)
В начале этого года у меня возник интересный проект (пока непонятно, как он будет развиваться дальше), в рамках которого мне потребовалось пояснить для инвестора отличия контроллеров ZyXEL указанных трех серий. К счастью, с этими контроллерами я работаю давно, в них мне все понятно, ну а сравнительная табличка особенностей этих контроллеров может оказаться полезной еще кому-нибудь.
Цветом выделены критические особенности контроллеров ZyWall серий USG, UAG, NXC. Старинную модель 70 я привлек к сравнению потому, что она есть у меня с незапамятных времен и по ней видна вся эволюция серии USG - эта модель была предшественником всей серии USG и видно какой функционал постепенно наращивался в серии USG.
| 70 | USG | UAG | NXC | ||
|---|---|---|---|---|---|
| IP Alias | + | - | - | - | Три IP-адреса на одном LAN-интерфейсе |
| Cellular | + | + | - (*6) | - (*6) | Управление 3G-модемом, подключенным по PCMCIA или USB |
| Tunnel | - | + | - | - | Управление тремя типами тоннелей на интерфейсе - IPv6 внутри IPv4 и PPTP (GRE) |
| UPnP | + | - | + (*8) | - | Поддержка стандарта Universal Plug and Play |
| Port Role | - (*1) | + | + | - | Назначение типа порта WAN-LAN-DMZ-WLAN-VPN-Tunnel |
| Port Grouping | - | + | - | - | Сводная картинка с назначением типов интерфейса на физические разъемы RJ45 |
| Ethernet | + (*2) | + | + | + | Определение IP адреса и других основных свойств порта |
| PPP | - (*3) | + | + | - | Отдельная вкладка с определением коннектов к PPP или PPPoE во всех зонах |
| ISP Account | - | + | - | - | Отдельная вкладка с определением коннектов к PPP или PPPoE к провайдеру |
| VLAN | - | + | + | + | Определение VLAN на интерфейсе |
| Bridge | - (*4) | + | + | - | Группировка нескольких портов в Switch |
| Trunc | - (*5) | + | + | - | В основном используется для алгоритмов Load Balancing |
| Auxilary | - | + | - | - | Управление параметрами модема, подключенного к COM-порту |
| Dial-in Mgmt | - | + | - | - | Управление бандвичем модема на COM-порту |
| WLAN | + | + | - (*7) | - (*7) | Управление устройством WIFI в виде отдельной карты в формате PCMCIA |
| Static Route | + | + | + | + | Простые, заведомо заданные, правила движения пакетов на шлюзе или интерфейсе с метриками |
| Policy Route | + | + | + | + | Сложные правила движения пакетов на интерфейсе, перекрывающие простые, в зависимости от содержимого пакетов, времени , Port Triggering и много чего еще. |
| RIP | - | + | - | - | Параметры RIP-протокола, определяющие маршруты движения пакетов - методы аутентификации и др. |
| OSPF | - | + | - | - | Параметры OSPF-протокола, определяющие маршруты движения пакетов по каждой из зон OSPF |
| Zone | - | + | + | + | Группировка интерфейсов, например COM-порт можно определить в WAN или LAN, кроме того, тут блокирутся трафик внутри зоны. |
| DDNS | + | + | + | - | Поддержка DDNS-имен на WAN-порту |
| IP/MAC binding | + | + | + | + | Привязка IP-MAC в DHCP |
| NAT | + | + | + | + | Здесь определяются типы NAT - Virtual Server, 1:1, Many 1:1, кроме того, в Policy Route определяется SNAT - в соответствии с этими правилами фаервол выполняет замену адресов откуда-куда идет пакет в процессе обработки пакета внутри фаервола. Этапы процессов SNAT и NAT видно на диграммах работы фаервола. |
| ALG | + | + | + | + | Необходимость глубокой обработки пакетов в фаерволе на прикладном уровне для пакетов типа SIP, FTP, H323 |
| HTTP Redirect | - | + | + | - | Определение прокси-сервера в LAN-сети |
| SMTP Redirect | - | + | - | - | Определение почтового прокси в LAN-сети |
| Firewall | + | + | + | + | Определение правил пропуска пакетов через устройство |
| BWM | + (*9) | + | + | + (*10) | Политика управления бандвичем |
| Auth Policy | - | + | - (*17) | - (*17) | Определение необходимости аутентификации различных протоколов в зависимости от назначения пакета, времени и других условий. |
| Schedule | + | + | + | + | Определение одноразовых и рекурсивных отрезков времени, которые можно использовать для роутинга, аутинтификации, скриптов, правил пропуска пакетов и др. |
| Service/Group | + | + | + | + | Определения различных сервисов и групп сервисов, которые потом можно будет использовать например в фаерволе, аутентификации, роутинге и так далле |
| Adress/Group | + | + | + | + | Определение айпишников и групп для использования их в различных правилах работы фаервола |
| Certificate | + | + | + | + | Создание собственных самоподписанных сертификатов и загрузка в фаервол сертификатов |
| DNS | + | + | + | + | Встроенный в фаервол DNS-сервер |
| AAA локальная база юзеров | + | + | + | + | Локальная база юзеров |
| AAA Radius | + | + | + | + | Определение внешнего сервера Radius с логинами юзеров для входа на фаервол и различных видов доступа |
| AAA LDAP/AD | - | + | - | + | Определение внешнего LDAP/Active Directory сервера |
| AU method | - | + | + | + | Определение метода аутентификации (по одному из четырех видов баз), на этот метод можно ссылаться в политиках |
| Syslog | + | + | + | + | Определение внешнего Syslog -сервера |
| VCRT-log | - | + | + | + | Определение внешнего сервера для отчетов Vantage |
| PacketTrace to USB Device | - | + | + | + | Трассировка пакетов на USB-устройство |
| Core Dump | - | - | + | + | Полный дамп всего состояния операционной системы устройства |
| Email Daily Report | + | + | + | + | Ежедневная высылка отчета по почте |
| EMAIL server | + | + | + | + | Определение почтового сервера для отправки всевозможных уведомлений о проблемах |
| SMT-меню на консольном порту | + | + | + | + | Текстовое меню управления возможностями устройства |
| SNMP | + (*13) | + | + | + | Поддержка протокола SNMP - рассылка информации о состоянии устройства и статистике |
| SMT-меню из WEB-интерфейса | - | + | + | + | Управления функционалом устройства из пунктов раскрывающегося текстового меню |
| CLI-интерфейс | + | + | + | + | Полное управление всеми возможностями устройства через командную строку операционной системы ZynOS |
| Custom .zysh-скрипт | - | + | + | + | Загрузка собственного скрипта в операционную систему фаервола |
| WWW/SSH/TELNET/FTP | + | + | + | + | Определение способов входа на фаервол для контроля над ним |
| NTP | + | + | + | + | Определение внешнего сервера времени |
| Hostname | + | + | + | + | Определение имени устройства |
| Console | + | + | + | + | Установка параметров работы консольного порта |
| Multiple Configuration | - (*14) | + | + | + | Множество конфигураций устройства, возможность перейти в любой момент на другую конфигурацию |
| DHCP v6 | - | + (*11) | - | + (*12) | Поддержка IPv6 |
| IPSec VPN | + | + | + | + | Конфигурирование фазы 1 (Gateway) и фазы 2 (Connection) для IPSec VPN в разных режимах - Site-to-Site (with Dynamic Peer), Remote access Server, Remote Access Clent |
| IPSec VPN Concentrator | - | + | - | - | Определение специальных правил обьединения отдельных VPN-сетей в общую, например дирекция может ходить по всем VPN-сегментам общей сети, а торговый отдел не может ходить в бухгалтерию |
| OTPv2 | - | + | - | - | Одноразовые пароли OTPv2, рассылаемые на мобильник, для входа на фаервол |
| SSL VPN | - | + | - | - | Доступ к локальной сети с любого устройства снаружи по SSL по логину-паролю без конфигурирования фаервола - встроенная лицензия на 5 логинов. Доступные приложения определяются в фаерволе - SSL Applicaton |
| L2TP VPN | - | + | - | - | Подключение по DialUP к фаерволу с получением IP-адреса и прав доступа к обределенным обьектам |
| DNS Inbound LB | - | + | - | - | Поддержка Load ballanсing через определение множества записей A в DNS-сервере |
| Device HA | - | + | - | - | Определение резервного фаервола, автоматически срабатывающего при выключении основного фаервола |
| Endpoint Security (EPS) | - | + | - | - | Определение различных условий вызова программ и дисковых патчей для Linux и Windows |
| Anomaly Detection and Prevention - ADP | + (*15) | + | - | - | В USG без дополнительно покупаемых лицензий обнаруживаются
следующие Anomaly Detection and Prevention (ADP-атаки) на трафик и на протоколы. |
| Intrusion Detection and Prevention - IDP | + | + | - | - | Содержит сигнатуры тысяч уязвимостей, распространненных в инете. База уязвимостей платная и постоянно обновляется. Можно загрузить и собственные сигнатуры. |
| Spam Mail Detected | + (*16) | + (*16) | - | - |
Учитываются DNSBL, Black-White
list почтовых серверов, репутация почтовиков, отдельные хеадеры и прочее. |
| Anti-Virus | + (*15) | + | - | - | Отдельно лицензируемое подключение к онлайн-обновляемыми базами компаний ZyXEL и Kaspersky |
| Anti-SPAM | + | + | - | - | Отдельно лицензируемое подключение к онлайн-обновляемыми базами спамеров |
| Content-filter | + | + (*15) | - | - | Фильтрация всего содержимого пакетов, проходящих по заданным портам по сигнатурам |
| Application Patrol | - | + | - | - | Указание правил доступа для всех основных известных приложений. |
| Wireless Controller | - | - | + | + | Ручной или автоматических коннект к точкам доступа |
| Captive Portal | - | - | + | + | Конструирование странички с логином/паролем для входа в сеть WIFI, QR-кодом, Walled Garden - сайтов свободного доступа, прокрутки рекламы |
| Ap Management list | - | - | + | + | Список подключенных точек доступа |
| Ap Group | - | - | - | + | Группировка точек доступа |
| Ap Policy | - | - | - | + | Дополнение основных характеристик точек доступа - способы перепрошивки и прочее. |
| AP in MON Mode | - | - | - | + | Определение точек доступа в режиме мониторинга и подавления Rogue точек доступа |
| MON Profile | - | - | - | + | Каналы сканирования и интервал сканирования для определения недружественных точек WIFI-доступа |
| Auto Heating | - | - | - | + | Возможность автоматические перехода соседних точек доступа на форсаж, увеличение мощности сверх пределов при отключении отдельных точек доступа |
| ZyMesh Profile | - | - | - | + | Фирменная технология ZyXEL - когда много точек, как подлюченных локально, так и не подключенных, работают с одним и тем же SSID |
| RTLS Ekahau | - | - | - | + | Отслеживание точных координат обьекта с Ekahau излучателем |
| AP profile | - | - | + | - | Индивидуальный радио-профиль и SSID каждой точки доступа |
| IPnP | - | - | + | - | IP Plug and Play - подкючение кампутера к WIFI все зависимости от его IP-адреса |
| VPN 1-1 mapping | - | - | + | - | Автоматическое присвоение каждому клиенту индивидуального внешнего IP-адреса |
| Layer 2 Isolaton | - | - | + | - | Автоматическая изоляция WIFI-клиентов друг от друга |
| Billing | - | - | + | - | Денежные расчеты |
| Payment service | - | - | + | - | Определение сервиса приема платежей |
| Free time | - | - | + | - | Определение времени свободного доступа к WIFI |
| SMS | - | - | + | - | Определение сервиса рассылки SMS с паролями доступа к WIFI по 3G |
| Printer manager | - | - | + | - | Определение IP-принтера для печати чеков с паролями доступа к WIFI |
| 8 | 64 | Количество управляемых из контроллера точек WIFI без покупки дополнительной лицензии | |||
| 16 | 512 | Максимальное количество управляемых из контроллера точек WIFI | |||
| 200 | 16384 | Количество WIFI-пользователей без дополнительный лицензии | |||
| 300 | 16384 | Максимально допустимое количество WIFI-пользователей |
| Model Name | USG40/40W | USG60/60W | USG110 | USG210 | USG300 | USG310 | USG1000 | USG1100 | USG1900 | USG2000 |
| Firewall throughput | 400 Mbps | 1.0 Gbps | 1.6 Gbps | 1.9 Gbps | 350 Mbps | 5.0 Gbps | 400 Mbps | 6.0 Gbps | 7.0 Gbps | 2,0 Gbps |
| VPN throughput | 100 Mbps | 180 Mbps | 400 Mbps | 500 Mbps | 130 Mbps | 650 Mbps | 180 Mbps | 800 Mbps | 900 Mbps | 600 Mbps |
| IPD throughput | 50 Mbps | 90 Mbps | 250 Mbps | 300 Mbps | 80 Mbps | 400 Mbps | 100 Mbps | 500 Mbps | 600 Mbps | 400 Mbps |
| Max. TCP concurrent sessions | 20 тыс. | 40 тыс. | 60 тыс. | 80 тыс. | 60 тыс | 100 тыс. | 500 тыс | 300 тыс. | 500 тыс. | 1 млн |
| Max. concurrent IPSec VPN tunnels | 10 | 20 | 100 | 200 | 200 | 300 | 1000 | 1000 | 2000 | 2000 |
| Max. concurrent SSL VPN users | 7 | 12 | 25 | 50 | 25 | 105 | 250 | 255 | 755 | 750 |
Device context:
)
|
|