Унифицированный центр безопасности USG 40W это высокоинтегрированное устройство нового поколения, предназначенное для решения широкого спектра задач по построению корпоративной сети малого бизнеса, подключения ее к Интернету, создания безопасных каналов связи с удаленными подразделениями и сотрудниками и всесторонней защиты сетевой инфраструктуры от угроз из Интернета.
В компактном корпусе настольного исполнения USG 40W сочетаются новейшая аппаратная платформа, основанная на современном высокопроизводительном процессоре Cavium Octeon II CN6010 и операционная система ZLD, надежность и функциональность которой подтверждена многолетней успешной эксплуатацией центров безопасности ZyWALL USG различными компаниями во многих странах мира. Благодаря этому USG 40W имеет впечатляющий арсенал функций для построения IT-инфраструктуры малого бизнеса и демонстрирует одни из самых высоких показателей производительности среди конкурирующих устройств других производителей.
Оснащенный двумя внешними гигабитными интерфейсами (WAN и OPT) и USB-портом для подключения модемов 3G/4G центр безопасности USG 40W позволяет одновременно использовать три широкополосных канала Интернета от разных провайдеров, тем самым обеспечивая отказоустойчивость и увеличивая суммарную пропускную способность подключения. Это гарантирует постоянную доступность Интернет-сервисов необходимых для ведения бизнеса и надежную связь с удаленными подразделениями.
Встроенная в USG 40W точка доступа Wi-Fi 802.11 b/g/n поможет развернуть беспроводную сеть компании в минимальной конфигурации, которую при необходимости можно расширить и администрировать централизованно с помощью встроенного контроллера точек доступа Wi-Fi.
Многофункциональный VPN-шлюз центра безопасности USG 40W предназначен для объединения географически распределенных подразделений в единую информационную инфраструктуру, а так же для создания мобильных и удаленных рабочих мест для сотрудников на базе смартфонов, планшетов и ноутбуков.
Встроенные средства приоритезации трафика и распределения полосы пропускания, отвечают потребностям бизнеса в использовании современных бизнес-приложений, чувствительных к задержкам и потерям передаваемых данных. С использованием USG 40W, IP-телефония, видеоконференции, а так же совместный централизованный доступ к документам и базам данных в центральном офисе становятся доступными сотрудникам удаленных подразделений.
Встроенные сервисы сетевой безопасности UTM, такие как потоковый антивирус, система обнаружения и предотвращение вторжений, контентная фильтрация, защита от спама и патруль приложений способны обеспечить высокий уровень сетевой безопасности, защищая всю сетевую инфраструктуру от угроз из Интернета, оптимизируя ее работу и повышая продуктивность работы предприятия.
При всех своих широких функциональных возможностях, центр безопасности USG 40W является надежным и простым в эксплуатации устройством с привлекательным соотношением цены и качества, внедрение и эксплуатация которого не требует существенных финансовых и трудовых затрат. Объектно-ориентированная модель управления наряду с интуитивно понятным пользовательским веб-интерфейсом, перекрестной системой навигации, встроенным контекстным справочником и графическим мониторингом состояния позволяют максимально упростить настройку даже в сложных сетях.
Основные преимущества
IPSec VPN
Технология IPSec VPN реализованная в центре безопасности USG 40W является идеальным решением для создания постоянных подключений типа сеть-сеть между удаленными подразделениями. Обеспечение бесперебойной работы VPN достигается путем создания VPN через резервный канал Интернета в случае отказа основного канала. Кроме того, имеется возможность объединять VPN-туннели созданные через разные каналы Интернета в транк с балансировкой нагрузки, тем самым, увеличивая суммарную пропускную способность VPN-соединения между удаленными подразделениями.
IKEv2
Наряду с IKEv1 (RFC 2407, 2408, 2409, 4109, 4995) в устройстве USG 40W реализована поддержка протокола IKEv2 (RFC5996) с аутентификацией EAP. Использование новой версии протокола IKEv2 обеспечивает более быстрое и безопасное согласование ассоциаций безопасности IKE SA /IPSec SA и генерацию ключей шифрования безопасности, а так же надежную защиту от DoS-атак. Кроме того, IKEv2 и EAP штатно поддерживаются операционными системами Windows 7/8, что позволяет использовать эти технологии для организации удаленных рабочих мест для сотрудников предприятия.
L2TP over IPSec
Появление на рынке недорогих функциональных мобильных компьютерных устройств с постоянным подключением к Интернету и поддержкой VPN способствует мобильности бизнеса. Технология L2TP over IPSec VPN реализованная в USG 40W и поддерживаемая операционными системами iPhone iOS, Android и MS Windows позволяет компаниям создавать мобильные рабочие места для своих выездных сотрудников на базе таких устройств, предоставляя им защищенный удаленный доступ к бизнес-приложениям в корпоративной сети. Благодаря USG 40W каждый сотрудник компании, имеющий при себе смартфон или планшет, может в любой момент подключиться к корпоративной сети и оперативно решить многие рабочие вопросы вне офиса, что значительно ускоряет бизнес-процессы.
SSL VPN
Кроме того, USG 40W поддерживает технологию SSL VPN, которая так же является эффективным решением для предоставления сотрудникам безопасного удаленного доступа к ресурсам корпоративной сети. Используя эту технологию, межсетевой экран USG 40W способен обеспечить простой, не связанный с настройкой клиентского оборудования или установкой программных клиентов способ доступа к почтовому серверу, файлам и приложениям, веб-серверам и другим ресурсам корпоративной сети. Для создания SSL-подключения на стороне клиента требуется только наличие стандартного компьютера с веб-браузером и подключением к Интернету, что позволяет создавать подключение из любой точки мира с любого компьютера. Безопасность подключения обеспечивается современными методами шифрования, применением цифровых сертификатов, а так же, при необходимости, системой двухфакторной аутентификации. Доступ к ресурсам сети осуществляется через настраиваемый веб-портал. Функциональность веб-портала может быть расширена при помощи тонкого клиента SecuExtender устанавливаемого определенным пользователям для обеспечения дополнительных возможностей доступа к сети.
Технология Easy VPN
Технологии VPN весьма эффективны для создания мобильных и удаленных рабочих мест для сотрудников предприятия. Но настройка VPN-подключения на устройствах сотрудников может стать непростой задачей, как для самих сотрудников, так и для IT-персонала. В дополнение к упомянутым выше технологиям VPN для создания мобильных рабочих мест, межсетевой экран USG 40W предоставляет возможность удаленного подключения пользователей с программой ZyWALL IPSec VPN Client. Преимуществом данного решения является автоматическое конфигурирование VPN-соединения на стороне удаленного сотрудника. Благодаря использованию технологии Easy VPN, для конфигурирования VPN-соединения пользователю требуется только ввести IP-адрес удаленного USG 40W и свои учетные данные (имя пользователя и пароль). При этом конфигурация VPN, предварительно подготовленная IT-персоналом для пользователя, в считанные секунды загружается в программу и все готово для создания VPN-соединения с удаленным USG 40W.
Средства обеспечения сетевой безопасности
USG 40W позволяет создать эффективную комплексную защиту сети предприятия от угроз из Интернета благодаря встроенным сервисам сетевой безопасности (Unified Threat Management, UTM), таким как антивирус, защита от вторжения, патруль приложений, контентная фильтрация и антиспам. Эти сервисы можно активировать на устройстве с помощью специальных карт подключения, которые можно приобрести отдельно. В ознакомительных целях, каждый из перечисленных сервисов можно однократно активировать и бесплатно использовать в течение 30 дней
Антивирус
Шлюзовый антивирус SafeStream II Лаборатории Касперского сканирует в реальном времени Интернет-трафик, препятствуя проникновению вредоносных программ в корпоративную сеть. Благодаря регулярному автоматическому обновлению баз сигнатур антивирус способен обнаружить и уничтожить более 650 000 вирусов, включая самые новые вирусы.
Для обновления сигнатур антивируса требуется приобрести и активировать специальную карту подключения.
Для обновления сигнатур антивируса требуется приобрести и активировать специальную карту подключения.
Защита от вторжений
Сервис обнаружения и предотвращения вторжений (Intrusion Detection&Prevention, IDP) нейтрализует трояны, бэкдоры, атаки DoS и DDoS, сетевых червей и эксплойты, использующие известные уязвимости операционных систем и прикладных программ. IDP сканирует сетевые пакеты на 4-7 уровне OSI с использованием базы сигнатур, что позволяет эффективно нейтрализовать более 1700 известных атак. Регулярное автоматическое обновление базы сигнатур позволяет успешно противодействовать новым угрозам.
Сервис обнаружения аномалий (Anomaly Detection and Prevention, ADP) анализирует 2 и 3 уровни OSI, выявляя и нейтрализуя атаки, использующие аномалии (несоответствие с RFC) протоколов TCP, UDP и ICMP. Кроме того, ADP обнаруживает аномалии трафика TCP, UDP и ICMP, такие как сканирование портов и сетевой флуд, что позволяет противодействовать разведывательным действиям и атакам способным привести к краху сетевых приложений и несанкционированному доступу злоумышленников к ресурсам сети.
Для обновления сигнатур сервиса IDP требуется приобрести и активировать специальную карту подключения. Для использования сервиса ADP карты подключения не требуются.
Сервис обнаружения аномалий (Anomaly Detection and Prevention, ADP) анализирует 2 и 3 уровни OSI, выявляя и нейтрализуя атаки, использующие аномалии (несоответствие с RFC) протоколов TCP, UDP и ICMP. Кроме того, ADP обнаруживает аномалии трафика TCP, UDP и ICMP, такие как сканирование портов и сетевой флуд, что позволяет противодействовать разведывательным действиям и атакам способным привести к краху сетевых приложений и несанкционированному доступу злоумышленников к ресурсам сети.
Для обновления сигнатур сервиса IDP требуется приобрести и активировать специальную карту подключения. Для использования сервиса ADP карты подключения не требуются.
Патруль приложений
Сервис патруль приложений (Application Patrol) от компании TREND Micro способен идентифицировать и взять под контроль трафик более чем 1 300 популярных сетевых приложений принадлежащих к следующим категориям:
- Пиринговые сети
- Файлообменные ресурсы и клиенты
- Потоковая передача данных
- Электронная почта
- IP-телефония
- Базы данных
- Игры
- Управление сетью
- Удаленный терминальный доступ
- Прокси-серверы и VPN
- Фондовая биржа
- Обновления безопасности
- Веб-пейджеры
- Бизнес-приложения
- Мобильные устройства
- Защищенные протоколы веб-пейджеров
- Социальные сети
Для идентификации трафика приложений используется контроль трафика на 4-7 уровнях OSI с использованием автоматически обновляемой базы сигнатур. Патруль приложений позволяет запрещать и разрешать сетевой трафик определенных приложений, ограничивать полосу пропускания и собирать статистику для определенных пользователей/групп пользователей/хостов/диапазонов IP-адресов/подсетей. Такие возможности позволяют ограничить трафик нежелательных, небезопасных и не имеющих отношения к рабочему процессу приложений, и одновременно с этим обеспечить гарантированную полосу пропускания для полезных приложений, повышая тем самым безопасность корпоративной сети и продуктивность рабочего процесса.
Антиспам
Сервис фильтрации спама Anti-Spam способен оградить сотрудников предприятия от лавины бесполезных и потенциально опасных сообщений e-mail рассылаемых с целью распространения рекламы, вредоносных программ и хищения ценной информации. Использование облачных технологий компании СYREN – ведущего в отрасли производителя решений для защиты корпоративных ресурсов в Интернете – позволяет обнаружить и остановить до 99% спама во входящем трафике SMTP и POP3, а так же уничтожить вредоносные файлы во вложениях, беспрепятственно пропуская полезную корреспонденцию.
Для подключения сервиса Anti-Spam требуется приобрести и активировать специальную карту подключения.
Для подключения сервиса Anti-Spam требуется приобрести и активировать специальную карту подключения.
Контентная фильтрация
Контентная фильтрация (Content Filter, CF) основанная на технологиях компаний СYREN позволяет исключить доступ сотрудников к потенциально опасным интернет-сайтам, а так же ограничить доступ к сайтам, не имеющим отношения к решению рабочих вопросов. Использование контентной фильтрации повышает уровень сетевой безопасности, сокращает бесполезный интернет-трафик и увеличивает продуктивность работы сотрудников.
Для подключения сервиса CF требуется приобрести и активировать специальную карту подключения.
Для подключения сервиса CF требуется приобрести и активировать специальную карту подключения.
Бесперебойный доступ в Интернет
При выполнении повседневных операций бизнеса недоступность каналов подключения к Интернету негативно отражается на работе организации. Межсетевой экран USG 40W позволяет решить эту проблему. Благодаря множественным портам WAN, он позволяет использовать одновременно несколько каналов Интернета от разных Интернет-провайдеров. Балансировка нагрузки каналов, автоматическое переключение на резервный канал в случае отказа основных, возврат на основной канал при возобновлении его функционирования и использование 3G/4G-модема в качестве резервного канала – все эти функции могут обеспечить бесперебойный доступ в Интернет 24 часа в сутки.
Настраиваемые уровни безопасности сегментов сети
USG 40W поддерживает технологии виртуализации L3: VLAN и виртуальные интерфейсы-псевдонимы. Сегмент сети может содержать набор из нескольких интерфейсов, что позволяет с легкостью управлять уровнем безопасности различных подразделений, назначать гранулированные политики контроля и вести наблюдение за активностью в сетях различного уровня сложности.
Прозрачная аутентификация пользователей Microsoft Active Directory
Механизм аутентификации пользователей Single Sign-on (SSO) реализованный в устройстве USG 40W обеспечивает прозрачную аутентификацию пользователей MSAD на устройстве USG 40W. Это достигается использованием специальной программы SSO Agent (опубликована в разделе Поддержка), которую можно установить на одном сервере с контроллером домена или отдельно стоящем сервере. SSO Agent осуществляет взаимодействие между контроллером домена и устройством USG 40W, передавая на устройство данные о пользователе при входе в домен и выходе из домена. С прозрачной аутентификацией SSO пользователю домена не требуется дополнительно вводить свой логин и пароль для аутентификации на USG 40W. Будучи авторизованным контроллером домена, он будет автоматически авторизован и устройством USG 40W с применением соответствующих политик безопасности сконфигурированными IT-персоналом предприятия.
Многокритериальные политики доступа
Интеллектуальная система обработки правил реализованная в USG 40W принимает решение о направлении пакетов в соответствии с политиками доступа основанными на множественных критериях объектного набора, в том числе, таких как пользователь/группа пользователей, IP-адрес источника/получателя, тип сервиса и время активации/деактивации правила. Подобные политики действуют для правил межсетевого экрана, маршрутизации и управления полосой пропускания.
Управление полосой пропускания для обеспечения QoS
Инструментарий управления полосой пропускания BWM позволяет вводить приоритеты передачи трафика, гарантируя либо ограничивая использование доступной емкости подключения для трафика определенного пользователя/групы пользователей/IP-адреса отправителя/групп IP-адресов отправителей/IP-адресов получателей/с определенным тегом DSCP в т.ч. по расписанию. Это позволяет обеспечивать наилучшее качество обслуживания для трафика бизнес-приложений чувствительных к задержкам и потерям передаваемых данных, например, таким как IP-телефония и видеоконференцсвязь. Интеграция BWM с сервисом Патруль Приложений позволяет взять под контроль в т.ч. клиенты пириногвых сетей, программы мгновенного обмена сообщениями и т.п.
Встроенный контроллер точек доступа Wi-Fi
Интегрированный в USG 40W контроллер точек доступа Wi-Fi с поддержкой протокола CAPWAP позволяет централизованно управлять двумя точками доступа ZyXEL серии NWA. При необходимости количество управляемых точек доступа можно расширить до 10 путем активации специальных лицензий. Поддерживаются следующие точки доступа: NWA3160-N, NWA3560-N, NWA3550-N, NWA5160N, NWA5560-N, NWA5550-N, NWA5121-NI, NWA5121-N, NWA5123-NI.
Поддержка IPv6
Центр безопасности USG 40W поддерживает протокол IPv6 (Internet Protocol version 6), что подтверждают результаты испытаний по программе сертификации IPv6 Gold Logo Phase 1 и Phase2, проводимой по инициативе консорциума IPv6 Forum. Поддержка IPv6, включая двойной стек IPv4/IPv6 и IPv6 IPSec, позволит компаниям избежать затрат на новое IPv6-совместимое оборудование в процессе миграции корпоративных сетей к инфраструктуре IPv6, сохраняя высокий уровень сетевой безопасности и оправдывая инвестиции в USG 40W.
Комплексная система отчетности
USG 40W имеет встроенную систему отчетности, которая включает в себя целый ряд отчетов реального времени и исторических отчетов, в том числе о работе межсетевого экрана, антивируса, системы обнаружения и предотвращения вторжений, использовании пропускной способности интерфейсов устройства, активности пользователей и посещаемых ими интернет-сайтах. Для исследования работы сети имеется возможность захвата и сохранения в файл дампов трафика на любых интерфейсах устройства. Кроме того, имеется возможность использования современного инструмента централизованного мониторинга и создания отчетов Vantage Report. Использование этих возможностей позволит IT-персоналу получать все необходимые данные о работе сети.
Порты USB для расширения функциональности
Порт USB может быть использован для подключения 3G/4G-модемов и FLASH-накопителей, используемых для записи системного лога и дампов трафика.
Бесшумная система охлаждения процессора
Металлический корпус центра безопасности USG 40W эффективно рассеивает тепло процессора без использования вентиляторов. Благодаря этому USG 40W не создает при работе никакого шума, что способствует комфорту в помещении, где он установлен.
Характеристики
Аппаратные характеристики | |
Порты WAN RJ45 GbE | 1 |
Порты LAN/DMZ RJ45 GbE | 3 |
Порты WAN/LAN/DMZ RJ45 GbE | 1 |
Консольный порт RJ45 | Да |
Порты USB 2.0 | 1 |
Объем оперативной памяти, Байт | 1G |
Объем памяти flash, Байт | 4G |
Светодиодные индикаторы | PWR, SYS, USB, WLAN, PORTS |
Кнопка сброса настроек | Да |
Кнопка включения | Да |
Производительность | |
Пропускная способность МСЭ (UDP, размер пакета 1,518 байт), Мбит/с | 400 |
Пропускная способность IPSec VPN (AES, размер пакета 1,424 байт), Мбит/с | 100 |
Пропускная способность UTM (FW+AV+IDP, HTTP, размер пакета 1,460 байт), Мбит/с | 50 |
Максимальное количество одновременных сессий NAT | 20000 |
Максимальное количество новых сессий NAT в секунду | 3000 |
Максимальное количество одновременных туннелей IPSeс VPN | 10 |
Максимальное количество одновременных туннелей SSL VPN в базовой комплектации | 2 |
Максимальное количество одновременных туннелей SSL VPN при активации специальной лицензии | 7 |
Максимальное количество виртуальных интерфейсов VLAN 802.1q | 8 |
Максимальное количество интерфейсов-псевдонимов (IP Alias) на одном интерфейсе | 4 |
Поддержка USB-модемов | |
Список поддерживаемых USB-модемов | см. документ USB_dongle_compatibility_list в разделе Поддержка |
Поддержка обновления базы драйверов USB-модемов без обновления микропрограммы | Да |
Сетевые функции | |
Поддержка DHCP server/client/relay | Да |
Поддерживаемые стандартные опции DHCP | 2,4,42,66,67,120,124,125,138,150 |
Поддержка пользовательских опций DHCP | Да |
Поддержка функции Static IP/MAC binding | Да |
Поддержка функции Bridge Interface | Да |
Поддержка PPPoE Client | Да |
Поддержка PPTP Client | Да |
Поддержка сервисов Dynamic DNS | Да |
Поддержка WAN Trunk | Да |
Поддержка протокола NTP | Да |
Поддержка протокола UPnP | Да |
Поддержка Static Route | Да |
Поддержка протокола RIP v1,v2 | Да |
Поддержка протокола OSPF v2 | Да |
Поддержка SNAT | Да |
Поддерживаемые типы DNAT | Virtual Server, 1:1, Many 1:1 |
Поддержка функции NAT Loopback | Да |
Протоколы поддерживаемые шлюзом прикладного уровня ALG | <