(Notes) Notes (2015)

Особенности контроллеров ZyXEL серий USG, UAG, NXC.

В начале этого года у меня возник интересный проект (пока непонятно, как он будет развиваться дальше), в рамках которого мне потребовалось пояснить для инвестора отличия контроллеров ZyXEL указанных трех серий. К счастью, с этими контроллерами я работаю давно, в них мне все понятно, ну а сравнительная табличка особенностей этих контроллеров может оказаться полезной еще кому-нибудь.

Цветом выделены критические особенности контроллеров ZyWall серий USG, UAG, NXC. Старинную модель 70 я привлек к сравнению потому, что она есть у меня с незапамятных времен и по ней видна вся эволюция серии USG - эта модель была предшественником всей серии USG и видно какой функционал постепенно наращивался в серии USG.

70USG UAGNXC
IP Alias+- --Три IP-адреса на одном LAN-интерфейсе
Cellular++ - (*6)- (*6) Управление 3G-модемом, подключенным по PCMCIA или USB
Tunnel-+ --Управление тремя типами тоннелей на интерфейсе - IPv6 внутри IPv4 и PPTP (GRE)
UPnP+- + (*8)-Поддержка стандарта Universal Plug and Play
Port Role- (*1)+ +- Назначение типа порта WAN-LAN-DMZ-WLAN-VPN-Tunnel
Port Grouping-+ -- Сводная картинка с назначением типов интерфейса на физические разъемы RJ45
Ethernet+ (*2)+ ++ Определение IP адреса и других основных свойств порта
PPP- (*3)+ +-Отдельная вкладка с определением коннектов к PPP или PPPoE во всех зонах
ISP Account-+ --Отдельная вкладка с определением коннектов к PPP или PPPoE к провайдеру
VLAN-+ ++Определение VLAN на интерфейсе
Bridge- (*4)+ +-Группировка нескольких портов в Switch
Trunc- (*5)+ + В основном используется для алгоритмов Load Balancing
Auxilary-+ -- Управление параметрами модема, подключенного к COM-порту
Dial-in Mgmt-+ --Управление бандвичем модема на COM-порту
WLAN++ - (*7)- (*7) Управление устройством WIFI в виде отдельной карты в формате PCMCIA
Static Route++ ++Простые, заведомо заданные, правила движения пакетов на шлюзе или интерфейсе с метриками
Policy Route++ ++Сложные правила движения пакетов на интерфейсе, перекрывающие простые, в зависимости от содержимого пакетов, времени , Port Triggering и много чего еще.
RIP-+ --Параметры RIP-протокола, определяющие маршруты движения пакетов - методы аутентификации и др.
OSPF-+ --Параметры OSPF-протокола, определяющие маршруты движения пакетов по каждой из зон OSPF
Zone-+ ++Группировка интерфейсов, например COM-порт можно определить в WAN или LAN, кроме того, тут блокирутся трафик внутри зоны.
DDNS++ +-Поддержка DDNS-имен на WAN-порту
IP/MAC binding++ ++Привязка IP-MAC в DHCP
NAT++ ++Здесь определяются типы NAT - Virtual Server, 1:1, Many 1:1, кроме того, в Policy Route определяется SNAT - в соответствии с этими правилами фаервол выполняет замену адресов откуда-куда идет пакет в процессе обработки пакета внутри фаервола. Этапы процессов SNAT и NAT видно на диграммах работы фаервола.  
ALG++ ++Необходимость глубокой обработки пакетов в фаерволе на прикладном уровне для пакетов типа SIP, FTP, H323
HTTP Redirect-+ +-Определение прокси-сервера в LAN-сети
SMTP Redirect-+ --Определение почтового прокси в LAN-сети
Firewall++ ++Определение правил пропуска пакетов через устройство
BWM+ (*9)+ ++ (*10)Политика управления бандвичем
Auth Policy-+ - (*17)- (*17)Определение необходимости аутентификации различных протоколов в зависимости от назначения пакета, времени и других условий.
Schedule++ ++Определение одноразовых и рекурсивных отрезков времени, которые можно использовать для роутинга, аутинтификации, скриптов, правил пропуска пакетов и др.
Service/Group++ ++Определения различных сервисов и групп сервисов, которые потом можно будет использовать например в фаерволе, аутентификации, роутинге и так далле
Adress/Group++ ++Определение айпишников и групп для использования их в различных правилах работы фаервола
Certificate++ ++Создание собственных самоподписанных сертификатов и загрузка в фаервол сертификатов
DNS++ ++Встроенный в фаервол DNS-сервер
AAA локальная база юзеров++ ++Локальная база юзеров
AAA Radius++ ++Определение внешнего сервера Radius с логинами юзеров для входа на фаервол и различных видов доступа
AAA LDAP/AD-+ -+Определение внешнего LDAP/Active Directory сервера
AU method-+ ++Определение метода аутентификации (по одному из четырех видов баз), на этот метод можно ссылаться в политиках
Syslog++ ++Определение внешнего Syslog -сервера
VCRT-log-+ ++Определение внешнего сервера для отчетов Vantage
PacketTrace to USB Device-+ ++Трассировка пакетов на USB-устройство
Core Dump-- ++Полный дамп всего состояния операционной системы устройства
Email Daily Report++ ++Ежедневная высылка отчета по почте
EMAIL server++ ++Определение почтового сервера для отправки всевозможных уведомлений о проблемах
SMT-меню на консольном порту+ +++ Текстовое меню управления возможностями устройства
SNMP+ (*13)+ ++Поддержка протокола SNMP - рассылка информации о состоянии устройства и статистике
SMT-меню из WEB-интерфейса- +++ Управления функционалом устройства из пунктов раскрывающегося текстового меню
CLI-интерфейс++ ++Полное управление всеми возможностями устройства через командную строку операционной системы ZynOS
Custom .zysh-скрипт-+ ++Загрузка собственного скрипта в операционную систему фаервола
WWW/SSH/TELNET/FTP++ ++Определение способов входа на фаервол для контроля над ним
NTP++ ++Определение внешнего сервера времени
Hostname++ ++Определение имени устройства
Console++ ++Установка параметров работы консольного порта
Multiple Configuration- (*14) +++Множество конфигураций устройства, возможность перейти в любой момент на другую конфигурацию
DHCP v6-+ (*11) -+ (*12)Поддержка IPv6
IPSec VPN++ ++Конфигурирование фазы 1 (Gateway) и фазы 2 (Connection) для IPSec VPN в разных режимах - Site-to-Site (with Dynamic Peer), Remote access Server, Remote Access Clent
IPSec VPN Concentrator-+ --Определение специальных правил обьединения отдельных VPN-сетей в общую, например дирекция может ходить по всем VPN-сегментам общей сети, а торговый отдел не может ходить в бухгалтерию
OTPv2-+ --Одноразовые пароли OTPv2, рассылаемые на мобильник, для входа на фаервол
SSL VPN-+ --Доступ к локальной сети с любого устройства снаружи по SSL по логину-паролю без конфигурирования фаервола - встроенная лицензия на 5 логинов. Доступные приложения определяются в фаерволе - SSL Applicaton
L2TP VPN-+ --Подключение по DialUP к фаерволу с получением IP-адреса и прав доступа к обределенным обьектам
DNS Inbound LB- +-- Поддержка Load ballanсing через определение множества записей A в DNS-сервере
Device HA-+ --Определение резервного фаервола, автоматически срабатывающего при выключении основного фаервола
Endpoint Security (EPS)-+ - - Определение различных условий вызова программ и дисковых патчей для Linux и Windows
Anomaly Detection and Prevention - ADP + (*15)+ --В USG без дополнительно покупаемых лицензий обнаруживаются следующие Anomaly Detection and Prevention (ADP-атаки) на трафик и на протоколы.
Intrusion Detection and Prevention - IDP+ +- -Содержит сигнатуры тысяч уязвимостей, распространненных в инете. База уязвимостей платная и постоянно обновляется. Можно загрузить и собственные сигнатуры.
Spam Mail Detected+ (*16)+ (*16) -- Учитываются DNSBL, Black-White list почтовых серверов, репутация почтовиков, отдельные хеадеры и прочее.
Anti-Virus+ (*15) + --Отдельно лицензируемое подключение к онлайн-обновляемыми базами компаний ZyXEL и Kaspersky
Anti-SPAM++ --Отдельно лицензируемое подключение к онлайн-обновляемыми базами спамеров
Content-filter++ (*15) --Фильтрация всего содержимого пакетов, проходящих по заданным портам по сигнатурам
Application Patrol-+ --Указание правил доступа для всех основных известных приложений.
Wireless Controller-- + +Ручной или автоматических коннект к точкам доступа
Captive Portal-- + +Конструирование странички с логином/паролем для входа в сеть WIFI, QR-кодом, Walled Garden - сайтов свободного доступа, прокрутки рекламы
Ap Management list-- + +Список подключенных точек доступа
Ap Group-- - +Группировка точек доступа
Ap Policy-- - +Дополнение основных характеристик точек доступа - способы перепрошивки и прочее.
AP in MON Mode-- - +Определение точек доступа в режиме мониторинга и подавления Rogue точек доступа
MON Profile-- - +Каналы сканирования и интервал сканирования для определения недружественных точек WIFI-доступа
Auto Heating-- - +Возможность автоматические перехода соседних точек доступа на форсаж, увеличение мощности сверх пределов при отключении отдельных точек доступа
ZyMesh Profile-- -+Фирменная технология ZyXEL - когда много точек, как подлюченных локально, так и не подключенных, работают с одним и тем же SSID
RTLS Ekahau-- - +Отслеживание точных координат обьекта с Ekahau излучателем
AP profile-- + -Индивидуальный радио-профиль и SSID каждой точки доступа
IPnP-- + -IP Plug and Play - подкючение кампутера к WIFI все зависимости от его IP-адреса
VPN 1-1 mapping-- + -Автоматическое присвоение каждому клиенту индивидуального внешнего IP-адреса
Layer 2 Isolaton-- + -Автоматическая изоляция WIFI-клиентов друг от друга
Billing -- +-Денежные расчеты
Payment service-- + -Определение сервиса приема платежей
Free time-- + -Определение времени свободного доступа к WIFI
SMS-- + -Определение сервиса рассылки SMS с паролями доступа к WIFI по 3G
Printer manager-- + -Определение IP-принтера для печати чеков с паролями доступа к WIFI
    8 64Количество управляемых из контроллера точек WIFI без покупки дополнительной лицензии
    16 512 Максимальное количество управляемых из контроллера точек WIFI
    200 16384Количество WIFI-пользователей без дополнительный лицензии
    300  16384Максимально допустимое количество WIFI-пользователей

Примечания:
1. Функции портов WAN-LAN-DMZ зафиксированы и не могут быть изменены программно - 1 LAN, 2 WAN, 4 DMZ или WLAN.
2. Придумано понятие Виртуального интерфейса, соответствующего блоку физических портов.
3. Определение коннектов PPP и PPPoE для WAN-порта есть на общей владке определения порта.
4. Можно весь Файервол переключить в режим свича.
5. Load Balancing возможно определить без сборки портов в блок (Trunc).
6. 3G-модемом можно управлять через управление USB-устройством - не так подробно, как у серии USG.
7. Нет одной простой вкладки управления PCMCIA-картой WIFI - есть много-много пунктов и функций. А у устройства есть UAG4100 есть встроенная WIFI-система класса Hi-END.
8. Кроме простого UPnP устройство серии UAG поддерживает NAT-PMP
9. Очень упрощенно.
10. Отдельно по каждой точке WIFI
11. Только в тоннелях, когда в LAN есть IPv6 адреса, а на WAN есть IPv4 адреса.
12. Полная поддержка для всех протоколов, например для DNS
13. Недоступно из WEB-интерфейса, только через SMT-меню
14. В виде текстового файла, в остальных устройствах конфигурация в виде нечитаемого бинарника.
15. С отдельной картой формате PCMCIA
16. Лицензия покупается отдельно, дополнительное оборудование не требуется.
17. Есть тоже аналогичные политики, но управление ими организовано иначе.

Различные модели фаерволов в серии USG различаются количеством портов и производительностью:
Model Name USG40/40W USG60/60W USG110 USG210 USG300 USG310 USG1000 USG1100 USG1900 USG2000
Firewall throughput 400 Mbps 1.0 Gbps 1.6 Gbps 1.9 Gbps 350 Mbps 5.0 Gbps 400 Mbps 6.0 Gbps 7.0 Gbps 2,0 Gbps
VPN throughput 100 Mbps 180 Mbps 400 Mbps 500 Mbps 130 Mbps 650 Mbps 180 Mbps800 Mbps 900 Mbps 600 Mbps
IPD throughput 50 Mbps 90 Mbps 250 Mbps 300 Mbps 80 Mbps 400 Mbps 100 Mbps 500 Mbps 600 Mbps 400 Mbps
Max. TCP concurrent sessions 20 тыс. 40 тыс. 60 тыс.80 тыс. 60 тыс100 тыс. 500 тыс300 тыс. 500 тыс. 1 млн
Max. concurrent IPSec VPN tunnels10 20 100 2002003001000100020002000
Max. concurrent SSL VPN users7 12 25 50 25105250255755750


Comments ( )
<00>  <01>  <02>  <03>  <04>  <05>  <06>  <07>  <08>  <09>  <10>  <11>  <12>  <13>  <14>  <15>  <16>  <17
Link to this page: http://www.vb-net.com/ZyXEL/Compare.htm
<SITEMAP>  <MVC>  <ASP>  <NET>  <DATA>  <KIOSK>  <FLEX>  <SQL>  <NOTES>  <LINUX>  <MONO>  <FREEWARE>  <DOCS>  <ENG>  <MAIL ME>  <ABOUT ME>  < THANKS ME>