对于中小企业局域网来说,由于网络结构比较简单,主机数量较少,往往忽视了网络的安全性建设,从而导致黑客和恶意分子可以轻松入侵。最近国际知名网络设备厂商合勤科技推出了几款适合中小企业的网络安全设备,今天我们就为大家介绍一下其统一安全网关ZyWALL USG100。
图1、合勤科技统一安全网关:ZyWALL USG100
测试产品简介
产品名称:ZyXEL统一安全网关(USG100)
产品概要:多功能网络统一威胁管理(UTM)设备
产品优点:
•支持多个路由网络
•详细全面的防火墙控制
•千兆端口
•支持3G WWAN
•支持VLAN功能
产品缺点:
•VPN协同性差
•没有SSL VPN Vista客户端
•不支持巨型帧(Jumbo Frame)
•重启时间较长
•VPN吞吐能力相对较低
与USG100同时推出的统一安全网关产品还有USG200、USG300和USG1000。据合勤科技称,该安全产品系列是其针对中小企业推出的最完整的安全平台,可以为规模在10台计算机到300台计算机的中小企业网络提供企业级安全功能。
本篇文章中,我将介绍USG100统一安全网关,其针对的企业网络规模是10到25个用户。它支持双WAN口连接,支持3G无线连接,支持多种VPN技术,具有高可用失效转移功能,支持入侵检测和防护,支持反垃圾邮件、病毒和内容过滤功能,另外还具有丰富的网络管理工具,它是一个旨在通过一个安全设备提供完整网络防护功能的设备。
图2、USG100工作原理示意图
考虑到它具有如此多的功能,我会把该评测文章分为两部分。在本篇评测文章中,我将对USG100的网络和VPN功能进行评测。在随后的一篇评测文章中,我再继续评测它的安全和统一威胁管理功能。
外观及内部设计
首先我们来看一下USG100的外观设计,它的尺寸是242(宽)×175(长)×35.5(高)mm,在银灰色金属前面板上具有两个USB口和7个千兆以太网口,两侧是亮红色的装饰区域。值得提醒大家的是,这两个USB口并非是用来插闪存或其它存储设备的,而是用来连接3G卡的。
图3是它的后面板,具有一个辅助性的modem口,一个终端console配置口,一个PCMCIA 3G WWAN卡槽,以及电源插口。
图3、USG100后面板
下面我们再来一起看一下它的内部设计,如图4所示,它具有一个256MB的DDR2内存,256MB的缓存,一个3G PCMCIA插槽,还有一个采用被动冷却技术的Frescale 8343 CPU,通过一个266MHz的前端总线运行在400Mhz。千兆以太数字端口连接到一个Vitesse VSC7388集成千兆以太交换芯片上。
图4、USG100主板
面向对象的配置方式
理解如何配置USG100的关键之处是,记住它是面向对象的,也就是说,每个接口(wan1,wan2,lan1,...)都是一个对象。为每一个接口设定的IP地址和子网也是对象,通过一个VPN隧道和路由器背后的设备(如服务器或另一台路由器)访问的子网也是对象。
最初的时候,配置所有这些不同的对象似乎有些麻烦,尤其是对那些不喜欢阅读手册的人来说更是如此,其随机配置手册竟然长达902页。不过,当你对它真正熟悉了之后,通过对象来设置它是一件非常方便的事情,因为你可以在多个设置中重用预定义好的对象。
路由、VPN和防火墙规则全部是使用不同的对象来创建的,如图5所示,前五行是定义不同接口的子网的默认对象。在这五个默认对象下面,我创建了几个不同的对象,其中WindowsMachine对象是一个Windows计算机的IP地址对象;ZLAN对象是通过另一台路由器访问的子网对象;DFL对象是其它路由器接口的IP地址对象。我最终将使用这些对象来实现端口转发、一个VPN隧道和一个静态路由,下面将详细解释。
图5、对象
在多数基础型路由器中,在同一个简单的VPN配置界面中就可以完成对VPN隧道另一端子网的定义。但是,USG100要求该子网也定义为一个对象,然后增加到VPN配置中,另外,还需要定义一个策略路由,这样通信可以通过该隧道来路由。由此我们可以看出一点,USG100能完成很多工作,但是你需要对它进行必要的配置。
网络接口设计
在USG100的7个千兆网口中,前两个是WAN口,另外5个是用于内部通信的LAN口。尽管WAN口的实际上联线路一般不会达到1000Mbps,不过在一个路由器上拥有如此多高速端口还是一件令人高兴的设计。MTU(最大传输单元)可以根据接口来进行调整,不过调整范围是576到1500字节;它不支持巨型帧。
默认配置下,端口1和端口2被设计用来进行WAN连接,端口3和端口4属于LAN1,端口5属于LAN2,端口6则属于LAN3,用来连接一个无线AP,而端口7则用于DMZ。但是,端口3到端口7都可以通过重新配置到以上4个部分中去,如图6所示。
图6、端口划分
从图7的状态页面中你可以看到,LAN1、LAN2、WLAN和DMZ接口被指定了5个不同的子网。为每个LAN设置不同的子网的意义是,通过使用可以应用到接口、IP或子网的防火墙规则,我们能够控制网络之间的通信。
图7、接口
除了7个千兆以太网口外,通过USG100后面板上的PCMCIA插槽,你还可以插入一个3G WWAN卡或一个802.11b/g无线局域网卡。另外,一个3G USB WWAN设备还可以连接到USG100前面板上的两个USB口之一。
| 共3页: 1 [2] [3] 下一页 |