在这一部分中,我们将继续描述基于USG Performance Series网关(尤其是Zyxel USG40W)的多阶段安全解决方案。 上一部分:
第一和
第二 。 但是在开始时,值得回顾一下促使系统管理员,IT安全专家使用此类设备的原因。
接下来,我们将以网络界面的两个选项:“简单模式”和“有经验的用户模式”为基础,来描述Zyxel USG40W。
为什么需要多级保护?
有时您会听到有关该主题的意见:多级保护更可能属于奢侈品类别,而不是必需品。
“我们的办公桌很小,有一个企业防病毒软件(顺便说一下,是企业版),现在看来已经足够了” ...作为捍卫这一立场的论据,人们做了各种各样的陈述。 例如,夸大了无法在所有方面检查流上的加密流量的事实(这很自然,为了避免在中间节点上读取它只是被加密了)。
注意 在现代设备上,安装了各种各样的工具来提高安全级别,其中包括:防病毒,反垃圾邮件,上下文过滤和入侵防护系统。有时会引起另一个争论,即在使用硬件-软件防病毒网关进行检查时,不能使用行为分析器。 但是本地防病毒这种方法被广泛使用。
坦白说,在Internet网关上引入这种机制会很奇怪。 粗略地说,想象一下一个图片,即每个可执行文件,一个图片,即一个对象的任何对象首先存储在中间设备上,在专用机器上的测试环境中检查,然后才在一段时间(例如两天)之后发布给用户。 这就是“俄罗斯方块通信”。
应当注意,所描述的离线方法仍然被使用,但是用于完全不同的任务。 例如,在引入新软件,测试更新等时。 沙箱在单独服务器上的封闭测试环境中的存在也是多阶段保护的组成部分之一。 对于Internet网关,此测试选项不合适。
注意 为了降低Internet上的风险,您可以使用内容过滤系统来限制对色情产品,盗版资源以及其他最可能的恶意软件栖息地的访问。了解多级保护恰好是两个和更多(!)保护级别,这一点非常重要。 防病毒Internet网关绝不能替代终端设备上的防病毒。 防病毒网关的主要任务是从本地防病毒中删除负载。
例如,仍有大量恶意和网络钓鱼附件通过电子邮件垃圾邮件发送。 如果用户计算机上的本地防病毒软件将检查所有未过滤的邮件-轻率地说,他将很难。 反垃圾邮件网关的存在消除了使用单独计算机上的保护系统来检查其中大多数邮件的需求。 网关上的防病毒软件可以截断带有“意外”字样的字母。 而且,本地防病毒软件所占的份额不会太大。
重要的一点是,网络上的每台计算机都可能发生危险。 没关系,对数百名用户而言,所有内容都经过了完善的检查,对于单个防病毒程序,它没有及时收到更新,也没有丢失恶意代码。 最后,问题的根源完全相同-在一台计算机上,用户打开了带有特洛伊木马的电子邮件,或者一次都发出了电子邮件。 通过网关在反垃圾邮件和反病毒方面对此类“礼物”进行集中防护,可以保护受保护策略覆盖的所有用户。
注意 使用多阶段保护来卸载本地防病毒软件。 对于大量对简单威胁的响应,尤其如此。 安装安全网关将取代对简单案例的分析,这将对整个系统的速度产生积极影响。为了一劳永逸地了解一种企业防病毒解决方案与多层保护之间的区别,您可以将IT基础架构与住宅建筑进行比较。
在现代住宅中,到处都有带有对讲机的电子锁。 这样做是为了限制进入各种“不可理解的性格”的机会。 并有一种类似的方法可以阻止不必要的访客。
是的,任何防御方法都不完美。 如果使用相同的门电话,攻击者可以在租户之后潜入开着的门,获取门电话的代码或获取钥匙。 因此,仍然有必要使用坚固的门和可靠的锁来保护公寓。 但是,如果您从整体上评估情况,那么对讲机的生活要比门敞开的地方要舒适得多,每个居民都被迫独自照顾安全。
这些是Zyxel的IT基础架构的“超级对讲机”,将在下面进行讨论。
USG性能系列网关USG40 / USG40W / USG60 / USG40W-接口和功能
在上一部分中,我们研究了设置登录到Web界面,将其划分为主要模式以及更新固件的过程。
本文材料的主要目的是帮助管理和配置此类网关时进行导航。
回想一下,有两个控制选项:“简单模式”和“高级用户模式”。
简易模式
简单模式下的管理主要基于“向导”(wizard)的使用,并且是逐步配置。 这样,您可以配置与外部网络(WAN接口),VPN,Wi-Fi等的连接。
图1.简单模式界面的一般视图。这种控制方法的优点是初始设置简单,因为他们说“不用多说了”。 同时,这是一个限制-一些参数保留在“幕后”,要更改它们,您必须切换到“高级用户”模式。
图2.初始安装向导的一部分。注意 如果您不愿意在“有经验的用户”模式下快速找到该设置,请尝试切换到“简单模式”并通过设置向导执行必要的操作。 然后,您可以将创建的设置用作模板进行微调。进阶使用者模式
如上所述,此模式旨在执行最完整的适应现有需求的模式。
确实有很多设置。 因此,强烈建议您在开始工作之前阅读文档。
USG Performance Series系列具有非常丰富的功能集。 在一篇小文章的框架内,将不可能深入到这一领域。 我们将自己局限于一般原则的描述,以便更轻松地在Web界面中导航。 我们还考虑了一些值得执行的行动,正如他们所说的“开会后立即”。
USG Performance Series设备的Web界面包含4个主要部分。
使用屏幕左侧的活动元素可以在模式之间进行切换。
值得注意的是,这些部分中功能的分离是有条件的。 以下是每个的简要说明。
1.系统监控器
这是用户在“高级用户”模式下进入系统后首先看到的东西。
本部分旨在进行明确控制并获取有关已发生事件的信息。 英文名称为Dashboard,即用于快速访问最常用功能和重要信息的窗口。
图3.“系统监视器”部分。 此外,“屏幕上的按钮”以红色突出显示,可在各部分之间移动。原则上,此处介绍的所有内容在其他部分中都是重复的。 使用系统监视器可以加快对必要功能的访问,但不能代替标准的监视设置方法。 仪表板,他在非洲-仪表板。
2.监控
接口的这一广泛区域用于获取有关系统状态和已发生事件的操作信息。
本节包括几个小节:
- 系统状态;
- 无线网络;
- VPN状态
- UTM统计信息;
- 记录
这些项目中的每一个又包含其他子项。 通常,监视部分包含有关各种事件的大量信息。
图4.监视部分。有关更详细的描述,请参阅文档。
3.配置
主要目的是对安全系统,VPN访问,防火墙上的过滤规则以及许多其他有用的东西进行微调。
“配置”部分包括以下小节:
- 一组向导“快速设置”;
- 发牌
- 无线网络;
- 联播网
- 网络认证
- 安全政策;
- 云CNM
- 虚拟专用网
- BWM;
- UTM个人资料;
- 对象;
- 系统;
- 日志和报告。
图5.“配置”部分。考虑必要的措施后,我们将返回本节。
4.服务
设计用来执行维护系统工作状态的工作。
包含小节:
正如我上面所写的,在任何部分中对特定功能的分配划分都是有条件的。 但是,总的来说,这样细分的部分使您可以系统化这些设备的众多功能,并帮助您更快地导航。
图6.服务部分。初步行动购买设备后要做的第一件事是注册。 您可以从Web界面执行此操作,方法是转到“配置”部分-“许可”子部分,然后转到“注册”项。
图7.“配置”部分-设备注册。注册后,您需要安装所需服务的许可证:防病毒,反垃圾邮件,入侵防护,内容过滤。
为此,请在同一窗口(“配置”部分-“许可”子部分-“注册”部分)中,选择“服务”项,然后使用“激活”链接形式的活动元素依次激活必要的服务。
图8.“配置”部分-防病毒软件的激活。现在,在熟悉界面并注册产品之后,您可以继续为基础结构配置网关。
管理员将获得详细的文档,知识库和高级的Zyxel技术支持服务。
结论
Zyxel USG Performance Series网关可以与能够解决给定区域中广泛的安全任务的多功能军舰进行比较。
但是,为了管理这样的作战部队,有必要积累必要的知识和技能。 因此,不会错过熟悉文档的阶段。
同时,开发的用户友好型Web界面和命令行界面(CLI)将使适应具有其他供应商网络设备使用经验的专家以及全新的用户变得容易。
资料来源:
- Zyxel.ru上的USG Performance Series页面
- USG Performance系列产品用户指南
- USG性能系列许可证信息