ZyXEL ZyWALL SSL 10 VPN-apparatgennemgang

ZyXEL har været delvis til et sted med diversificering på det seneste, som i vores eksklusive anmeldelse af NSA-2400 hvor vi så det bevæge sig ind på det stærkt omstridte marked for desktop NAS-apparater. Nu sigter dens seneste ZyWALL SSL 10 på at give den fodfæste i en verden af ​​SSL VPN'er.

Tiltrækningen af ​​SSL VPN'er til små virksomheder er ikke gået glip af de fleste SMB-netværksleverandører, hvor størstedelen fanger i år og leverer billige apparater. Billion var en af ​​de første med sine velfungerende BiGuard S10 og blev hurtigt fulgt af Netgear og Linksys. Ved at vælte prisskalaen til over 200 £ placeres SSL 10 solidt i samme boldbane som Billion og Netgear, og her ser vi, om den har funktionerne til at passe til dem.

Denne kompakte enhed understøtter op til 10 SSL VPN-tunneler, men kan opgraderes til 25 tunneler. Den kommer med en quad af switchede Fast Ethernet-porte og en enkelt RJ-45 WAN-port, som kan forbindes til et bredbåndsmodem eller til en eksisterende gateway. Den har sin egen SPI/NAT-firewall, så den kan fronte en internetforbindelse, eller du kan droppe den i en DMZ bag en eksisterende firewall.

Webgrænsefladen er nem nok at bruge, og en guide hjælper med at konfigurere apparatet enten som en gateway, eller når det er på en DMZ. For at sikre adgang til LAN-ressourcer bruger apparatet en kombination af brugergodkendelse og gruppemedlemskab plus netværksobjekter. Til godkendelse har du masser af valgmuligheder, da du kan bruge apparatets lokale brugerdatabase, men den understøtter også AD-, LDAP- og RADIUS-servere.

SSL-applikationsobjekter bruges til at definere en tjeneste og tilhørende IP-adresse på LAN. For webbaserede applikationer angiver du adressen på hostingserveren og vælger webserver, webmail eller OWA (Office Web Access) som servertype. For ikke-webapplikationer definerer du dem som applikationer med en tilknyttet IP-adresse, TCP- eller UDP-transport og servicetype. Til sidst har du grundlæggende fildelingsobjekter, som indeholder et systems IP-adresse og delestien til en fil eller et bibliotek, der vil blive præsenteret for en fjernbruger. Hvis du ønsker at give fuld adgang til LAN, definerer du adresseundernettet som et VPN-netværk, hvilket vil skabe en fuldt krypteret tunnel, der giver adgang til det lokale netværk.

Nu kan du oprette politikker for at bestemme, hvilke eksterne brugere har tilladelse til at få adgang til. Hver politik kan indeholde udvalgte brugere og grupper, have en række objekter tildelt sig og være planlagt til at være aktive på bestemte tidspunkter af hver dag. Du kan også beslutte, om du vil tillade fuld netværksadgang og give forskellige VPN-netværk, der bestemmer de private adresser, de modtager. Det er nyttigt, at eventuelle ændringer af netværksobjekter automatisk overføres til de politikker, der bruger dem.

ZyXELs slutpunktssikkerhed giver dig mulighed for at kontrollere klientsystemet for operativsystemer, service packs og så videre. Efter vellykket godkendelse downloader apparatet ActiveX-kontroller og Java-apps, der scanner systemet og leder efter nødvendige komponenter. Du kan tjekke for specifikke versioner af IE, NetScape, Mozilla og FireFox og se efter antivirusprodukter, selvom dette i øjeblikket er begrænset til Symantec og McAfee. Du kan dog også insistere på, at deres autobeskyttelsesfunktion er slået til og kontrollere, om der findes Windows-patches, registreringsdatabaseposter og -processer.

Når en bruger peger deres browser på apparatets WAN-port, bliver de omdirigeret til en login-portal og efter godkendelse modtage en side, der viser, hvilke applikationer og fildelingsfunktioner de har adgang til. Portalen spørger, om du er på en pålidelig eller ikke-pålidelig maskine under logon, men kan ikke validere dette. Hvis du vælger den betroede mulighed, bliver din browsercache ikke renset, når sessionen slutter.

"'Webadministrationsgrænsefladen giver nem adgang til et væld af sikkerhedsfunktioner."'

Webapplikationer kan startes direkte fra portalen, mens ikke-webapplikationer skal indlæses og pege på den lokale værtsadresse og port, der er angivet i portalindgangen. Vi testede sidstnævnte med succes ved at bruge et FTP-klientværktøj på et fjernsystem, som blev omdirigeret til vores server på LAN. Ved at bruge fuld tunneltilstand var vi i stand til at få adgang til LAN-ressourcer fra vores fjernklient og oprette forbindelse via RDP til en Windows-server. Fildeling var også let at konfigurere, og vi var i stand til at fjerngennemse filer og mapper på vores lokale servere fra portalen.

Selvom det ikke er tilgængeligt i Storbritannien før juli, vil SSL 10 understøtte ZyXELs OTP-system (engangskodeord). Sættene omfatter USB-tokens, som modtager et sæt OTP'er fra serversoftwarekomponenten. Brugeren trykker på en knap på tokenet, som viser den næste adgangskode. Dette indtastes i login-portalen, og SSL 10 forbinder med OTP-serveren for at bekræfte adgangskoden.

"'Dom"'

SSL 10 leverer en masse funktioner til prisen, og kombinationen af ​​politikker, slutpunktssikkerhed og netværksobjekter gør den ekstremt alsidig. Det er et tæt opkald med Billions BiGuard S10, selvom vi fandt ud af, at sidstnævnte er lettere at konfigurere og er et bedre bud, hvis du også vil have grundlæggende URL-filtrering plus QoS-funktioner.

Bemærk, at login-portalen stoler på, at brugerne vælger den korrekte computer, og at OTP først er tilgængelig i juli.
—-

Når du har defineret dine netværksobjekter, binder sikkerhedspolitikkerne alt pænt sammen.
—-

Slutpunktsikkerhed er god til prisen, selvom klientens antivirustjek er begrænset til McAfee eller Symantec.
—-
Specifikke fildelinger på lokale systemer kan tilbydes til udvalgte brugere.

—-