Компания ZyXEL Communications сообщает о выходе новой версии операционной системы ZLD 4.10 для межсетевых экранов ZyWALL 110, ZyWALL 310 и ZyWALL 1100. Эти профессиональные устройства для малого и среднего бизнеса позволяют решать широкий спектр задач, включая построение сложных географически распределенных корпоративных сетей, организацию мобильных рабочих мест для выездных сотрудников, защиту от внутренней и внешней сетевой угрозы, контроль доступа к конфиденциальной информации предприятия и ресурсам Интернета, бесперебойный доступ в Интернет и многое другое. Переход на ZLD 4.10 (ZLD — ZyXEL Linux Distribution) расширяет возможности устройств ZyWALL, добавляя более дюжины новых функций.
Поддержка IKEv2
Наряду с IKEv1 (RFC 2407, 2408, 2409, 4109, 4995) реализована поддержка протокола IKEv2 (RFC5996) с аутентификацией EAP. По сравнению с IKEv1, протокол IKEv2 обеспечивает более быстрое и безопасное согласование ассоциаций безопасности IKE SA /IPSec SA, генерацию ключей шифрования безопасности и лучшую защиту от DoS-атак. Кроме того, IKEv2 и EAP штатно поддерживаются операционными системами Windows 7/8, что позволяет использовать эти технологии для организации удаленных рабочих мест для выездных сотрудников без необходимости устанавливать на компьютере сотрудника дополнительное программное обеспечение.
GRE over IPSec
Технология GRE over IPSec, реализованная в ZLD 4.10, позволяет не только резервировать туннель IPSec через разные каналы Интернета, создавая туннель через резервный канал в случае отказа основного канала, но и создавать между удаленными объектами одновременно два туннеля VPN и объединять их в транк с балансировкой нагрузки, тем самым увеличивая суммарную пропускную способность VPN-соединения.
IPv6 IPSec
Наряду с поддержкой IPSec для протокола IPv4 в новой операционной системе ZLD 4.10 добавлена поддержка IPSec для IPv6. Таким образом, с двойным стеком IPv4/IPv6 и поддержкой технологии IPSec для обеих версий протокола IP устройства ZyWALL позволяют передавать трафик любого из двух протоколов IP через любой тип туннеля (IPv4 IPSec и IPv6 IPSec), что расширяет возможность их применения в процессе предстоящего перехода к повсеместному использованию протокола IPv6.
User-based PSK
Технология User-based PSK позволяет использовать учетные данные пользователей из локальной базы данных устройства ZyWALL в качестве PSK и ID для аутентификации удаленного VPN-шлюза на первой фазе IPSec IKEv1. С ее помощью на устройстве ZyWALL можно создать единственное динамическое правило VPN с аутентификацией по индивидуальному PSK для каждого из многочисленных VPN-соединений. Это позволяет упростить настройку VPN при подключении многочисленных удаленных офисов и телеработников к центральному офису, которые зачастую находятся за NAT и/или имеют динамические IP-адреса, не снижая при этом уровень сетевой безопасности.
Программный клиент SSL VPN для Mac OS X
Технология SSL VPN, реализованная в новой ZLD 4.10, теперь совместима не только с операционными системами Microsoft Windows, но и c Mac OS X, что значительно расширяет возможности ее применения для предоставления удаленным сотрудникам безопасного удаленного доступа к ресурсам корпоративной сети.
Новые возможности управления полосой пропускания (BWM)
Одной из важнейших задач, стоящей перед IT-персоналом любой компании, является рациональное распределение ограниченного ресурса пропусканной способности каналов Интернета между сотрудниками, что влияет на продуктивность работы компании. Обновленная в ZLD 4.10 система управления полосой пропускания (BWM) позволяет с легкостью решить эту задачу. Теперь, например, достаточно создать единственное правило, чтобы назначить гарантированную полосу пропускания каждому пользователю из группы (Per User) или каждому IP-адресу из диапазона (Per-Source-IP).
Single Sign-on (SSO)
Новый механизм аутентификации пользователей Single Sign-on (SSO) в ZLD 4.10 допускает прозрачную аутентификацию пользователей MSAD на устройствах ZyWALL. Это достигается использованием специальной программы SSO Agent (опубликована в разделе «Поддержка» на страницах устройств ZyWALL), которая, будучи установленной на одном сервере с контроллером домена или отдельно стоящем сервере, осуществляет взаимодействие между контроллером домена и устройством ZyWALL, передавая на ZyWALL данные о пользователе при входе в домен и выходе из домена. С прозрачной аутентификацией SSO пользователю домена не требуется дополнительно вводить свой логин и пароль для аутентификации на ZyWALL. Будучи авторизованным контроллером домена, он будет автоматически авторизован устройством ZyWALL с применением соответствующих политик безопасности, сконфигурированными IT-персоналом, администрирующим устройство.
Контроллер точек доступа Wi-Fi
Интегрированный в ZLD 4.10 контроллер точек доступа Wi-Fi с поддержкой протокола CAPWAP позволяет устройствам ZyWALL централизованно управлять двумя точками доступа ZyXEL серии NWA (до 18 точек доступа со специальными лицензиями). В числе поддерживаемых точек доступа модели NWA3160-N, NWA3560-N, NWA3550-N, NWA5160N, NWA5560-N, NWA5550-N, NWA5121-NI, NWA5121-N, NWA5123-NI.
Поддержка IGMP v1/2
Поддержка протоколов IGMP v1/2, реализованная в ZLD 4.10, позволяет устройствам ZyWALL выполнять функции IGMP-прокси, ретранслируя трафик многоадресной рассылки от провайдера к устройствам, подключенным к внутренним интерфейсам ZyWALL. Этот функционал обеспечивает просмотр IP-телевидения на устройствах в локальной сети ZyWALL.
Унифицированные политики безопасности
Новая концепция унифицированных политик безопасности (Unified Security Policy), реализованная в ZLD 4.10, совмещает в себе правила межсетевого экрана с профилями сервисов безопасности, такими как антивирус, защита от вторжений, управление сетевыми приложениями, контентная фильтрация, антиспам и инспекция SSL. В рамках этой концепции к каждому правилу межсетевого экрана можно привязать нужные, предварительно настроенные профили упомянутых сервисов. Unified Security Policy делает процесс конфигурирования устройства ZyWALL более простым и логичным, а также добавляет чрезвычайную гибкость в применении сервисов безопасности.
Обновленные сервисы безопасности на межсетевых экранах ZyWALL
С новой операционной системой ZLD 4.10 пользователи межсетевых экранов ZyWALL 110/310/1100 получают возможность активировать на своих устройствах следующие сервисы безопасности, ранее доступные только пользователям устройств серии ZyWALL USG:
Антивирус SafeStream II лаборатории Касперского
Новый шлюзовый антивирус SafeStream II лаборатории Касперского, реализованный в ZLD 4.10, является первым рубежом антивирусной обороны на границе корпоративной сети, защищая все компьютеры пользователей и серверы в локальной подсети устройства ZyWALL. Антивирус SafeStream II сканирует проходящий через ZyWALL трафик, обнаруживая и уничтожая передаваемые в нем вредоносные программы в реальном времени, используя регулярно обновляемую базу вирусных сигнатур. Сканированию подвергаются файлы любого размера, передаваемые по протоколам HTTP, FTP, SMTP, POP3 и IMAP4. Поддерживается сканирование архивов ZIP, GZIP, PKZIP и RAR (один уровень архивирования).
По сравнению с предыдущей реализацией антивируса Касперского, известной по устройствам линейки ZyWALL USG, база сигнатур нового антивируса SafeStream II значительно увеличена: с 3200 до 650 тысяч сигнатур. Обновление базы сигнатур происходит автоматически от 10 до 25 раз в день, что позволяет оперативно заносить в базу новые сигнатуры, чтобы эффективно противостоять новым угрозам. Мощные 4- и 6- ядерные процессоры Cavium CN6230 и CN6635, которые являются основой аппаратной составляющей устройств ZyWALL, обеспечивают антивирусу SafeStream II пропускную способность от 250 до 600 Мбит/с.
Обнаружение и предотвращение вторжений
Новая система обнаружения и предотвращения вторжений (Intrusion Detection&Prevention, IDP), реализованная в операционной системе ZLD 4.10, использует передовые технологии компании TREND Micro — одного из мировых лидеров по созданию комплексных систем защиты информации. IDP нейтрализует действия сетевых червей, троянов, бэкдоров, атаки DoS и DDoS, эксплойты, использующие уязвимости операционных систем и прикладных программ, и прочие вредоносные проявления. Подобно антивирусу, для обнаружения вредоносной активности система IDP использует специальную, автоматически обновляемую базу сигнатур, анализируя проходящие через шлюз ZyWALL пакеты на 4-7 уровнях OSI.
По сравнению с системой IDP, реализованной в устройствах линейки ZyWALL USG, база сигнатур новой версии IDP увеличена с 3000 до 8000 сигнатур. Устройства серии ZyWALL обеспечивают пропускную способность IDP от 300 до 600 Мбит/с.
Поддержка IKEv2
Наряду с IKEv1 (RFC 2407, 2408, 2409, 4109, 4995) реализована поддержка протокола IKEv2 (RFC5996) с аутентификацией EAP. По сравнению с IKEv1, протокол IKEv2 обеспечивает более быстрое и безопасное согласование ассоциаций безопасности IKE SA /IPSec SA, генерацию ключей шифрования безопасности и лучшую защиту от DoS-атак. Кроме того, IKEv2 и EAP штатно поддерживаются операционными системами Windows 7/8, что позволяет использовать эти технологии для организации удаленных рабочих мест для выездных сотрудников без необходимости устанавливать на компьютере сотрудника дополнительное программное обеспечение.
GRE over IPSec
Технология GRE over IPSec, реализованная в ZLD 4.10, позволяет не только резервировать туннель IPSec через разные каналы Интернета, создавая туннель через резервный канал в случае отказа основного канала, но и создавать между удаленными объектами одновременно два туннеля VPN и объединять их в транк с балансировкой нагрузки, тем самым увеличивая суммарную пропускную способность VPN-соединения.
IPv6 IPSec
Наряду с поддержкой IPSec для протокола IPv4 в новой операционной системе ZLD 4.10 добавлена поддержка IPSec для IPv6. Таким образом, с двойным стеком IPv4/IPv6 и поддержкой технологии IPSec для обеих версий протокола IP устройства ZyWALL позволяют передавать трафик любого из двух протоколов IP через любой тип туннеля (IPv4 IPSec и IPv6 IPSec), что расширяет возможность их применения в процессе предстоящего перехода к повсеместному использованию протокола IPv6.
User-based PSK
Технология User-based PSK позволяет использовать учетные данные пользователей из локальной базы данных устройства ZyWALL в качестве PSK и ID для аутентификации удаленного VPN-шлюза на первой фазе IPSec IKEv1. С ее помощью на устройстве ZyWALL можно создать единственное динамическое правило VPN с аутентификацией по индивидуальному PSK для каждого из многочисленных VPN-соединений. Это позволяет упростить настройку VPN при подключении многочисленных удаленных офисов и телеработников к центральному офису, которые зачастую находятся за NAT и/или имеют динамические IP-адреса, не снижая при этом уровень сетевой безопасности.
Программный клиент SSL VPN для Mac OS X
Технология SSL VPN, реализованная в новой ZLD 4.10, теперь совместима не только с операционными системами Microsoft Windows, но и c Mac OS X, что значительно расширяет возможности ее применения для предоставления удаленным сотрудникам безопасного удаленного доступа к ресурсам корпоративной сети.
Новые возможности управления полосой пропускания (BWM)
Одной из важнейших задач, стоящей перед IT-персоналом любой компании, является рациональное распределение ограниченного ресурса пропусканной способности каналов Интернета между сотрудниками, что влияет на продуктивность работы компании. Обновленная в ZLD 4.10 система управления полосой пропускания (BWM) позволяет с легкостью решить эту задачу. Теперь, например, достаточно создать единственное правило, чтобы назначить гарантированную полосу пропускания каждому пользователю из группы (Per User) или каждому IP-адресу из диапазона (Per-Source-IP).
Single Sign-on (SSO)
Новый механизм аутентификации пользователей Single Sign-on (SSO) в ZLD 4.10 допускает прозрачную аутентификацию пользователей MSAD на устройствах ZyWALL. Это достигается использованием специальной программы SSO Agent (опубликована в разделе «Поддержка» на страницах устройств ZyWALL), которая, будучи установленной на одном сервере с контроллером домена или отдельно стоящем сервере, осуществляет взаимодействие между контроллером домена и устройством ZyWALL, передавая на ZyWALL данные о пользователе при входе в домен и выходе из домена. С прозрачной аутентификацией SSO пользователю домена не требуется дополнительно вводить свой логин и пароль для аутентификации на ZyWALL. Будучи авторизованным контроллером домена, он будет автоматически авторизован устройством ZyWALL с применением соответствующих политик безопасности, сконфигурированными IT-персоналом, администрирующим устройство.
Контроллер точек доступа Wi-Fi
Интегрированный в ZLD 4.10 контроллер точек доступа Wi-Fi с поддержкой протокола CAPWAP позволяет устройствам ZyWALL централизованно управлять двумя точками доступа ZyXEL серии NWA (до 18 точек доступа со специальными лицензиями). В числе поддерживаемых точек доступа модели NWA3160-N, NWA3560-N, NWA3550-N, NWA5160N, NWA5560-N, NWA5550-N, NWA5121-NI, NWA5121-N, NWA5123-NI.
Поддержка IGMP v1/2
Поддержка протоколов IGMP v1/2, реализованная в ZLD 4.10, позволяет устройствам ZyWALL выполнять функции IGMP-прокси, ретранслируя трафик многоадресной рассылки от провайдера к устройствам, подключенным к внутренним интерфейсам ZyWALL. Этот функционал обеспечивает просмотр IP-телевидения на устройствах в локальной сети ZyWALL.
Унифицированные политики безопасности
Новая концепция унифицированных политик безопасности (Unified Security Policy), реализованная в ZLD 4.10, совмещает в себе правила межсетевого экрана с профилями сервисов безопасности, такими как антивирус, защита от вторжений, управление сетевыми приложениями, контентная фильтрация, антиспам и инспекция SSL. В рамках этой концепции к каждому правилу межсетевого экрана можно привязать нужные, предварительно настроенные профили упомянутых сервисов. Unified Security Policy делает процесс конфигурирования устройства ZyWALL более простым и логичным, а также добавляет чрезвычайную гибкость в применении сервисов безопасности.
Обновленные сервисы безопасности на межсетевых экранах ZyWALL
С новой операционной системой ZLD 4.10 пользователи межсетевых экранов ZyWALL 110/310/1100 получают возможность активировать на своих устройствах следующие сервисы безопасности, ранее доступные только пользователям устройств серии ZyWALL USG:
- антивирус
- защита от вторжений и патруль приложений
- контентная фильтрация
- фильтрация спама
- инспектирование SSL.
Антивирус SafeStream II лаборатории Касперского
Новый шлюзовый антивирус SafeStream II лаборатории Касперского, реализованный в ZLD 4.10, является первым рубежом антивирусной обороны на границе корпоративной сети, защищая все компьютеры пользователей и серверы в локальной подсети устройства ZyWALL. Антивирус SafeStream II сканирует проходящий через ZyWALL трафик, обнаруживая и уничтожая передаваемые в нем вредоносные программы в реальном времени, используя регулярно обновляемую базу вирусных сигнатур. Сканированию подвергаются файлы любого размера, передаваемые по протоколам HTTP, FTP, SMTP, POP3 и IMAP4. Поддерживается сканирование архивов ZIP, GZIP, PKZIP и RAR (один уровень архивирования).
По сравнению с предыдущей реализацией антивируса Касперского, известной по устройствам линейки ZyWALL USG, база сигнатур нового антивируса SafeStream II значительно увеличена: с 3200 до 650 тысяч сигнатур. Обновление базы сигнатур происходит автоматически от 10 до 25 раз в день, что позволяет оперативно заносить в базу новые сигнатуры, чтобы эффективно противостоять новым угрозам. Мощные 4- и 6- ядерные процессоры Cavium CN6230 и CN6635, которые являются основой аппаратной составляющей устройств ZyWALL, обеспечивают антивирусу SafeStream II пропускную способность от 250 до 600 Мбит/с.
Обнаружение и предотвращение вторжений
Новая система обнаружения и предотвращения вторжений (Intrusion Detection&Prevention, IDP), реализованная в операционной системе ZLD 4.10, использует передовые технологии компании TREND Micro — одного из мировых лидеров по созданию комплексных систем защиты информации. IDP нейтрализует действия сетевых червей, троянов, бэкдоров, атаки DoS и DDoS, эксплойты, использующие уязвимости операционных систем и прикладных программ, и прочие вредоносные проявления. Подобно антивирусу, для обнаружения вредоносной активности система IDP использует специальную, автоматически обновляемую базу сигнатур, анализируя проходящие через шлюз ZyWALL пакеты на 4-7 уровнях OSI.
По сравнению с системой IDP, реализованной в устройствах линейки ZyWALL USG, база сигнатур новой версии IDP увеличена с 3000 до 8000 сигнатур. Устройства серии ZyWALL обеспечивают пропускную способность IDP от 300 до 600 Мбит/с.