ZyXEL ZyWALL: költséghatékony hálózatbiztonság kis- és középvállalatoknak (x)

Hirdetés

Az analóg modemes korszak egyik legendás márkája, a ZyXEL az alapítása óta eltelt 22 év alatt teljesen átalakult, a cég kínálatába azóta számtalan különféle hálózatra csatlakozó eszköz bekerült, amelyekkel a lakossági szegmenstől egészen a nagyvállalatokig igyekszik lefedni a vásárlói igényeket a cég. Ezek közé tartoznak a ZyWALL nevű integrált hálózatbiztonsági eszközök is.

A ZyWALL USG (unified Security Gateway) termékek az 1-10 fős kisvállalatoktól vagy fiókirodáktól kezdve akár az 500 PC-vel rendelkező nagyobb szervezetekig nyújtanak integrált biztonsági szolgáltatásokat a hálózat számára. Az eszközök kedvező ár-teljesítmény viszonyukkal hívják fel magukra a figyelmet.

ZyXEL ZyWALL

A ZyWALL USG termékek külseje megtévesztő lehet: első ránézésre pehelysúlyú versenyzőnek gondolnánk ezeket a berendezéseket, azonban az adminisztrációs felületet megnyitva látszik, hogy a szolgáltatások és a beállítási lehetőségek széles körűek. A vállalat elsősorban az integráció magas szintjét emeli ki a USG termékcsalád kapcsán: a berendezések kártevőszűrést, spamszűrést és tartalomszűrést végeznek, behatolásérzékelővel rendelkeznek, emellett minden tűzfal-, alkalmazásprotokoll- és routing szabályhoz sávszélesség-menedzsment lehetősége is az adminok rendelkezésére áll.

Ebben az árkategóriában nem gyakori szolgáltatás az internetes alkalmazásokra vonatkozó szabályrendszerek alkalmazhatósága. A ZyWALL USG eszközökben található AppPatrol segítségével az adminok beállíthatják, hogy a különféle felhasználói csoportok mikor férhetnek hozzá egyes netes alkalmazásokhoz, így például munkaidőn kívülre korlátozható a P2P és a streaming média, és a különféle alkalmazásokhoz sávszélesség-korlátot is be lehet állítani. Az eszközök segítségével a közösségi hálózatokhoz (pl. Facebook, Twitter, MSN) való hozzáférést is korlátozni lehet, csökkentve a hálózat terhelését és növelve a dolgozók produktivitását. Lehetőség van a VoIP alkalmazások adatforgalmának priorozálására is a legjobb minőség elérése érdekében.

A vállalati hálózaton terjedő kártevők megfékezése érdekében a ZyWALL USG eszközök Endpoint Security funkcióval is rendelkeznek – az adminisztrátorok azonosíthatják azokat a klienseket, amelyek nem megfelelő vírusvédelemmel, kikapcsolt tűzfallal vagy nem frissített operációs rendszerrel rendelkeznek és ezek hozzáférését letilthatják a vállalati hálózathoz -- újabb képesség, amely általában csak a legdrágább védelmi berendezések sajátja.

ZyXEL ZyWALL #2

A ZyWALL USG biztonsági eszközök több WAN-porttal is rendelkeznek, amelyeket aktív-passzív „failover” vagy aktív-aktív terhelésmegosztásos konfigurációban is képesek használni, növelve a szervezet számára hasznos sávszélességet, valamint USB vagy PCMCIA felületen keresztül 3G kapcsolat létesítésére is képesek, ha esetleg mindkét vezetékes összeköttetés megszakad. A különleges szolgáltatások között érdemes még megemlíteni a scriptek futtatásának lehetőségét, amely a 2.20-as firmware-verzióban debütált. Minden ZyWALL USG eszköz képes parancssori scriptek időzített futtatására napi, heti vagy hazi rendszerességgel.

A termékcsalád legkisebb tagjai közül a ZyWALL USG 20W vezeték nélküli 802.11 b/g/n szabványú hozzáférési pontként is működik. Az USG 20 és USG 50 modelleket kimondottan kisvállalatoknak szánja a cég, amelyek 1-10 PC-vel rendelkeznek, az USG 100-2000 verziók már jóval nagyobb szervezetek számára optimálisak, a vállalat szerint az USG 2000 csúcsmodell akár egy 500 PC-s környezetet is kiszolgál, akár 2000 párhuzamos IPsec VPN tunnelt és 750 SSL VPN-felhasználót is támogat.

A ZyWALL USG 20 ajánlott viszonteladói ára Magyarországon nettó 42 ezer forint, az USG 50-ért 73 ezer forintot kell fizretni. Az érdeklődők erre a linkre kattintva megismerkedhetnek a ZyWALL USG 50 felhasználói felületével (user: demo, pass: demouser). A termékekről további információ a www.zyxel.hu oldalon érhető el.

(A ZyXEL megbízásából készített anyag)

( lcseh | 2011. 10. 23., v – 22:44 )

Kedves fórumozók!

Amennyiben bármilyen műszaki, vagy kereskedelmi kérdés merülne fel a cikkel kapcsolatban, állok rendelkezésre, kérlek keressetek bátran, megpróbálok a legjobb tudásom szerint válaszolni.

Üdvözlettel,
Cseh Levente

Tisztelt sj,

A spamszűrő DNSBL listák alapján szűr, és mint ilyen nem kell hozzá licensz. Egyidejű szűrési limit van, ez az erőforrások alapján dől el, USG modellje válogatja.

Átviteli adatok: Az AS nem jelent teljesítménycsökkenést, mivel alapvetően nincs L7 funkcionalitása erre a service-re.

Tűzfal ADP nélkül: 107 Mbps
Tűzfal+ADP: 90 Mbps
Tűzfal+ADP+IDP: 80 Mbps
Tűzfal+ADP+AV(ZyXEL):75 Mbps
Tűzfal+ADP+IDP+AV(ZyXEL): 75 Mbps
Tűzfal+ADP+AV(Kapersky): 55 Mbps
Tűzfal+ADP+IDP+AV(Kapersky): 55 Mbps

Magyarázat:

AV - Antivírus, ebből két fajta van, ZyXEL(kb 30000 vírusminta) és Kaspersky (kb 3800 vírusminta), mindkettő licensz alapú, és L7 szintű funkció.
ADP - Anomaly Detection, prevention - protokoll anomáliák szűrése, L7
IDP - Behatolásvédelem, licenszalapú, L7 szolgáltatás

EZ CSAK AZ USG50 modellre vonatkozik! Minden típusnak másak az ilyen irányú mérési eredményei.

Már ne haragudj meg, hogy belepofázok. Eredetileg nem akartam közbeszólni, ez a rég sikeres de tartósan mélyrepülő cég nálam sajnos tabu. Semmilyen Zyxel terméket nem engedek megvenni, ahol van befolyás erre. Így elfogultan meg minek hozzábüfögni. Nos csak azért, hogy ha túlzásba esnék esetleg, a leírtakban talán ennek köszönhető, de mégis ez a válasz erősen pimasz.
1, kérdés: A spamszűrővel milyen teljesítménye van a cuccnak.
1, válasz: RBL van, ingyen van nincs neki semmilyen negatív hatása. (és kaptunk benchmarkot).
2, kérdés: node az RBL-t eladni spamszűrőnek kicsit necces nem?
2, válasz: ingyen van.
3, megjegyzés: ok, de akkor is erős RBL-t spamszűrőnek hívni
3, reagálás: ó hát van ám black, whitelist, (sorolhatnám nem akarom mik)
Tehát akkor spamszűrővel mennyi a teljesítménye?

Nem mennék bele egy ilyen stílusú vitába, mert ez nem az a fórum. :-)

Ha figyelmesebb lettél volna, néhány sorral feljebb olvashattad volna, hogy nincs számottevő befolyása az átviteli sebességre. Amiket beírtam, az a bekapcsolt tűzfal/ADP/IDP/AV szolgáltatásokra vonatkozik.

Gondolom úgy sem érdekel a válasz, mert nálad tabu a ZyXEL... :-)

egyreszt, masreszt barmilyen megoldas, ami nem olvassa el a levelet, az nalam max. az "eloszuro" titulust erdemli meg. Ez amugy nem egy pejorativ fogalom (a maga helyen nagyon is jo lehet), csak legyunk tisztaban azzal, hogy mi micsoda...

Ne bohockodjatok nagyapaval! Avagy az alkotmicsoda asztalara

( uid_17626 | 2011. 10. 24., h – 11:00 )

A fenti árakon hol lehet megvenni?

( szollosiimre | 2011. 10. 24., h – 12:57 )

Kérdéseim röviden:

Wan failover:
Képes figyelni gateway/külső cím elérhetőségét és ez alapján failovert alkalmazni?

SSL/ipsec vpn:
Rendelkezik-e linux/android/iOS/OS-X vpn kliensekkel?

Természetesen képes figyelni a GW, egyéb címek elérhetőségét, ez beállítható a WAN-kapcsolatnál. Terhelés elosztást is tud, nemcsak failovert.

Az iPhone/android telefonokhoz L2TP over IPSec lehetőség van, ezek tudtommal nem kezelnek csak IPSec-et.
SSL kliens telefonokra később lesz támogatott, egyelőre PC-vel megy.

( uid_17626 | 2011. 10. 24., h – 13:09 )

Magyar nyelvű részletes leírást nem találtam.
Linkelnél egyet?

( elod v | 2011. 10. 24., h – 17:19 )

Rémálmaim márkája...

Alapvetően nem sok gond volt a cuccokkal, amiket használtam anno (IDSL, SDSL, ADSL modemek-routerek) egy kivételével, de ez mindent ütött.

Szóval történy az egy 645R-A1-el (nem is nagyon kellett keresgélni, még emlékszem a típusra így 4 év távlatából is), hogy elkezdett makacskodni. Egyszerűen egy idő után eldobálta a kapcsolatokat (NAT).

Root cause: megtelt a kicsike CONNTRACK táblája, ami ugye fix méretű, vagy ha változtatni is lehetett (már nem emlékszem) a timeout volt túl hosszú, esetleg fordítva. Mindenesetre megoldhatatlan gond.

Rá kb egy-két évre jött egy "Prestige 334". Ugyanezzel a gonddal, csak ez már profibb routernek volt beállítva.

Ezeket a gondokat sikerült azóta megoldani, vagy még mindig beállíthatatlan a CONNTRACK?

Egyébként jó cuccok, konfigurálhatók (bizonyos szintig).

Sajnalom a dolgot...
En 6 eve dolgozom a Zyxelnel, de ezt a tipust nem lattam mar. Akkor mar a 660 sorozat ment mar.
Aki halozattal foglalkozik sok eve talalkozik ilyen esetekkel. A mostani ADSL modemek mar Linux alapuak nalunk is, a legegyszerubbtol az adsl fallback-es Vdsl2 DLNAs USBs IAD-ig.
Az emlitett modellek a legolcsobb 2-3000 forintos eszkozok voltak, a 334 es valamelyik firmwareben azt a hibat orvosoltak.

Egy érdekes storyról én is tudok... Van egy cég ahova még vagy 5 éve mi vittünk a két irodába 2 db P334WT-t, pár éve meghalt az egyik (arra tippeltek hogy villámtól), már nem volt garanciális a termék így a Zyxelt felhívták, el is vitték hozzájuk, megcsinálták 3 perc alatt díjmentesen. Kb 1 éve meghalt a másik irodában lévő is szinte ugyan azzal a hibával, megint odacsörögtek a Zyxelhez, akkor állítólag ugyan az aki a másikat 3 perc alatt csinálta meg, simán lerázta őket telefonon hogy ha garis vigyék vissza oda ahol vették, ha nem akkor dobják ki mert nincs szerviz, ők nem foglalkoznak javítással, vegyenek másikat.

Vettek is mindkettő helyett (nem Zyxel-t).

Ez így szépen hangzik, de a következő a lényeg:

A P334WT 2006-ban jelent meg, 2008-ig volt forgalomban. 3 év garanciát adtunk anno, tehát 2011 az utolsó év amikor szervizelhető. (elvileg)
Az iroda átalakult, helyi szerviz nincs, de van helyette cseregarancia. A vásárlási helyszínen kicserélik garanciaidőben. Ha garanciális a termék akkor ez igaz rá. Ha nem garanciális, akkor szívességet tehetünk és szoftvertöltés esetében tudunk segíteni, de ez csak szivesség lehet. Akárhogy nézzük, az életciklusa lejárt a modellnek.

Teljesen mindegy szerintem, ahogy én hallottam a probléma a cég illetve az ott dolgozó hozzáállásával volt, mert ugyan igaz hogy nincs rá garancia, de ha már egyszer egy ilyen hibával megcsináltak egy ugyan olyat, akkor letört volna a keze ha megteszi ezt a másikkal is? (Megemlítették még azt is hogy nem várják ingyen, kifizetik azt a 3 perc munkát még ha ez egy munkaórába kerül akkor is.) Ennek ellenére le lettek rázva. Gondolom a Zyxelnek egy olyan cég ahol két home routert használnak nem nagy biznisz, de ha valamiért amúgy is cserélték volna gondolom a már bevált márka mellett döntenek, e helyett vettek mást...

Egyszerűen el kell dönteni, hogy amit megvásárolsz mire veszed. 5e ft-os elektronikai cuccot nem szoktak javítani (most hagyjuk hogy ez jó e), itt van pl az ellenfél tp-link, 5év garit ad. Mondjuk az alatt már meg is rohad a cucc ha még lesz a cég:) A zyxel névtől magától nem szabad semmit várni, a régi imázst semmiképp!

Alapvetően a hozzáállással volt baja annak aki mesélte, mert egyszer megcsinálták, egyszer pedig hülyének nézték és mindenfélét hazudoztak csak hogy ne kelljen (pénzért sem). Ami nem baj, csak ha én dolgozok egy cégnél akkor azt a viselkedésemmel, mondandómmal képviselem, magyarán ha az ügyfélnek azt mondom hogy lejárt az ideje, dobja ki nem érdekel mi történt vele, akkor azt érzi hogy ő nem fontos nekünk, pedig még ha az is a cégen belüli hozzáállás hogy aminek lejárt az ideje még pénzért sem javítjuk, akkor is mennyivel másabb ha azt mondom hogy "hozza be, megnézzük.....sajnos nem javítható, de most akciósan tud vásárolni az új termékeinkből amik sokkal többet tudnak, van rájuk garancia, és tudunk segíteni a beüzemelésben amennyiben eltérnek a beállítások az előzőtől".

Az eredmény majdnem ugyan az mint ami történt, de az az ügyfél érzése hogy ugyan nem volt javítható, de legalább segítettek és ajánlottak egy akciós terméket.

A szervizünk, mint említettem megszűnt, ergo a tevékenység mint olyan kivitelezhetetlen lett volna. A kolléga nem hazudott, hanem ezt közölte. Ráadásul valószínűleg külföldről. Ha tehetjük, és belefér az időnkbe ezt ma is megtesszük. Ez persze telefonon keresztül nem mindig csapódik le szerencsésen.
Viszont nem tartom szerencsésnek egy szívesség miatti hőzöngést.

Te is mondtad, nem szeretnék ilyen vitába belemenni. Annál is inkább, mert nem volt célom, hogy megbántsalak (ha hiszed ha nem) kezdő hozzászólásomban is csak annyit vettél ki, hogy nem szeretem a zyxelt amit direkt azért írtam le hogy ha valaki _a későbbi_ hozzászólásomat elolvasná, és abban elfajulnának a dolgok. Azt viszont, hogy kritika éri a kommunikációdat, maximum packázásnak vetted. Olvasd el még egyszer a párbeszédet amit leírtam. Te ide eladni jöttél, ami a hup.hu -nak remélem pénzt hoz, az hogy a zyxelnek hoz e nem az én dolgom!
Így gondolom ha leírnám a véleményem az semmiképp nem vinne előre sőt sem te, sem én sem a hup.hu közössége nem profitálna, legyen elég annyi, hogy '97-ből még vannak zyxel modemeim, nekem a cég története itt kezdődött, és neked el kell viselni a privát véleményem hogy a zyxel hw-it nem érdemes megvásárolni. Ettől nem fog összeomlani a piacod :)

szerintem csupán annyit akart mondani, hogy a Zyxelről a legtöbb embernek az ezredfordulós modemes időszakból vannak emlékei, akkoriban nagyon sokan használtak ilyen cuccokat. nekem pl új volt, hogy vagytok még, vannak komolyabb vállalati cuccaitok. a márka megítélése (már aki ismeri) a legtöbb fejben egy 10 évvel ezelőtti tapasztalat.

Rendben van, értem. De maga a tény, hogy 94-ben alakult a cég mint ZyXEL Mo. előtte pedig csak importálták néhányan a termékeit, semmit sem jelent.

1. Abban az időben nem volt router, csak modem, abból is 1-2 gyártó. Persze, hogy ismerték a nevet.
2. Ma nem használ senki betárcsázós netet Ugandán kívül, max fax-ra használnak modemet.
3. 8 éve kezdett el hálózati irányba menni a cég, switching, tűzfalak, ADSL dslamok, CPE-k felé
4. Az hogy ezt a közönség nem ismeri, persze, hogy részben a mi hibánk. Másrészt a piac hibája, hogy mindig a legolcsóbb az eladhatóbb. És ezt a sok olcsó gyártó teszi azzá, aki piacot akar venni.
Most már nagyon sok ilyen, vagy ehhez hasonló gyártó van mint mi, és egy ekkora piacon osztozkodni azt eredményezi, hogy vékonyak a tortaszeletek... :-)

Ebből fakad, hogy a név ma még mindig (bocsánat a szóhasználatért) az "öreg rókák" fejében él, és csak modemmel azonosítják. De ez már marketing, ami nem az én asztalom.

( b | 2011. 10. 24., h – 18:05 )

Huh, akkor a Zyxel átalakult valami Cisco wannabe cuccá lol...

Úgy hallottam anno jó modemeket gyártottak. (Mondjuk nekem nem ilyen volt.) Remélhetőleg továbbra is a minőségre törekednek. ^^

--
GPLv3-as hozzászólás.

( Napoji86 | 2011. 10. 25., k – 17:00 )

oktatási anyag a zyxel vizsgához található valamerre?

vagy a dokumentáció adja az alapot?

( Mico v | 2011. 10. 26., sze – 23:56 )

Kérdéseim:

- a belinkelt mgmt felületen nyomát sem találom ipv6 supportnak. igaz ez?
- tud certificate alapon site to site vpn-t? van valami certificate menü, de -felületesen- nem látok összefüggést.
- a site to site vpn konfignál a local/remote policy-hoz olyasmi dolgok közül lehet választani, mint amit az ASA network object-nek hív. ezeket lehet csoportosítani is, tehát több subnet is megadható a policyben? a vendég jogosultsággal nem enged address group-ot létrehozni.

Köszi!

Szia,

Ez igaz, ugyanakkor a 3.0 szoftver, ami egy-két hónap múlva jelenik meg, már tudja. Még béta a szoftver, de ha valakit érdekel el tudom küldeni. Lesz benne néhány újítás is, többek közt az AntiSpam is átalakul.
Természetesen tud certificate-es és PSK-alapú VPN-t is, Certificate menü is van, ahol lehet létrehozni, importálni, exportálni tanúsítványokat.
Jól látod, ugyanannak felel meg, bár a módszertan az, hogy a két VPN fázis külön szabályt képez, és így egy Gateway policy alá akár több ún. network policy is rendelhető.

Ha bővebben érdekel, meg tudunk beszélni egy kölcsöneszközt is, és akkor tesztelheted.

( Napoji86 | 2011. 10. 27., cs – 21:27 )

teszteltéttek esetleg a zyxel tűzfalát más tűzfalakkal? olyasmire gondolok, hogy összelehet e hozni S2S VPN kapcsolatot pl. egy ASA - val v. Checkpoint tűzfallal.

( hendrick v | 2012. 02. 07., k – 06:49 )

IPV6 update megérkezett? A demo még 2.21 verzió.