Post view

ZyWALL 70 UTM防火牆的防火牆處理效能

ZyWALL 70 UTM是一台支援「雙WAN port」的防火牆。雖然號稱「高效能八合一資安整合」也有「可阻擋間諜程式,釣魚程式,病毒及垃圾郵件」的先進功能,甚至還可以針對「IM (即時訊息),P2P (點對點) 應用」特別管制,但是「本產品已停售,相關軟體更新持續支援至2011年」可說是完全停止支援3年多的老舊防火牆。

ZyWALL 70 UTM在過去是「BNW會議室」主要的第一層防火牆,在我把網站轉換到現在的「insoler社群網站」並將網路從ADSL升級到「100M/100M光纖網路」以後,ZyWALL 70 UTM原廠宣稱的「防火牆封包過濾傳輸速度可達每秒 100 Mbps」早就不夠用!實際上測試結果「防火牆封包過濾傳輸速度可達每秒 30 Mbps」左右而已!

也因此我把防火牆升級為目前的「FortiGate 110C」來解決「防火牆封包過濾傳輸速度可達每秒 30 Mbps」的問題。然而即使如此,insoler社群網站的會員數卻遠不如BNW!雖然insoler的網路頻寬高達100M/100M,防火牆性能更優異,網站的功能也遠超過BNW使用的phpBB,但我也不知道為什麼insoler的人氣還遠低於BNW!


特色
  • 高效能八合一資安整合
  • 合勤獨創 SecuASIC 加速技術
  • 可阻擋間諜程式,釣魚程式,病毒及垃圾郵件
  • IM (即時訊息),P2P (點對點) 應用,等第七層應用的細緻控制
 
本產品已停售,相關軟體更新持續支援至2011年
建議新設備採購升級至USG100
 
整合威脅管理 (UTM) 是網路安全發展的新趨勢
企業網路存以純粹的防火牆來阻擋駭客的入侵已經是過去式了,整合式網路威脅管理器統 (UTM) 目前已經成為網路資安設備的新興趨勢了。站在技術前沿,合勤ZyWALL 5/35/70 UTM系列產品,透過結合合勤專屬的資安加速卡 (ZyWALL Turbo Card),能夠達到先前ZyWALL系列產品安全效能的20倍。這項新技術引進了全新的多合一網路安全技術,它提供內容過濾,防毒,阻擋垃圾郵件以及即時入侵偵測及防護,而這些在過去需要多台設備才能夠提供這些功能。
 
高效能多合一的設計
從商業角度來看,IT管理者應當以「企業等級」來進行全面的安全規劃。他們現在能夠利用多合一資安設備,來提供更堅強的防護和高效能,比如合勤八合一的UTM解決方案。下面所有功能都被整合在單一設備裏,並且通過簡單的整合介面來進行管理:防毒、入侵檢測與防護、垃圾郵件阻擋、防火牆、虛擬私有網 (VPN)、負載平衡、頻寬管理和內容過濾。
 
使用資安加速卡有效提升ZyWALL效能
充分運用安全防護的優點,免於病毒,網路駭客,垃圾郵件等的攻擊。可以想像,您將不再擔心那些間諜軟體,惡意廣告,或其他潛在的威脅來危害您的電腦和有用的資料。它使得您的電腦和網路變得更加安全。
 
可升級的設計,只需搭配資安加速卡的「六步設定」
在日益複雜的網路環境中,整合威脅管理 (UTM) 設備提供先進的網路管理,簡易安裝和多層次的網路保護。

ZyWALL 70 UTM支援多種管理界面,但我只用Web界面一種,其他的「網管方式」全部都不使用!

zywall70firewall001.jpg

輸入管理者密碼(不用也不能輸入帳號)就會看到這樣的首頁畫面。你可以看到ZyWALL 70雖然有「WAN 1」與「WAN 2」兩個外接網際網路埠,但其實後期只有使用「WAN 1」一個,只有在512Kbps的初期有用過兩條ADSL網路。

zywall70firewall002.jpg

從網路狀況的畫面來看,就會更清楚其實目前只有使用「WAN 1」一個網路埠而已。

zywall70firewall003.jpg

在「LAN」的部分則是insoler內部網路配置的電腦IP位址表。由於人數不多,實際上也只有2-3隻貓,所以配置的電腦也不多。

zywall70firewall004.jpg

因為我們並沒有使用IPSec的「VPN虛擬私人網路」功能,所以也沒有任何內容。

zywall70firewall005.jpg

點選「WAN 1」界面就會看到網路速率的頻寬可達「100Mbps」。

zywall70firewall006.jpg

ZyWALL 70 UTM原廠宣稱的「防火牆封包過濾傳輸速度可達每秒 100 Mbps」可能只是當年出廠的情況,實際上使用許多「過濾條件規則」以後,網路速率的測試結果,其實「防火牆封包過濾傳輸速度可達每秒 30 Mbps」左右而已!

zywall70firewall007.jpg


系統規格
 
防火牆 (ICSA 認證)
  • IP 通訊協定/封包過濾
  • 服務阻斷 (DoS) 及 DDoS 防護
  • 封包狀態檢查
  • 即時 E-mail 告警
  • 報告及記錄
  • 透通的防火牆
VPN (ICSA 認證)
  • Manual key、IKE
  • PKI (X.509)
  • 加密 (DES、3DES 及 AES)
  • 認證 (SHA-1 and MD5)
  • IPSec NAT Traversal
  • Xauth 使用者認證 (內部資料庫及外部 RADIUS)
  • DH1/2、RSA signature
防毒 (AV) / 入侵偵測及防護 (IDP)
  • 藉由資安加速卡提供IDP加速 (內建合勤 SecuASIC晶片 )
  • 卡巴斯基防毒資料庫
  • 病毒、蠕蟲、木馬、後門、緩衝區溢位及埠掃瞄防護
  • P2P、即時通 (IM)、網站攻擊防護
  • 自動/定時 特徵資料庫更新
  • 即時攻擊告警及記錄
防堵垃圾郵件 (Anti-Spam)
  • 阻擋垃圾郵件及釣魚程式
  • 可設定黑名單及白名單 
  • 支援SMTP、POP3
  • 外部垃圾郵件資料庫
內容過濾
  • URL關鍵字的網頁封鎖
  • 支援 IKE + PKI 
  • 內容過濾的外部資料庫
  • Java/ActiveX /Cookie/News 阻擋
流量管理
  • 保證/最大頻寬
  • 政策為基礎的 Traffic shaping
  • 優先性的頻寬運用
  • 負載平衡
  • 頻寬管理
  • 靜態路由
高可用性
  • 自動故障備援,故障回復
  • 撥接備援 
  • 雙 WAN 埠來提供 WAN 備援及負載平衡
統管理系
  • 內建網頁設定介面 (HTTP 及 HTTPS)
  • 選單模式的 SMT (系統管理終端) 管理
  • CLI (命令模式介面)
  • 透過 Telnet 或 網頁進行遠端管理
  • 可管理的 SNMP
  • 韌體升級 (網頁設定,TFTP/FTP/SFTP)
  • 支援ZyXEL 集中式網路管理系統 (CNM)
紀錄/監視
  • 集中式記錄 (Centralized Logs)
  • 攻擊告警
  • 系統狀態監視 
  • 系統日誌
支援的通訊協定
  • PPP (點對點通訊協定) 連接層的通訊協定.
  • 透通的橋接模式
  • DHCP Server/Client/Relay
  • RIP I/RIP II
  • ICMP
  • SNMP v1 及 v2c 具備支援 MIB II (RFC 1213)
  • IP Multicasting IGMP v1 及 v2
  • IGMP Proxy
  • UPnP
硬體規格
 
電源規格
  • 100 ~ 240 VAC
Fuse Specification
  • T 0.5 Amp, 250 VAC
外觀規格
  • 重置鍵 (Reset):回到出廠的預設值
  • Console:RS-232 DB9 (母)
  • 撥接備援:RS-232 DB9 (公)
  • 擴充插槽:可安裝合勤無線網卡或資安加速卡
乙太網路介面
  • LAN:1 port auto MDI/MDI-X 10/100 Mbps Ethernet
  • DMZ:4 ports auto MDI/MDI-X 10/100 Mbps Ethernet
  • WAN:2 ports auto MDI/MDI-X 10/100 Mbps Ethernet
尺寸
  • 355 (W) x 200 (D) x 55 (H) mm
重量
  • 2,600g
環境規格
  • 操作溫度:0º C ~ 50º C
  • 儲存溫度:-30º C ~ 60º C
  • 操作濕度:20% ~ 95% RH (非冷凝)
  • 儲存濕度:20% ~ 95% RH (非冷凝)
認證
  • EMC:FCC Class B、CE-EMC Class B、C-Tick Class B、VCCI Class B
  • 安規:CSA International、CE EN60950-1

產品規格:

硬體式網際網路防火牆,整合防火牆、VPN、網頁過濾、阻斷 DoS、頻寬管理、無線網路。 提供 7 個 10/100 BASE-TX 埠,分別為 2 個外部(WAN)、1 個內部(LAN) 、4 個非戰軍事區 (DMZ),Auto MDI/MID-X 自動跳線功能,自動判別正線與反線
可提供 IEEE802.11b, IEEE802.11g 無線網路基地台擴充功能

支援 WEP、802.1x 無線網路加密認證
一個控制埠 RS-232 專屬設定用
提供了狀態偵測(Stateful Inspection)、阻斷服務(Denial of Service)安全控管 提供撥接備援功能(可支援 Analog Modem and ISDN TA),當 WAN 斷線時,可及時 Dial-up Backup 備援,可以確保不斷線的運作
ICSA 國際安全認證,Firewall 與 IP Sec 安全認證通過
具備內容過濾(Content Filtering)的功能,包含:
限制使用者瀏覽或透過色情關鍵字搜尋色情網站動態過濾
提供URLblocking,可以用網址或關鍵字限制使用者造訪網站
提供 Script 過濾功能,可以關閉 Java Applet/Cookie/ ActiveX/Web Proxy 網頁 具備虛擬私有網路(VPN)功能,以保障在不同網路上傳送訊息之隱密性。包含:
可支援同時100個VPN通道
具備演算法 IP Sec Security Standard DES、3DES、AES 加密金鑰與 MD5、SHA 認證 Auto-key IKE 支援 DES、3DES、MD-5、SHA-1 支援網路位址轉譯(NAT)設定模式,提供含一對一(one-to-one),多對一(many-to-one)方式, 多對多(many-to-many),提供 IP 隱藏及解決 IP 不足問題 具備網路頻寬管理功能(Bandwidth Management),來達到QoS的服務品質
針對進出管制政策(ACL)來設定頻寬(ACL with Bandwidth Management)
保證頻寬(Guarantee Bandwidth) 

最大頻寬(Maximum Bandwidth)
依使用上的優先等級來設定頻寬(Priority-bandwidth Utilization) 防火牆封包過濾傳輸速度可達每秒 100 Mbps,防火牆 3DES 輸出入效能達 50Mbps,可同時 處理網路連線(Max Concurrent Sessions)達 4096 條
IP Alias 虛擬 IP 設定,提供內部多網段存取
提供 LED 燈號顯示:Power、Status 狀態
提供 XAuth VPN 認證方式與支援 PKI 認證
支援 IPSec 通道能穿越 NAT(IPSec NAT Traversal)設備之功能 具備使用者身份認證功能(User Authentication),支援 Radius Server
可經由 HTTP、HTTPS、Telnet、SSH 進入系統進行管理與設定系統、防火牆、虛擬私有網 路、防入侵、網頁過濾與紀錄
具備防火牆設定功能:
提供 GUI 介面選擇式之設定功能。
可針對策略、IP、時間及網路服務等定義過濾規則,設定允許(Accept),攔截(Deny)
針對特定過濾之封包,提供允許(Accept)、攔截(Deny)之設定選擇功能。
支援 DHCP Server/Client 分配 IP
支援 RIP V1 及 RIP V2 路由協定,以及 Static Route 靜態路由
支援 IP Multicasting
支援 PPPoE、PPTP 寬頻撥接認証協定
Dynamic DNS 提供動態名稱解譯功能
支援 syslog 功能,可將記錄檔匯出儲存 提供警告功能,當發生攻擊或系統問題時,可發出警告與寄送郵件至管理者 提供即時監控防火牆運作狀況,提供目前連線(Concurrent Connection)紀錄及總數,及具備記 錄(Log)功能
提供報表,可收集最多使用流量 IP 排行、最多使用網路協定排行、最多使用網頁排行 支援防火牆韌體更新(upgrade)功能,可透過 Web 與 FTP
可備份設定檔,與還原設定檔
提供 SNMP 網管功能
無使用者人數限制
機架基,可上 19"機架, 通過 FCC, CE 安規
機體尺寸— 230(W)x161(D)x36(H)mm

蘇言霖 2014/02/07 0 2747
Comments
Order by: 
Per page:
 
  • There are no comments yet
Rate
0 votes
Post info
蘇言霖
「超級懶貓級」社群網站站長
2014/02/07 (3891 days ago)
Actions