对于中小企业局域网来说,由于网络结构比较简单,主机数量较少,往往忽视了网络的安全性建设,从而导致黑客和恶意分子可以轻松入侵。最近国际知名网络设备厂商合勤科技推出了几款适合中小企业的网络安全设备,今天我们就为大家介绍一下其统一安全网关ZyWALL USG100。
图1、合勤科技统一安全网关:ZyWALL USG100
测试产品简介
产品名称:ZyXEL统一安全网关(USG100)
产品概要:多功能网络统一威胁管理(UTM)设备
产品优点:
•支持多个路由网络
•详细全面的防火墙控制
•千兆端口
•支持3G WWAN
•支持VLAN功能
产品缺点:
•VPN协同性差
•没有SSL VPN Vista客户端
•不支持巨型帧(Jumbo Frame)
•重启时间较长
•VPN吞吐能力相对较低
与USG100同时推出的统一安全网关产品还有USG200、USG300和USG1000。据合勤科技称,该安全产品系列是其针对中小企业推出的最完整的安全平台,可以为规模在10台计算机到300台计算机的中小企业网络提供企业级安全功能。
本篇文章中,我将介绍USG100统一安全网关,其针对的企业网络规模是10到25个用户。它支持双WAN口连接,支持3G无线连接,支持多种VPN技术,具有高可用失效转移功能,支持入侵检测和防护,支持反垃圾邮件、病毒和内容过滤功能,另外还具有丰富的网络管理工具,它是一个旨在通过一个安全设备提供完整网络防护功能的设备。
图2、USG100工作原理示意图
考虑到它具有如此多的功能,我会把该评测文章分为两部分。在本篇评测文章中,我将对USG100的网络和VPN功能进行评测。在随后的一篇评测文章中,我再继续评测它的安全和统一威胁管理功能。
#p#
外观及内部设计
首先我们来看一下USG100的外观设计,它的尺寸是242(宽)×175(长)×35.5(高)mm,在银灰色金属前面板上具有两个USB口和7个千兆以太网口,两侧是亮红色的装饰区域。值得提醒大家的是,这两个USB口并非是用来插闪存或其它存储设备的,而是用来连接3G卡的。
图3是它的后面板,具有一个辅助性的modem口,一个终端console配置口,一个PCMCIA 3G WWAN卡槽,以及电源插口。
图3、USG100后面板
下面我们再来一起看一下它的内部设计,如图4所示,它具有一个256MB的DDR2内存,256MB的缓存,一个3G PCMCIA插槽,还有一个采用被动冷却技术的Frescale 8343 CPU,通过一个266MHz的前端总线运行在400Mhz。千兆以太数字端口连接到一个Vitesse VSC7388集成千兆以太交换芯片上。
图4、USG100主板
#p#
面向对象的配置方式
理解如何配置USG100的关键之处是,记住它是面向对象的,也就是说,每个接口(wan1,wan2,lan1,...)都是一个对象。为每一个接口设定的IP地址和子网也是对象,通过一个VPN隧道和路由器背后的设备(如服务器或另一台路由器)访问的子网也是对象。
最初的时候,配置所有这些不同的对象似乎有些麻烦,尤其是对那些不喜欢阅读手册的人来说更是如此,其随机配置手册竟然长达902页。不过,当你对它真正熟悉了之后,通过对象来设置它是一件非常方便的事情,因为你可以在多个设置中重用预定义好的对象。
路由、VPN和防火墙规则全部是使用不同的对象来创建的,如图5所示,前五行是定义不同接口的子网的默认对象。在这五个默认对象下面,我创建了几个不同的对象,其中WindowsMachine对象是一个Windows计算机的IP地址对象;ZLAN对象是通过另一台路由器访问的子网对象;DFL对象是其它路由器接口的IP地址对象。我最终将使用这些对象来实现端口转发、一个VPN隧道和一个静态路由,下面将详细解释。
图5、对象
在多数基础型路由器中,在同一个简单的VPN配置界面中就可以完成对VPN隧道另一端子网的定义。但是,USG100要求该子网也定义为一个对象,然后增加到VPN配置中,另外,还需要定义一个策略路由,这样通信可以通过该隧道来路由。由此我们可以看出一点,USG100能完成很多工作,但是你需要对它进行必要的配置。
#p#
网络接口设计
在USG100的7个千兆网口中,前两个是WAN口,另外5个是用于内部通信的LAN口。尽管WAN口的实际上联线路一般不会达到1000Mbps,不过在一个路由器上拥有如此多高速端口还是一件令人高兴的设计。MTU(最大传输单元)可以根据接口来进行调整,不过调整范围是576到1500字节;它不支持巨型帧。
默认配置下,端口1和端口2被设计用来进行WAN连接,端口3和端口4属于LAN1,端口5属于LAN2,端口6则属于LAN3,用来连接一个无线AP,而端口7则用于DMZ。但是,端口3到端口7都可以通过重新配置到以上4个部分中去,如图6所示。
图6、端口划分
从图7的状态页面中你可以看到,LAN1、LAN2、WLAN和DMZ接口被指定了5个不同的子网。为每个LAN设置不同的子网的意义是,通过使用可以应用到接口、IP或子网的防火墙规则,我们能够控制网络之间的通信。
图7、接口
除了7个千兆以太网口外,通过USG100后面板上的PCMCIA插槽,你还可以插入一个3G WWAN卡或一个802.11b/g无线局域网卡。另外,一个3G USB WWAN设备还可以连接到USG100前面板上的两个USB口之一。
#p#
VLAN功能测试
通过将一个网络划分为多个子网,可以有效的实现VLAN广播控制,而且无需增加昂贵的可网管交换机。根据我的测试USG100上的上述配置,一台连接在从LAN1出来的无网管交换机上的计算机,可以获得192.168.21.0/24子网的一个IP地址,而另一台连接在从DMZ接口出来的无网管交换机上的计算机则可以获得192.168.13.0/24子网的一个IP地址。
而且,多个VLAN可以被配置到同一个USG100接口上,通过这个功能,USG100可以连接到一个支持802.1q VLAN的可网管交换机上。然后你可以在USG100上对每一个VLAN配置不同的DHCP服务器,从而实现子网到VLAN的1对1网络映射。
我对这个功能进行了测试,在这台USG100的LAN1接口上配置了两个不同的VLAN,每一个VLAN具有单独的DHCP服务器,如图8所示。然后,我在一个网件可网管交换机上配置了相同的VLAN,并且为两个VLAN分别加入了两个不同的交换机端口。
图8、VLAN
另外我还在这个可网管交换机上进行了一些其它配置。最终,我将一台计算机连接到该交换机上的不同端口时,会得到对应的USG100上VLAN设置中所指定的IP地址,由此验证了USG100可以识别802.1q VLAN标签。
#p#
路由功能测试
USG100上可配置的路由选项包括,策略路由、静态路由、RIPE和OSPF。策略路由被大量用于控制通过USG100的通信数据。在USG100中的策略路由选项,可以实现根据进入接口、源和目的子网、服务(协议)和下一跳目的地(接口或IP)来定义通信路径。
在图9中,我配置了最上面的策略路由,来实现到另一台路由器之后的子网的通信路由。被路由的通信起源于LAN2_SUBNET(192.168.3.0/24),转向另一台路由器后的一个子网,我为它创建了一个名为DFLLAN(192.168.10.0/24)的对象。这个通信的下一跳是另一个路由器的IP地址,我为它创建了一个名为DFLLAN的对象。、
图9、策略路由
图9中所示的第二个策略路由是,对通过VPN隧道的数据进行路由。通过这个配置,可以让源自我的内部子网(LAN2_SUBNET)的通信数据,路由到通过VPN隧道访问的远端子网(ZLAN),我通过一个名为ZVNTest的对象来实现它,该对象指定了VPN隧道另一端的IP地址。
#p#
WAN口功能测试
USG100使用了WAN Trunks来实现WAN口的失效转移,管理多个ISP连接。默认配置下,WAN接口1和接口2就是第一个WAN Trunk的成员。USG100采用的失效转移方式是保持两个接口都处于激活状态,对通信进行均衡;而并非采用一个WAN接口激活时另一个接口处于等待状态的模式。
默认配置下,WAN Trunks上启用“Link Sticking”功能,它可以确保从内部设备到一个特定外部服务器的通信数据不被负载均衡到多个WAN接口上。这可以防止跟踪源IP地址的服务器的连接问题。
WAN连接的选项包括,最小负载优先、权重轮询调度和溢出转移。在这所有三个算法中,你可以为每一个WAN接口配置进入和外出带宽,从而有效的确保最优利用率。
如果选择最小负载优先算法,USG100将根据配置的带宽和测量到的使用率,通过流量利用率较低的WAN接口来传输数据,从而有效的在两个WAN接口上实现最大化的通信传输效率。
而权重轮询调度则利用了为每一个WAN接口配置的权值。如果WAN2的权值是2,而WAN1的权值是1,则会选择WAN2来进行数据传输。
对于溢出转移,USG100会一开始一直使用一个接口来传输数据,当该接口的占用带宽达到了设置的带宽值时,然后再转移到下一个接口。
另外,USG100还支持数据传输统计功能,可以让你通过图形化报表方式来查看WAN或LAN接口的利用情况,如图10所示。另外,通过这个功能,你不仅仅可以通过接口来查看流量,还可以通过端口和协议来观察通信类型。
图10、通信数据统计
#p#
防火墙功能测试
配置USG100的防火墙,与配置路由非常相似。防火墙通过建立在接口和对象上的规则来进行管理,定义哪些通信被允许和拒绝。和大多数防火墙一样,USG100阻挡多数进入通信,而允许外出通信。
举个例子来说,尽管有一个DMZ端口,我还是不得不为防火墙增加一条规则,来允许外部通信数据可以到达连接到DMZ端口上的设备。在图11的第一行中,你可以看到,我增加了一条简单的规则,来允许任何来源的通信可以到达DMZ接口。在增加这条规则之前,尽管我的VOIP电话是在USG的DMZ区,我还是不能收到外部的任何呼叫。
图11、防火墙配置
多数防火墙的一个共同功能是端口转发,在USG100上,端口转发是通过创建虚拟服务器来完成的。
为了转发远程桌面连接(RDC)到我的Windows计算机,我首先创建了一个Host对象,来识别我的Windows计算机的IP地址,如图12所示,我给这个对象指定了一个“WindowsMachine”名称。然后,我创建了一条虚拟服务器规则,来将来自WAN1接口的通信转发给Host对象的RDC所使用的特定端口——3389。这样,我就可以通过互联网来使用远程桌面访问的WindowsMachine计算机。
图12、虚拟服务器配置
#p#
VPN功能测试
要想实现更安全的通过互联网访问局域网设备,你可以选择使用VPN功能。USG100支持多种VPN技术,包括IPSec站站VPN、IPSec客户端VPN和SSL客户VPN。我对这些VPN功能逐一进行了测试,发现它们各有优缺点。
在下图的图13中,你可以查看两个激活的的VPN连接的状态显示。第一个是一个IPSec站到站VPN连接,第二个则是IPSec客户端VPN连接。最右侧Action下的图标可以让你确定该连接是否处于激活状态,由此证明,USG100能够同时运行不同类型的VPN连接。
图13、VPN配置
通过IPSec站点到站点隧道,USG100可以通过因特网等公众网络来连接到其它路由器。在我的测试中,我非常喜欢USG100在配置IPSec站点到站点VPN隧道时的简洁性,但是对它的协同功能和吞吐能力非常失望。
我在USG100和一个网件交换机之间建立了一个站点到站点VPN隧道。尽管我可以USG100与该交换机之间建立一个连接,却不能通过这个连接来发送数据。
合勤科技的这个安全设备支持所有的典型加密和认证算法,包括DES、3DES和具有MD5和SHA-1认证的AES-127/192/256加密。我使用了默认的DES加密和SHA-1认证。
为了测试VPN的吞吐能力,我使用了Jperf来产生从局域网到合勤科技局域网的通信,然后对其进行反向测试。在测量VPN吞吐能力之前,我访问了一个常见的网站来测量我的ISP上传和下载速度。这一点是非常重要的,因为VPN吞吐能力不可能超过发送端的上传速度和接收端下载速度中的较低速度。
以下是我的测试数值表:
图14、测试数值
从以上测试数据可以看出,在进行从合勤科技局域网到我的局域网VPN连接吞吐能力测试的时候,其测试数值只有最大可能连接速度的15%。
当然,由于此项测试通过公众互联网传输数据,很难说瓶颈到底在哪儿。
#p#
IPSec客户端测试
IPSec客户端VPN功能也有它的优势和不足。合勤科技使用了二层隧道协议(L2TP)和IPSec技术来实现IPSec客户端VPN连接。这个解决方案的优点是,L2TP软件在Windows XP和Vista中都内置,省去了加载和配置另一个应用软件的麻烦。USG100可以支持多达50个IPSec客户端,无需任何额外的许可费用。
在合勤科技的说明书中,有一个非常有用的配置示例,可以帮助你正确的配置USG100和客户端PC。和USG100上的其它功能配置一样,你需要多个步骤来完成配置,其中包括建立VPN网关、VPN连接、多个地址对象、用户名和密码,以及一个策略路由。
我在一台Vista笔记本上配置了一个L2TP/IPSec VPN连接,需要输入预共享密钥、用户名和密码、USG100的IP地址,以及启用PAP,如图15所示。配置完成后,我可以从这台Vista笔记本上正确的连接到USG100上。
图15、配置PAP
这种解决方案的缺陷是,正如设备手册中所说的那样,L2TP/IPSec VPN连接不支持NAT,因此客户端PC必须具有一个公网IP地址。对于某些用户来说,这可能是一个非常大的缺陷。
#p#
SSL VPN测试
对于远程客户端访问,我更喜欢的VPN解决方案是SSL VPN技术,USG100也支持该技术。通过SSL VPN技术,用户无需再使用客户端,只要通过一个浏览器即可,它可以支持更多远程网络类型,而且配置也更简单。
我发现,在USG100上建立SSL VPN连接非常简单。所有需要用户做的就是创建一个用户名和密码,然后为SSL客户端启用和配置访问权限。
图16、SSL VLPN配置
配置完成后,我可以从一台运行着Windows XP Pro系统的笔记本上远程连接到图16所示的三个不同子网中的设备。
在运行SSL客户端的时候,我在DOS命令窗口下输入了命令“netstat -r”,得到图17所示窗口,显示了我的笔记本的路由表。注意左侧的目的网络中包含192.168.3.0、192.168.10.0和192.168.13.0,这些子网正是USG100中地址对象的子网。这个输出证明,我的笔记本已经安装了可以通过SSL VPN访问这些网络的路由。
图17、SSL连接的netstat命令输出
SSL VPN的好处之一是,远端PC用户无需配置什么,因为这个连接是通过浏览器建立起来的,浏览器会自动下载一个SSL连接applet。不过,这些applets依然必须与不同的浏览器相兼容。我可以使用IE7和Firefox 3.0.1通过一个SSL VPN连接到USG100上,但是苹果的Safari浏览器不可以。
另外,SSL applets还必须与客户端计算机的操作系统相兼容。不幸的是,USG100的SSL VPN只支持XP,而且只支持两个许可。(后者是一个产品策略问题,而并非一个技术缺陷。)据合勤科技称,支持Vista的SSL applets将在2009年推出。
#p#
性能评测
为了评价路由器性能,我使用Jperf进行LAN和WAN之间的双向吞吐能力测试。每一个方向我进行了三次测试,取其平均值,测试结果如图18所示。
我按照两种情况进行了测试,分别是在关闭防火墙功能和开启防火墙功能情况下重复测试工作。
图18、吞吐能力测试结果
从上面的测试结果中,我们可以得出两点结论。第一,尽管它的性能非常均衡,而且比其它UTM设备要高一些,但是它很明显未能完全利用其千兆接口的性能。第二,USG的防火墙功能会使其吞吐能力降低5-6Mbps。
不过,它的这一吞吐能力已经完全可以满足绝大多数企业互联网连接的需要。
而且,数据流吞吐能力非常稳定,没有出现骤降的现象。在我的测试过程中,Jperf所产生的曲线相对非常平稳,如图19所示。
图19、LAN到WAN时Jperf吞吐数据
总结:瑕不掩瑜 功能强大
和许多UTM产品相比,USG100用户可以免费进行固件升级,以及获得免费电话支持。其强大的保障和支持团队对产品非常熟悉,而且合勤科技为USG100提供5年质保。
总体来说,USG100是一款非常强大的安全网关设备。它的VLAN功能尤其令人印象深刻。USG100的多子网功能配合VLAN功能,可以让你选择使用便宜的无网管交换机,当然,如果你想完全利用强大的VLAN功能,需要去购买价格相对较高的网管交换机。
在不足方面有,它目前还没有支持Vista的SSL VPN applet。而且,我希望它能更充分的利用其千兆网口的性能,实现更高的路由吞吐能力。
【编辑推荐】