Embed Size (px)
Citation preview
ZyWALL USGУниверсальные центры безопасности для малого и среднего бизнеса
P-330W EEP660HT2 EE
P660HTW2 EEP660HWP EE
Домашниеинтернет-центры
1 2
Партнер
ФилиалШтаб-квартира
IPSec VPN
SSL VPN
Телеработник
Удаленный сотрудник
Расширениесети
Сервер приложений(учет, склад...)
Web-приложения
Удаленныерабочие столы
Файловыйсервер
Системы OA, ERP, CRM
Системабизнес-анализа
Серверэл. почты
Группа серверов
Интернет
Три типа VPN в одном устройствеУстройства серии ZyWALL USG могут обеспечить защищенный удаленный доступ к корпоративным ресурсам через Интернет для организаций любого размера. Благодаря поддержке VPN на основе IPSec компании могут создавать защищенные каналы связи филиалов с головным офисом. Сотрудники, находящиеся в пути или работающие дома, могут воспользоваться защищенным удаленным доступом к ресурсам сети компании с использованием технологий SSL или L2TP/IPSec. Для этого им не потребуется устанавливать дополнительное программное обеспечение, поскольку соединение осуществляется штатными средствами операционных систем MS Windows.
Контроль доступа к ресурсам Интернета (Content Filtering)Отсутствие гибкого управления доступом к ресурсам Интернета может негативно сказаться на производительности труда сотрудников, создавать нежелательный интернет-трафик, провоцировать проникновение вредоносных программ и утечку конфиденциальной информации. Благодаря функции Content Filtering устройства ZyWALL USG могут ограничить доступ сотрудников к интернет-ресурсам, не имеющим отношения к рабочим вопросам, а также исключить доступ к потенциально опасным ресурсам. Эта функция основана на современной технологии компании Blue Coat, которая осуществляет ежедневный мониторинг миллионов веб-сайтов, разделяя их на разные категории – от “бизнеса и экономики” до “игр” и “спорта”. Это позволяет устройствам ZyXEL в режиме реального времени ранжировать новые сайты, к которым обращаются сотрудники, открывая или запрещая доступ к ним.
Проверка системы безопасности конечных пользователей (EPS)Подключение пользователей к корпоративной сети, компьютеры которых пострадали от вирусов и сетевых червей, может сделать сеть уязвимой для атак хакеров и привести к серьезным нарушениям ее работы. Устройства ZyWALL USG оснащены системой Endpoin Security, которая проверяет соблюдение пользователем корпоративных требованиий безопасности. Критериями такой проверки являются тип ОС, наличие критичных обновлений, антивируса, файервола, определенных ключей в системном реестре ОС, запущенные системные процессы, а также наличие и свойства определенных файлов в системе. Пользователи, не соблюдающие корпоративные требования безопасности, не получат доступ к ресурсам корпоративной сети.
ZyWALL USG 300
PWR
SYS
AUX
RESETCARD1
CARD210/100/1000
12
34
56
7 USB1
2 CONSOLE
AUX
Без контроля доступак социальным сетям
Низкая продуктивность Высокая продуктивность
С контролем доступак социальным сетям
Безопасность гарантирована: универсальные центры сетевой безопасностиЦентры сетевой безопасности ZyWALL USG от компании ZyXEL – это многофункциональные высокоскоростные сетевые шлюзы нового поколения, позволяющие решать широкий спектр задач сетевой безопасности, включая защиту от вирусов и спама, предотвращение вторжений в корпоративную сеть, управление полосой пропускания для разнообразных объектов сети, контроль трафика приложений и виртуальные частные сети.
Устройства ZyWALL USG имеют интуитивно понятный пользовательский интерфейс с перекрестной системой навигации, встроенным справочником и графическим мониторингом состояния. Объектно-ориентированная модель управления позволяет максимально оптимизировать настройку даже в сложных сетях.
Множественные гигабитные интерфейсы WAN позволяют реализовать резервирование доступа в Интернет и балансировку нагрузки. Поддерживается резервирование подключения
к Интернету с помощью 2,5/3G-модемов, подключаемых к портам PCMCIA и USB.
Слоты расширения PCMCIA и порты USB могут быть использованы для установки поддерживаемых типов 3G-модемов либо WiFi-адаптера, а также для подключения FLASH-накопителей, используемых для накопления и хранения логов и захваченных дампов трафика.
Современные технологии виртуализации на уровне L3: VLAN и виртуальные интерфейсы/псевдонимы позволяют разделить корпоративную сеть на нужное количество изолированных сегментов, что позволяет с легкостью управлять уровнем безопасности различных подразделений предприятия, назначать гранулированные политики контроля и вести наблюдение за активностью в сетях различного уровня сложности.
Инструментарий управления полосой пропускания позволяет вводить приоритеты передачи трафика, гарантируя либо ограничивая трафик определенных приложений или хостов в сети. История распределения полосы пропускания заносится в журнал и может быть просмотрена в виде отчета.
Благодаря поддержке маршрутизируемых (IPSec и L2TP/IPSEC VPN) и двухранговых (SSL VPN) виртуальных частных сетей устройства ZyWALL USG могут применяться в роли VPN-концентраторов для объединения территориально распределенных объектов в единую сеть и создания мобильных удаленных рабочих мест.
Встроенная поддержка LDAP/MS AD/RADIUS помогает структурировать политики безопасности на основе уже существующей методики организации сети.
Устройства ZyWALL USG поддерживают работу с современной системой централизованного управления сетевыми шлюзами Vantage CNM и инструментом мониторинга и создания отчетов Vantage Report.
Функциональные особенности центров безопасности ZyWALL USG
Технологии сетевой безопасностиПомимо мультизонального межсетевого экрана (SPI Firewall), шлюзы серии ZyWALL USG имеют встроенный потоковый антивирус Касперского, службы обнаружения и предотвращения вторжений IDP и выявления аномалий протоколов ADP. С этими технологиями устройства ZyWALL способны эффективно предотвращать разнообразные атаки вплоть до 7 уровня OSI и предотвращать проникновение вредоносных программ в корпоративную сеть, используя регулярно обновляемые базы сигнатур. Устройства ZyWALL USG имеют встроенный аппаратный ускоритель на чипсете SecuASIC, обеспечивающий высокую производительность всех упомянутых технологий безопасности.
Антивирус
Межсетевой экран(SPI Firewall)
Блокирует несанкционированный/запрещенный трафик
Inbound Threats
Блокирует деятельность сетевых червей и троянов, DoS-атаки (L4 & L7) и препятствует сканированию
Препятствует проникновению вирусов, троянов, шпионских программ, кейлогеров и т.п. в корпоративную сеть
Интернет
Защита от вторжений (IDP)
Пользователь 1
Пользователь 3
Результат проверки:1. Обновления ОС 2. Антивирус3. Файервол4. Реестр,процессыДоступ запрещен
Результат проверки:1. Обновления ОС 2. Антивирус3. Файервол4. Реестр,процессыДоступ разрешен
Результат проверки:1. Обновления ОС 2. Антивирус3. Файервол4. Реестр,процессыДоступ разрешен
Пользователь 2
Ресурсы корпоративной сети
Интернет
Сервер приложений(учет, склад...)
Web-приложения
Удаленныерабочие столы
Системы OA, ERP, CRM
Системабизнес-анализа
Серверэл. почты
Решения линейки ZyWALL USG от ZyXEL
3 4
Сценарий применения для малого бизнеса (менее 10 сотрудников)В офисе малого предприятия используется ZyWALL USG 20/20W/50. Группы пользователей подключены к разным интерфейсам ZyWALL и имеют разные уровни доступа к ресурсам сети предприятия и ресурсам Интернета. Сервер предприятия вынесен в демилитаризованную зону (DMZ) для обеспечения доступа к нему через Интернет. Подключение офиса к Интернету резервировано путем одновременного использования нескольких каналов подключения к Интернету от разных провайдеров. При этом может быть использовано резервирование с помощью модема 3G. Весь интернет–трафик проверяется встроенными средствами безопасности ZyWALL, что исключает проникновение в сеть вредоносных программ и сетевые
атаки. Для защищенного подключения к офису партнера используется младшая модель ZyWALL USG 20/20W/50. Подключение осуществляется по технологии IPSec. Безопасный доступ
удаленных сотрудников и телеработников к сети главного офиса осуществляется с использованием туннелей SSL, для реализации которых на стороне клиента нужен только интернет–браузер.
Сценарий применения для среднего бизнеса (до 500 сотрудников)В центральном офисе предприятия используются два одинаковых ZyWALL USG 100 или выше в режиме High Availability, что гарантирует бесперебойную работу сети предприятия 24 часа в сутки. Группы пользователей подключены к разным интерфейсам ZyWALL и имеют разные уровни доступа к ресурсам сети предприятия и ресурсам Интернета. Сервера предприятия вынесены в демилитаризованную зону (DMZ) для обеспечения доступа к ним через Интернет. Подключение к Интернету резервировано путем одновременного использования нескольких каналов подключения к Интернету от разных провайдеров, подключенных к разным внешним интерфейсам ZyWALL. Это обеспечивает бесперебойную связь с филиалами, удаленными сотрудниками и телеработниками предприятия. Весь интернет–трафик проходит проверку встроенными средствами безопасности ZyWALL, такими, как SPI Firewall, Anti-Virus, ADP/IDP и Content Filtering. Для защищенного подключения филиалов и партнеров к главному офису используются младшие модели ZyWALL USG 20/20W/50, соединенные туннелями IPSec с ZyWALL в главном офисе. Безопасный доступ удаленных
сотрудников и телеработников к сети главного офиса осуществляется с использованием туннелей SSL, для реализации которых на стороне клиента нужен только интернет–браузер. Генераторы одноразовых паролей ZyWALL OTP, выданные телеработникам и удаленным сотрудникам для персональной аутентификации, позволяют значительно повысить уровень безопасности и упростить процедуру предоставления удаленного доступа к сети
предприятия. Для централизованного сбора, хранения и обработки данных о работе сети используется сервер Vantage Report. Анализируя полученные данные, IT-персонал предприятия контролирует уровень безопасности, активность пользователей, нагрузку на сеть и пр. Централизованное управление всеми ZyWALL USG осуществляется с помощью сервера Vantage CNM.
Офис партнера
ZyWALL USG 50
ZyWALL USG 1000Device HA
Точкидоступа
Доступ с OTP
Группа №1
Группа №2
Группа №3
Серверы DMZ
Межсетевой экранАнтивирусЗащита от вторжений
Серверы Vantage Report и/или Vantage CNM
ZyWALL USG 300 ZyWALL USG 20
Филиал Удаленный офис
Телеработник
Центральный офис
Интернет
Туннель SSL VPN или L2TP VPN
Туннель IPSec VPN
Туннель IPSec VPN
Туннель IPSec VPN
Сотрудникв аэропортуили отеле
Туннель SSL VPN или L2TP VPN
Офис партнера
ZyWALL USG 20или USG 50
Точкадоступа
Сервер DMZ
Межсетевой экран
ZyWALL USG 20
Телеработник
Офис предприятия
Интернет
Туннель SSL VPN
Туннель IPSec VPN
Сотрудникв аэропортуили отеле
Туннель SSL VPN
Интернет
Резервирование на уровне устройства: основное устройство выходит из строя, вместо него подключается резервное
Основное
Резервное
Сеть 3G
Сеть провайдера
(IP VPN)
Корпоративнаяштаб-квартира
Удаленный офис
Размещение у SIили заказчика
Туннель IPSec или GREдля защищенного
соединения
ZyWALL USG переключаетсяс WAN1 (ADLS/оптика) на WAN2 (3G) и обратно
ZyWALL USG 300Унифицированныйцентр безопасности
Vantage CNMЦентрализованноесетевое управление
Работа в режимеактивный/пассивный
Основной
Резервный
ADSL или оптика на
последней миле
Управление трафиком приложений IM/P2P (Application Patrol)Нежелательные сетевые приложения пользователей, в особенности клиенты пиринговых сетей, потокового вещания, обмена мгновенными сообщениями и т.п., могут привести к бесполезной трате пропускной способности корпоративной сети и каналов Интернета. Система управления пользовательскими приложениями позволяет обнаруживать и ограничивать/блокировать трафик нежелательных приложений, а также обеспечивает гарантированную полосу пропускания для полезного трафика, например IP-телефонии. Контроль сетевых пакетов вплоть до 7 уровня OSI с использованием регулярно обновляемых баз сигнатур гарантирует обнаружение большинства популярных протоколов обмена данными (например, Bit Torrent, AIM, ICQ, MSN и Yahoo, протоколы VoIP).
Бесперебойный доступ в ИнтернетПри выполнении повседневных операций бизнеса недоступность каналов подключения к Интернету негативно отражается на работе организации. Устройства ZyWALL USG позволяют решить эту проблему. Благодаря множественным портам WAN, они позволяют использовать одновременно несколько каналов Интернета от разных интернет-провайдеров. Балансировка нагрузки каналов, автоматическое переключение на резервный канал в случае отказа основных, использование 3G-модема в качестве резервного канала – все эти функции могут обеспечить бесперебойный доступ в Интернет 24 часа в сутки.
Резервирование устройстваРезервирование устройства (Device HA) гарантирует круглосуточную бесперебойную работу корпоративной сети, построенной на базе устройства ZyWALL. Это достигается путем одновременного использования двух одинаковых ZyWALL: основного и резервного. В случае временного сбоя или выхода из строя основного устройства все его функции берет на себя резервное устройство.
Комплексная система отчетностиУстройства серии ZyWALL USG имеют встроенную систему отчетности, которая включает в себя целый ряд отчетов реального времени и исторических отчетов, в том числе отчеты о работе межсетевого экрана, антивируса, системы обнаружения и предотвращения вторжений, использовании пропускной способности интерфейсов устройства, активности пользователей и посещаемых ими интернет-сайтах.
ИнтернетКорпоративнаясеть
Не имеющие отношенияк работе
Имеющие отношениек работе
Разрешить имеющие отношение к работе
Приложения, имеющие отношение к работе
Приложения, не имеющие отношения к работе
Ограничить пропускную способность для IM Запретить P2P
Политика контроля заприложениями
5 6
Модель ZyWALL USG 100 ZyWALL USG 300 ZyWALL USG 1000 ZyWALL USG 2000Количество пользователей 10—15 25—75 75—200 200—500
СистемаПропускная способность МСЭ (SPI Firewall) 180 Мбит/с 300 Мбит/с 400 Мбит/с 2000 Мбит/сПропускная способность VPN (AES) 90 Мбит/с 130 Мбит/с 180 Мбит/с 600 Мбит/сПропускная способность UTM (AV+IDP) 30 Мбит/с 80 Мбит/с 100 Мбит/с 400 Мбит/сЛицензии на неогр. количество пользователей Да Да Да ДаМакс. количество сессий (общее/в секунду) 20 000/1000 60 000/1500 500 000/12 000 1 000 000/20 000Макс. количество одновременныхтуннелей IPSec VPN
50 200 1000 2000
Макс. количество одновременныхпользователей SSL VPN
5 25 250 750
Физические порты 5 портов LAN/DMZ,
2 порта WAN (все — GbE)7 портов
10/100/1000 GbE5 портов
10/100/1000 GbE
6 портов 10/100/1000 GbE2 совмещенных порта GbE
(SFP/RJ45)Возможность настройки зон Да Да Да Да
СетьРежим маршрутизации/NAT/SUA Да Да Да ДаРежим моста Да Да Да ДаСмешанный режим (маршрутизация+мост) Да Да Да ДаДобавление тегов VLAN (802.1q) Да Да Да ДаПоддержка модемов 3G Да Да Да Да
БезопасностьМежсетевой экран (SPI Firewall) Да Да Да ДаVPN на основе IPSec Да Да Да ДаVPN на основе SSL Да Да Да ДаVPN на основе L2TP/IPSec Да Да Да ДаФильтрация веб-контента (CF) Да Да Да ДаАнтиспам Да Да Да ДаАнтивирусная защита Да Да Да ДаПредотвращение вторжений/обнаружение аномалий трафика (IDP/ADP)
Да/Да Да/Да Да/Да Да/Да
Управление трафиком приложений IM/P2P (Application Patrol)
Да Да Да Да
Управление пропускной способностью (BWM) Да Да Да ДаПолитики доступа для авторизованных пользователей (User-Aware Mgt)
Да Да Да Да
РезервированиеРезервирование на уровне устройства (Device HA)
Активный/пассивный Активный/пассивный Активный/пассивный Активный/пассивный
Резервирование VPN (VPN HA) Да Да Да ДаРезервирование WAN, балансировки нагрузки Да Да Да Да
Метод аутентификацииЛокальная база данных Да Да Да ДаRadius Да Да Да ДаLDAP Да Да Да ДаMicrosoft AD Да Да Да Да
УправлениеГрафический веб-интерфейс (HTTP и HTTPS) Да Да Да ДаКомандная строка (SSH, Telnet) Да Да Да ДаVantage CNM Да Да Да ДаVantage Report Да Да Да Да
Физические характеристикиГабариты, мм (Ш x Г x В) 242 x 175 x 35,5 430 x 201 x 42 431 x 292 x 43,5 430 x 487 x 89Масса, кг 1,2 2,8 4,7 10,5
Модель ZyWALL USG 20 ZyWALL USG 20W ZyWALL USG 50Количество пользователей 1—5 1—5 1—10
СистемаПропускная способность межсетевого экрана, Мбит/с 150 150 180Пропускная способность VPN (AES), Мбит/с 75 75 90Пропускная способность UTM (AV+IDP) — — 24Лицензии на неограниченное количество пользователей
Да Да Да
Макс. количество сессий (общее/в секунду) 6000/900 6000/900 10 000/900Макс. число одновременных туннелей IPSec VPN 5 5 5Макс. число одновременных пользователей SSL VPN 1 1 5
Физические порты4 порта LAN/DMZ,
1 порт WAN (все — GbE)4 порта LAN/DMZ,
1 порт WAN (все — GbE)4 порта LAN/DMZ,
2 порта WAN (все — GbE)Возможность настройки зон Да Да ДаБеспроводная сеть — Да —
СетьРежим маршрутизации/NAT/SUA Да Да ДаРежим моста Да Да ДаСмешанный режим (маршрутизация+мост) Да Да ДаДобавление тегов VLAN (802.1q) Да Да ДаПоддержка модемов 3G Да Да Да
БезопасностьМежсетевой экран SPI Firewall Да Да ДаПоддержка IPSec VPN Да Да ДаПоддержка SSL VPN Да Да ДаПоддержка L2TP/IPSec VPN — — —Фильтрация веб-контента (CF) Да Да ДаАнтиспам Да Да ДаАнтивирусная защита — — ДаПредотвращение вторжений/ обнаружение аномалий трафика (IDP/ADP)
—/Да —/Да Да/Да
Контроль за трафиком IM/P2P (Application Patrol) — — ДаУправление пропускной способностью (BWM) Да Да ДаПолитики доступа для авторизованных пользователей (User-Aware Management)
Да Да Да
Высокая доступностьРезервирование каналов VPN Да Да ДаНесколько портов WAN для балансировки нагрузки Да (WAN + 3G) Да (WAN + 3G) Да
Метод аутентификацииЛокальная база данных Да Да ДаRadius Да Да ДаLDAP Да Да ДаMicrosoft AD Да Да Да
УправлениеГрафический веб-интерфейс (HTTP и HTTPS) Да Да ДаКомандная строка Да Да ДаVantage CNM Да Да ДаVantage Report Да Да Да
Физические характеристикиГабариты, мм (Ш x Г x В) 216 x 140 x 33 216 x 140 x 33 242 x 167 x 35,5Вес, кг 0,38 0,42 1,2
Таблица сравнительных характеристик
ZyWALL IPSec VPNПрограммный VPN-клиент для операционных систем MS Windows для удаленного защищенного доступа на основе IPSec ко всем моделям ZyWALL
ZyWALL OTPv2ZyWALL OTPv2 – аппаратный генератор одноразовых шестизначных PIN-кодов, используемых совместно с паролем для надежной двухфакторной аутентификации. Является высоконадежным и простым в развертывании решением для обеспечения пользователям высокозащищенного удаленного доступа
Vantage Report 3.3Программный инструмент для быстрого и удобного централизованного сбора, хранения, анализа и обработки информации о работе распределенной сети устройств безопасности ZyXEL
Vantage CNM for WindowsПрограммный комплексный инструмент централизованного управления и мониторинга устройств сетевой безопасности ZyXEL
Лицензии для подключения дополнительных функций и услуг
Дополнительное программное обеспечение и принадлежности
USG 2000 USG 1000 USG 300 USG 200 USG 100 USG 50 USG 20 USG 20W
Антивирус Да Да Да Да Да Да — —
IDP/AP Да Да Да Да Да Да — —
Фильтр контента Да Да Да Да Да Да Да Да
Vantage CNM Поддержка всех моделей ZyWALL, 10 узлов, 25 узлов, 50 узлов, 100 узлов, 300 узлов, 1000 узлов
Vantage Report Поддержка всех моделей ZyWALL, 1 устройство, 5 устройств, 25 устройств, 100 устройств
USG 2000 USG 1000 USG 300 USG 200 USG 100 USG 50 USG 20 USG 20W
VPN на основе SSL, количество SSL–туннелей
5–50 5–250 5–750
50–250 50–750
250–750
5–25 5–50
5–250 25–50
25–250 50–250
2–10 2–25
10–25 2–10 2–5 2–5 — —
Клиент IPSec VPN
Для клиентских компьютеровПрограммный клиент, 1 лицензияПрограммный клиент, 5 лицензий
Программный клиент, 10 лицензийПрограммный клиент, 50 лицензий
ZyXEL Беларусь220123, Минск, ул. В. Хоружей, 32а, офис 26 http://zyxel.by(017) 334-6099
ZyXEL Россия117279, Москва, ул. Островитянова, 37а http://zyxel.ru(495) 542-8920
ZyXEL Украина04050, Киев, ул. Пимоненко, 13, офис 6D/26 http://ua.zyxel.com(044) 494-4931
ZyXEL Центральная Азия и Закавказье050010, Казахстан, Алматы, пр. Достык, 43, офис 414 http://zyxel.kz(727) 259-0699
© ООО «Зайксель Россия», 2011 © ZyXEL Communications Corp., 2011. Все права защищены.Воспроизведение, адаптация, перевод и распространение данного документа или любой его части без предварительного письменного разрешения ZyXEL запрещены — за исключением случаев, допускаемых законодательством об авторском праве. Упоминаемые названия продуктов или компаний могут быть товарными знаками или знаками обслуживания соответствующих правообладателей. ZyXEL оставляет за собой право вносить изменения и улучшения в любой продукт, описанный в этом дoкументе, а также в сам документ в любое время без предварительного уведомления.
