对于那些选择防火墙的人


引言


曾几何时,保护网络边界的唯一方法可能是路由器与具有类似UNIX之类的免费UNIX操作系统(例如FreeBSD和常规防火墙)的旧计算机隔离。

如今,系统管理员可以访问许多专门的发行版以安装在服务器上,以及现成的硬件和软件系统。

供需关系的发展导致专业化程度的提高。

早先,组织对网络的访问并确保安全性是选定专家的职责,现在,具有Internet访问权限的点正日益增多,任何学生都可以连接网关,路由器,访问点并开始在网络内分配流量。

网络威胁也已改变。 现在的主要危险不是“老派”的黑客,而是新型病毒和特洛伊木马的大规模感染。 在准备攻击时,攻击者可以使用第三方资源,例如,预先创建的僵尸网络(僵尸网络)来发送垃圾邮件,组织DDOS攻击等。

但这还不是全部。 随着网络的发展,不仅发送方和接收方的安全级别扮演着越来越重要的角色,而且信息的传输方式也越来越重要:以什么形式,在哪条路由上等等。

如果您没有回答这些问题,那么您将不得不回答其他问题,例如:“钱从帐户中去了哪里?”,“他们是怎么发现的?” 和“最后什么时候起作用?!”

现在,您需要确切地知道我们所保护的内容以及保护的内容以及最好选择的工具。

Zyxel提供的功能:特定的分离


有两个主要方面需要保护:

  1. 访问第三方资源以及第三方用户访问公司资源(例如访问网站)。 这些解决方案可以与Zyxel ZyWALL ATP系列网关和全封闭USG系列中的云资源共享。
  2. 各个节点的互连,例如,分支机构与中心或个人与雇主的互连。 通常使用虚拟专用VPN通信通道完成此操作,Zyxel ZyWALL VPN系列适用于此。

表1. Zyxel ZyWALL VPN,USG和ZyWALL ATP系列网关的分类。

注意事项 还有本章将不介绍的Zyxel网关系列。 这些是Zyxel Nebula支持云的设备。 但是,由于“不可能掌握其庞大性”,因此,我们现在将重点介绍具有本地控制功能的经典设备。

应该注意的是,尽管有所不同,但还是有一些共同的特征。 在每个领域中,我们都可以为大型企业和小型组织提供解决方案。 这强加了一些设计功能。


图1. USG2200-VPN的企业使用网关

例如,某些小型企业模型具有内置的WiFi模块,可用作无线访问点。


图2.小型USG60W组织中用于保护网络安全的网关。

由于这三个区域的功能部分重叠,因此我们将讨论建议的范围。

当然,如果您尝试在USG网关上建立VPN连接,或使用VPN保护网络,则不会发生任何不良情况,但效果不会太好。

因此,在继续研究每个方向的特征之前,研究它们的共同特征将很有用。

被警告的人武装
OneSecurity.com门户用作操作信息的单个托管。 此特殊资源包含有关当前安全威胁的操作公告和建议。 OneSecurity提供有关增强网络安全性的最新信息和建议。 尽管威胁数量不断增加,这仍可以帮助公司和IT专业人员保护其网络。

为方便起见,对此门户的访问已集成到USG系列和ZyWALL VPN系列产品的图形界面中。 在这些产品的GUI控制台中单击一下即可搜索信息和资源。 使用这种方法,您可以快速轻松地了解当前威胁以及如何消除威胁。 该材料以公认的FAQ格式(常见问题)的形式呈现。 这样,您便可以及时采取所有必要的措施来防御已识别的威胁。

内容过滤
内容过滤用于阻止访问危险的非主流网站。 最近发布的新版本的Content Filtering 2.0包括对HTTPS域过滤器,浏览器安全搜索和Geo IP阻止安全性功能的增强,以提高Web连接的安全性。

快速安全的更新
这三个区域也共有此功能。
为了便于搜索所需版本的必要固件更新(Firmware),使用了新的Cloud Helper服务,该服务提供有关最新固件版本的信息。

官方发布后立即提供最新版本,以保证其真实性和可靠性。

合勤ZyWALL VPN系列


推荐使用区域-安全可靠的VPN连接
主要目的是使用安全加密算法安全哈希算法2(SHA-2)进行流量隧道。

使用ZyWALL VPN 50/100/300,您可以在本地服务器,远程设备和部署了云的应用程序之间实现高速,安全的数据交换。


图3.建立可靠的ZyWALL VPN300 VPN连接的网关。

另外,值得注意的是对双WAN功能故障转移和回退的支持。 由于存在两个WAN连接,其中一个用作主要备份而第二个备份,如果主要连接失败,则Zyxel VPN防火墙会自动切换到备份。

另外,ZyWALL VPN系列使用多WAN负载平衡/故障转移功能,并从可用于保留WAN连接的兼容设备列表中全面支持蜂窝网络的USB调制解调器。
为了建立对可靠性有较高要求的渠道,ZyWALL VPN系列提供了一种工作模式,该模式是主动-被动模式下故障安全群集(高可用性,HA)的一部分。

ZyWALL VPN系列支持IPSec负载平衡和故障转移,在实现VTI接口时为交换业务关键型VPN提供了额外的容错能力。

支持的VPN功能及更多

  • 具有IPSec的VPN连接VPN功能可实现位置之间的负载平衡和故障转移。
  • 通过SSL,IPSec和L2TP通过IPSec VPN进行远程访问。
  • VPN总部的网关还可以与Amazon VPC云建立IPSec VPN连接,以安全访问各种云应用程序,并通过将云资源连接到企业网络来扩展公司网络。 既可以通过图形界面也可以通过命令行界面(CLI)使用
  • 管理热点管理(从VPN100开始)-为网吧,餐馆,酒店客人等的访问者提供Internet访问。 您可以提供不同级别的服务,并根据法律要求保留事件日志。
  • 由于将Facebook Wi-Fi服务集成到ZyWALL VPN服务中,小商店和餐馆不仅可以为访客提供Internet访问,还可以提高他们在Facebook中的知名度。
  • 集成的接入点控制器为灵活的无线部署提供集中管理。 ZyWALL VPN系列中的AP控制器功能使您可以使用单个用户界面集中管理多个访问点。 此功能使部署和维护公司的WiFi网络变得容易。
  • 站点到站点IPSec VPN连接。
  • 用于高可用性VPN连接的IPSec VPN HA故障转移群集(负载平衡和故障转移)。
  • 使用基于IPSec VPN的SSL,IPSec和L2TP组织对内部资源的安全访问。
  • 通过IPSec VPN通道与Microsoft Azure进行USG / ZyWALL连接,以安全访问各种云应用程序。

对于大型组织,更强大的网关更适合,例如USG110 / 210/310,它们具有更强大的硬件,可以支持更多数量的连接,依此类推。

值得注意的是,该设备的工作原理是“我随身携带一切”。 在这里和VPN一样,有很好的保护水平和带宽限制。

但是,如果您需要专门关注安全功能,则最好将Zyxel ZyWALL ATP系列网关与Zyxel Cloud云服务一起使用并提供支持。

合勤ZyWall ATP系列


推荐使用-增强的恶意软件防护和应用程序优化

此安全网关系列的主要亮点可以称为吸引云资源以提高保护级别。

即使是功能最强大的网关,其资源也不足以分析和诊断许多传入的威胁。

因此,在安全的加密访问框架内吸引其他云资源似乎是非常合理的步骤。

注意! Zyxel Cloud不参与安全网关和外部访问之间的信息交换。 也就是说,流量不会通过。 云资源主要用于快速交换有关漏洞的信息,以及对其他可疑对象进行验证的结果,例如,作为沙盒的一部分(沙盒)。

通常,Zyxel ZyWall ATP功能家族与之前讨论的Zyxel USG版本相似,但是对云机制的支持显着增强了诸如防病毒保护之类的服务,这些服务始终缺乏资源。


图4.支持云的网关,以保护ATP200网络。

以下是此系列网关特有的一些区别功能-Zyxel ZyWall ATP。

Zyxel云机器学习
Zyxel Cloud可以识别所有ATP防火墙上的未知文件,将结果收集到数据库中,并每天将更新发送到所有ATP系列网关。 这使您可以收集有关新威胁的知识,并使用机器学习来开发系统。 因此,云环境“学习”以承受新的攻击。

沙箱-沙箱
这是一个基于云的隔离环境,其中放置了可疑文件,以识别新类型的恶意代码,包括启动方法。 沙盒中显示了流式防病毒无法检测到的内容。

结论


当然,在一篇小文章中,不可能描述现代Zyxel安全网关可用的全部可能性。
有关更多信息,请阅读我们在Habr上的博客,Zyxel网站上的材料以及产品文档。

资料来源


[1] 为小型企业构建扩展的防病毒保护系统。 第1部分。选择策略和解决方案。
[2] 为小型企业构建扩展的防病毒保护系统。 第2部分。Zyxel的ZyWall USG40W防病毒网关。
[3] 为小型企业构建扩展的防病毒保护系统。 第三部分
[4] 自己吃早餐,与云共享您的工作。
[5] 合勤科技官方网站上有关防火墙的页面。

Source: https://habr.com/ru/post/zh-CN428477/


All Articles