрытом шкафу, так и в открытой стойке.

Шлюз имеет 12 портов 1GBase-T (медь) и два SFP слота, используемые, как правило, для аплинков. Для прямого управления через консоль, на лицевой стороне установлен порт DB9, а пара USB 3.0 портов может использоваться как для подгрузки сигнатур с флешки, так и для сохранения на неё каких-то диагностических данных (захват пакетов, логи и т.д.). А ещё Zyxel ATP800 поддерживает 4G/LTE модемы, чем я рекомендую обязательно воспользоваться: весь корпоративный трафик через них, конечно, не пустишь, но обеспечить работу ключевых сервисов и передачу телеметрии можно.

И вот здесь хочу поставить точку в вопросе совместимости шлюза и Nebula: да, такую возможность Zyxel реализовал в последних прошивках, но облачный режим надо настраивать при первой инициализации устройства, иначе в процессе "перехода в облако" все настройки сбросятся.

Интерфейс и настройка

Говорить о возможностях шлюза можно бесконечно, но я буду останавливаться на моментах, которые для меня показались интересными, и начну прямо со стартовой страницы. Мне очень близка по духу современная тенденция выводить на стартовый экран статистику устройства в виде круговых диаграмм и гистограмм - сразу можно увидеть, кто именно в вашей сети вызывает какие алерты, а так же куда чаще всего стучится заблокированный трафик. Ну это, естественно, помимо обычных технических подробностей о загрузке машины.

Такая серьёзная машинка, как ATP800, создана для управления большим количеством сетей, поэтому физические интерфейсы здесь - понятие весьма условное. Локальные сети задаются порт-группами, обозначающимися ge1-ge14, которые можно переносить между физическими портами с сохранением настроек. Поверх каждой порт-группы ещё и можно создать сети на VLAN-ах, каждая - со своим DHCP сервером, IP диапазоном, размером MTU и другими настройками. Помимо этого, сети могут задаваться VPN подпространством или тоннелями, связывающими ваш шлюз с удалёнными офисами. Если перед вами стоит задача выделить каждому отделу свой VLAN и настроить уровни доступа такого вида как «может ли пользователь бухгалтерии с ноутбука по wi-fi на складе получить доступ к принтеру в переговорной» - это можно решить не за счёт политик безопасности Windows, а средствами сетевого шлюза.

Логически все эти сети подразделяются на зоны: LAN, WAN, DMZ, IPSec_VPN, и таких имён можете задавать сколько угодно. Зачем так усложнять? Ну чтобы потом можно было разово применять политики безопасности сразу к направлению, например LAN6-WAN или в случае с мостами, LAN1-LAN2 для защиты горизонтального трафика. Честно сказать, я не встречал до сих пор шлюза безопасности, где все эти сотни настроек и иерархий были бы идеально структурированы и разложены по полочкам, и Zyxel ATP800 - не исключение: настройка сложная, и почти всегда сильно фрагментирована: чтобы сделать следующее логическое действие, надо перелопатить всё меню навигации. К счастью, почти везде есть ссылка на референсы, чтобы видеть какие параметры каких интерфейсов затрагиваются на этой странице, в шлюз интегрирована эффективная система диагностики с захватом пакетов, ну и так, в общем-то, день-два - и вы его полюбите.

Заявленная пропускная способность в 8 Гбит/с относится к UDP трафику, у нас же в тесте кумулятивная скорость не поднималась, но 5.5 Гбит/с - это очень достойный показатель для TCP. Интересной особенностью было и то, что в 1-поточном режиме направление LAN-WAN работает несколько быстрее, чем LAN-LAN, хотя технологических причин тому нет: все порты здесь равнозначные.

Шлюз поддерживает до 1000 туннелей IPSec, и здесь я хочу сделать отсылку к беспроводному контроллеру точек доступа. У Zyxel есть технология Secure Wi-Fi, при которой точка доступа, расположенная где угодно на земном шаре, может соединяться со шлюзом по VPN, и работать и управляться в той же подсети, что и ваши локальные устройства. Мы подробно рассматривали эту технологию в обзоре Zyxel WAX650S. Эта технология полностью закрывает потребность в защищённом трафике между IoT устройствами и приложениями, которые не могут использовать HTTPs соединение. Но, конечно ни контроллером Wi-Fi ни туннелями IPSec сегодня никого не удивишь, а гораздо важнее какие решения безопасности, которые здесь реализованы.

Механизм настройки ограничений и фильтров следующий: сначала вы задаёте зону, например LAN1, VPN1, LAN2, WAN. После этого в политике безопасности вы можете открыть полностью или закрыть межсетевые соединения, например разрешить только определённые порты и определённые IP диапазоны между LAN2 и LAN1, или разрешить все коннекты от VPN1 к любым сетям и так далее. И вот на каждую эту политику вы можете дополнительно повесить программный фильтр, который будет дополнительно обрабатывать трафик, следующий по заданному правилу. Причём, одни и те же фильтры вы можете настраивать для разных политик с разными параметрами. Сейчас станет понятнее.

Application Patrol

Пожалуй, начать следует с самого простого - Application Patrol, или "Патруль приложений". Это список практически всех известных в мире программ, которые вы можете разрешить или запретить в вашей сети. Сигнатуры обновляются по подписке, а сам софт рассортирован по категориям. Теоретически, конечно, можно запрещать целиком категории приложений типа "игры", но практически лучше запретить всё, а разрешить лишь те, которые вам нужно. Это потому, что интерфейс явно не рассчитан на управление сотнями программ: одновременно запретить игры, но разрешить офис и мессенджеры будет затруднительно. И правила прописываются именно для приложения, а не для категории: вышел новый мессенджер - извольте добавить.

Идентификация приложения происходит на основе адресов серверов, куда оно обращается и портов, поэтому факт шифрования протокола внутри приложения не имеет значения, а поскольку это всё реализуется на базе таблиц Firewall, даже 256 правил максимум на что повлияют - это на скорость установки соединения, но не на общую производительность.

Поэтому и тесты показывают, что этот фильтр можно применять без оглядки на производительность.

ADP - Anomaly Detection and Prevention (обнаружение и предотвращение аномального трафика)

С помощью фильтра ADP можно защититься от атак, имеющих целью вызвать переполнение буферов. Такие аномалии протоколов, как неверная временная отметка, неправильные данные о размерах пакета и прочие, встречаются и в обычных сетях, но их постоянный поток - это либо неисправность оборудования, либо атака зловреда. Шлюз ATP800 позволяет сбрасывать такие пакеты безусловно или при превышении определённой частоты.

Всего в сигнатурном списке всего 24 аномалии, и обратите внимание, что ADP применяется не к направлению типа LAN-WAN, а конкретно к порту, ну или ко всем портам сразу.

Это весьма лёгкий фильтр, который не влияет на скорость.

IPS (Intrusion Prevention System - система предотвращения вторжений)

IPS - это ещё один рубеж защиты, который позволит закрыть вашу сеть в случае, если взлом уже произошёл. Имея в наличии обширную базу IP-адресов, портов и размеров пакетов, куда и откуда пытаются установить соединение различные зловреды, система может закрывать попытки троянов подключиться к удалённому хосту для скачивания вирусов или слива данных, заблокировать подозрительные коннекты с заспамленных IP адресов к публичным портам и т.д. Обычно, подобного рода защита реализуется с помощью программ Suricata или Snort, и имеет два типа работы: inline, когда буквально каждый сетевой пакет проверяется по базам "кто куда откуда", и не пройдёт, пока система не даст добро, и offline, когда пакеты проверяются уже по факту, а блокировка реализуется средствами Firewall. Оба типа проверок имеют свои плюсы и минусы: первый - слишком затратный, рассчитанный на десятки-сотни активных правил, второй может обрабатывать любое число правил, но при этом пропускает какое-то не особо критичное число пакетов. Чтобы было более понятно, как реализована эта защита в Zyxel ATP800, посмотрите следующий скриншот:

Защита может работать в режиме предотвращения и записи событий. По умолчанию все варианты сигнатур уже имеют действие - reject, так что ручная настройка правил не потребуется, но и не сказать, что записей сигнатур много - около 5500. Обратите внимание, что IPS включается сразу для ядра шлюза, то есть для всех портов и любых направлений.

Влияние на производительность шлюза небольшое, в пределах 10%, так что имеет смысл держать эту опцию постоянно включенной.

Контентные фильтры

Наибольшую опасность в сетях предприятия сегодня представляют атаки с использованием методов социальной инженерии. Проще говоря, это когда сотрудник открывает подозрительное вложение в письме, заходит на странный сайт, или ещё чего хуже - с корпоративного IP адреса оставляет комментарии в экстремистских группах в соц.сетях. Любые эти действия можно пресекать с помощью Zyxel ATP800. И даже если DNS-серверы в настройках рабочих компьютеров установлены от сторонних организаций, всё равно шлюз Zyxel не даст зайти на заблокированный сайт.

Технически, видимо, здесь используется прозрачный прокси, потому что никаких проблем с доступом к разрешённым сайтам не возникает, и даже запрещённые сайты продолжают пинговаться, но доступ на них остаётся закрытым.

На производительность коммутации эти фильтры не влияют.

Репутационные фильтры

Не понятно, почему этот фильтр вынесли в отдельную категорию, ведь как по мне, так его можно было бы объединить с контентной фильтрацией, потому что смысл здесь тот же - блокируем доступ к подозрительным IP-адресам и URL-ам, руководствуясь сигнатурами. Правда, существенное отличие от контентного состоит в том, что репутационные фильтры применяются сразу ко всему устройству, без учёта портов и направлений трафика, и блокируют весь хост и все его порты. То есть, такой ситуации, когда сайт пингуется, но не открывается, здесь нет: заблокированные адреса закрываются от вас полностью.

Производительность от применения репутационных фильтров не страдает.

По-видимому, они реализуются на базе встроенного Firewall-а.

Антивирусные фильтры

Пожалуй, все эти фильтры так же можно было бы объединить в один, поскольку они выполняют наиболее интересную, антивирусную функцию для HTTPs и E-Mail. Работа антивируса основывается на принципе проксирования определённых типов файлов, которые при прохождении через буфер шлюза, сканируются собственным или облачным антивирусным движком. Архивы разархивируются во время проверки, а если шлюз не может произвести распаковку (например, архив запаролен), то можно включить автоудаление файла. Проверке подвергаются далеко не все файлы - архивы, документы MS Office, PDF, Flash, RTF, исполняемые .exe и .com.

Песочница Zyxel ATP800 использует систему эмуляции кода для раскрытия поведения и обнаружения неизвестных сложных угроз и целенаправленных атак. В случае, если паттерн поведения программы или её сетевые пакеты соответствуют поведению зловреда, файл удаляется и обновляются сигнатуры. Поскольку запуск программ в изолированной среде - задача достаточно трудоёмкая, то шлюз вместо того, чтобы проводить её у себя, отправляет файл в облако Zyxel и дожидается результатов проверки. В некоторых случаях это прерывает процесс загрузки и требует ручного возобновления.

Естественно, перед выполнением в песочнице подозрительные файлы подвергаются предварительной фильтрации: выполняется антивирусное сканирование, в том числе и по контрольной сумме файла. Если в ходе предварительной проверки наличие или отсутствие угрозы со стороны файла не идентифицировано, то образец файла передается для дальнейшего анализа в виртуальную «песочницу». Потенциально опасный файл тестируется в виртуальных машинах под Windows, MacOS и Android.

Поскольку весь этот процесс происходит в прокси, то есть выполняется в режиме out-of-band, на производительность коммутации он не влияет.

Пожалуй, тут многие скажут: Windows имеет мощный встроенный антивирусный защитник, зачем мне ещё один антивирус в локальной сети, и будут совершенно правы: сам по себе сканер загружаемых файлов - бесполезная вещь, если ваш шлюз умеет только удалять зловред, но Zyxel ATP800 научился изолировать заражённое устройство, которое лезет на заблокированные веб-сайты, скачивает вирусы или в котором зафиксирован эксплоит. Беспроводные клиенты попросту блокируются на уровне ACL точки доступа, а проводные помещаются в изолированный VLAN, отключаясь от сети предприятия.

Конечно, чтобы антивирус мог сканировать файл, передаваемый по HTTPs протоколу, нужно чтобы шлюз умел расшифровывать трафик, и Zyxel ATP800 позволяет это делать, осуществляя атаку MITM для подключенных клиентов, а говоря цивилизованным языком "включить инспекцию SSL трафика". Реализуется этот процесс очень просто: сначала в закладке "SSL Inspection" мы создаём новый сертификат с настройками по умолчанию, потом применяем его к заданному направлению, например LAN1-WAN.

Теперь нам нужно получить корневой сертификат нашего шлюза, который имеет незамысловатое название default, и располагается в закладке "certificates", ну или выслать его на E-mail в предыдущем шаге. После того, как сертификат у нас на рабочем столе, дважды кликаем на него и инсталлируем с указанием пути "доверенные корневые сертификаты". Собственно, после этого шлюз будет расшифровывать HTTPs трафик и сможет детектировать вирусы. Для обычных пользователей процесс сканирования не заметен, единственное - скорость падает примерно до 1 Мб/с, а файлы объёмом более 1 Гб могут не скачаться, но на файлах, которые не сканируются антивирусом, это будет незаметно.

Всё и сразу

Напоследок проведём тест, в котором включим все рассмотренные политики и сервисы безопасности.

Этот тест замедлил производительность шлюза, но незначительно - в районе 16%, и то только при полной загрузке потоков, а скорость 1 линка так и осталась неизменной: производительности CPU более чем достаточно для 1-гигабитного соединения.

Управление через облако Nebula

Облачное управление - самая востребованная функция у современных сетевых инженеров, особенно при использовании нескольких WAN, ведь покуда у шлюза есть выход в интернет, вы сможете достучаться до него и произвести необходимые настройки, или устранить возникшую неисправность.

В облачном контроллере Nebula реализован весь функционал сервисов безопасности ZyWall ATP800, ну кроме разве что, совсем уж глубоких настроек. Более того, сегодня Zyxel предоставляет для этих шлюзов отдельный сервис облачного дэшборда с отчётами по безопасности, где на карте мира отображаются все кейсы, с которыми справился ваш шлюз, а на почту ежедневно приходят отчёты.

Лицензии

Рассмотренные функции шлюзов Zyxel предоставляются по лицензии. В нашем случае при тестировании на устройстве были активированы следующие лицензии:

  • Web Filtering
  • Application Security
  • Malware Blocker
  • Intrusion Prevention
  • Sandboxing
  • Reputation Filter
  • Collaborative Detection & Response

Для формирования подробных отчётов о безопасности применена лицензия SecuReporter Premium, для поддержки VPN тоннеля до точки доступа - Secure WiFi. Для работы в отказоустойчивых конфигурациях - Device HA Pro.

Выводы

Как вы могли убедиться, в современных шлюзах безопасности многоядерные процессоры соседствуют с программной архитектурой, которая выполняет наиболее затратные процессы в фоновом режиме. Благодаря этому, производительность коммутации всегда остаётся почти на максимальном уровне. Естественно, ничего никогда не даётся бесплатно, и в области web-безопасности замедления могут наблюдаться в момент установления соединения, но так устроен современный интернет, что верификация HTTPs сертификатов Let's Encrypt занимает несопоставимо большее время, чем служба безопасности интернет-шлюза, поэтому и включение различных фильтров реальную скорость веб-сёрфинга не замедляет. По крайней мере, измерить разницу мне не удалось.

К недостаткам Zyxel ATP800 я бы отнёс нелогичную настойку: да, за разные сервисы отвечают разные программы, и у них разные конфигурационные файлы, но цены бы разработчикам не было, если бы они смогли сгруппировать и объединить их по типам угроз.

Михаил Дегтярёв (aka LIKE OFF)
08/11.2021


Похожие статьи:

Используем микро-компьютер ECS Liva Q1 в качестве домашнего сервера

Cегодня поговорим о микро-компьютере ECS Liva Q1, модель для офисных задач с 4-ядерным процессором Pentium N4200, 4 ГБ ОЗУ, Wi-Fi 802.11n и двумя сетевыми портами 1GBase-T, которая идеально подходит для создания Edge-сервера для VPN, Wi-Fi, NAS...

Обзор топовой точки доступа Zyxel WAX650S с технологией Secure Wi-Fi

Флагманская точка доступа с технологией Smart Antenna позволяет устанавливать VPN тоннель напрямую между собой и офисным шлюзом, чтобы пользователю были доступны все рабочие ресурсы в собственном VLAN-е. Так же теперь появилась ...

Решения Wi-Fi для HoReCa от компании Zyxel. Тестируем точки доступа WAC5302D-Sv2, WAC-500H и коммутатор GS2220-28HP

Да, пусть многие считают, что Wi-Fi - он и в Африке Wi-Fi, но беспроводная сеть в кафешке будет кардинальным образом отличаться от сети в каком-нибудь цеху или на складе. Прежде всего, надо понимать, что основные клиенты публич...

Zyxel Nebula против TP-Link Omada SDN: сравниваем системы централизованного управления сетью

В крупных корпоративных сетях со сложной топологией настоящим адом для администратора станет последовательное конфигурирование всех подключенных устройств, одного за другим. В таких случаях зачастую почти невозможно выявить оши...

Обзор сетевых карт Zyxel XGN100C и XGN100F: или AQuantia AQC100/AQC107 против Intel' 2021

С развитием Wi-Fi 6 сетевая инфраструктура плавно осваивает мультигигабитные подключения на скоростях 2.5G и 5G. Среди сетевых контроллеров, поддерживающих промежуточные скорости, безоговорочным лидером считаются контроллеры AQu...