合勤 ZyXEL USG20W-VPN 防火牆為該公司安全防護產品系列當中的入門款式,整合 802.11 b/g/n(2.4GHz)和 802.11 a/n/ac(5Hz)3 天線收發可選式雙頻無線網路,建議售價約在新台幣 16,500 元左右(實際價格依數量和功能授權有所不同)。依據合勤提供的效能指標,本款 SPI(Stateful packet inspection) 防火牆約為 350Mbps(1518Bytes UDP)、VPN 效能則為 90Mbps(1424Bytes UDP),正好滿足一些小公司或是普通店家的效能與安全需求,價格部分也落在能夠負擔的位置,即可把安全性、VPN、無線網路需求完整解決。
管理部分也不會相當困難艱澀,已為絕大部分使用情境預先編輯好設定檔,初次設定也有精靈簡易模式帶領使用者;簡易模式大幅縮減繁雜的設定,只要使用者具備一般家用無線路由器的設定概念,相信讓本款產品上線運作並非難事。接著就讓筆者從外觀開始介紹,接著再闡述功能與實測效能。
ZyXEL USG20W-VPN 規格:
- 網路 SoC:Cavium OCTEON III CN7010 單核心
- 無線網路晶片:Qualcomm QCA9880
- 有線網路晶片:Qualcomm QCA8337
- 天線:2dBi(2.4GHz)、3dBi(5GHz)、可拆式
- 有線網路:10/100/1000Mbps x 5+SFP x 1
- 無線網路:802.11 b/g/n、3T3R 或 802.11 a/n/ac 3T3R
- 記憶體:DDR3 2GB
- 其它:USB 3.0 x 1、Console x 1、重置按鈕、電源開關
- 尺寸:216 x 143 x 33(mm)
▲盒裝全部零配件。
體積小巧整合性高
在店面空間不大或是辦公區域無法隔出 IT 設備空間的情況下,資訊網路設備經常與 POS 機台比鄰而居,或是直接放在文件櫃上頭,安裝空間並不寬裕。本款迎合安裝情境,並沒有為了與機櫃相容而加大加寬產品外殼,體積與網路數據機相近(考量散熱需求,不建議與數據機相互堆疊擺放),電力供應部分則由外接變壓器提供 12V ∕ 2A,產品最高消費電力僅 18W。
外殼採用金屬板沖壓而成,並於左右上方佈滿散熱孔,確保不間斷運作下的穩定性與散熱能力。網路埠位置皆位於機身後方,前方則是安排 USB 3.0 連接埠與指示燈號;RJ45 網路埠安排 1 組 WAN 和 4 組 LAN,另有 1 組 SFP 插槽,可自行安裝單模 ∕ 多模光纖模組或是 1000BASE-T,安裝之後便可具備雙 WAN 容錯備援機制。
前方 USB 3.0 連接埠也可作為容錯備援線路的一環,支援 3G ∕ 4G USB 無線網路卡(相容裝置清單),同樣具備負載平衡或是備援功能,亦或是搭配策略路由協同作業。機身背部同時還有 3 組 RP-SMA 無線網路天線連接埠,隨機附上 3 組 2dBi(2.4GHz)∕ 3dBi(5GHz)增益值天線。Console 通訊埠位於機身背部,為 RJ45 形式,廠商也不吝嗇地附上 1 組 RS232 轉換線材。
▲USG20W-VPN 體積不大,金屬外殼和通風口則是確保散熱效果。
▲前方指示燈號與 USB 3.0 連接埠,連接埠可安裝 3G ∕ 4G 無線網路卡或是儲存裝置。
▲RJ45 網路埠固定為 1 WAN+4 LAN∕DMZ,另有 1 組 SFP 設備插槽;SFP 旁邊的 RJ45 作為 Console 連線功能之用,3 組無線網路天線可自由替換。
▲外殼一隅設有 Kensington 相容鎖點。
▲產品包裝包含 Console 轉接線材以及自行黏貼的橡膠腳墊,機器本身也支援壁掛安裝方式。
以下的拆解動作僅是讓讀者對 ZyXEL USG20W-VPN 有更深的認識,擅自開啟內部會喪失保固,也可能會對使用者造成傷害,請各位讀者不要模仿。
▲處理器、記憶體、無線網路部分皆位於屏蔽蓋內部,數顆體積較大的電容採用固態電容器。
(下一頁:簡易模式與示範建立 VPN 伺服器)
簡易模式好方便
近年來部分商用產品首次安裝使用時,均有設置安裝精靈等模式簡化安裝步驟,帶領使用者一步步設定必要資訊,以求盡速讓設備上線運作。USG20W-VPN 當然也有這種初始化安裝精靈,甚至還更進一步地設計簡易模式,將傳統進階介面的條例式設定轉化為更為親切的圖示儀表板,設備運作情形一目瞭然。
▲簡易模式的儀表板示意圖,點擊圖片可放大觀看。(註:本文簡易模式截圖均為測試版韌體 ZLD4.20(ABAR.0)b5,有可能與正式版不同)
以 VPN 設定做為例子,點擊儀表板上方的「VPN 設定精靈」,就能夠在瀏覽器視窗當中跳出精靈介面,使用者再輸入必要資訊如 IP 位址、加密方式、預先授權金鑰等,即能夠輕鬆設定 VPN 通道。
▲VPN 通道設定精靈介面。
▲VPN 策略類型影響後續精靈設定的複雜性,這裡筆者選擇快速讓機器採用建議的設定。
▲選擇金鑰傳遞方式為 IKEv1 或 IKEv2,下方的情境選擇則是設定 USG20W-VPN 的運作角色,在此處筆者設定成讓其它裝置連線的伺服器角色。
▲接著輸入預先共用金鑰和 IP 配發位址與網路遮罩。
▲按下儲存即可建立 VPN 通道伺服器,相當簡便快速。
以上筆者示範的操作為最為簡易的 VPN 通道建立方式,USG20W-VPN 尚有其它 VPN 功能,譬如站對站 VPN 連線(支援靜態或動態位址),或是遠端存取用戶端。若是於設定精靈的 VPN 策略當中選擇進階,則能夠在後續的步驟當中選擇加密方式、認證等,依據實際情況需求進一步調整。
▲若選擇進階 VPN 策略,後續設定就會多出許多選項。
進階介面滿足高手需求
由於商用環境複雜,簡易模式設定不見得能夠滿足該公司對於資訊安全的需求,進階介面主要使用條列式內容供使用者自行調配,最大程度客製化安全條例。由於內容繁複眾多,筆者在此無法一一說明;在此合勤做了相當貼心的舉動,按下頁面上方的 Configuration Walkthrough 按鈕之後,就會跳出相關的設定步驟說明書。Telnet 和 SSH 遠端登入,以命令列方式操作也在機身功能之中。
▲進階頁面的儀表板包含更多資訊。
▲按下 Configuration Walkthrough 按鈕,即可顯示設定步驟說明書。
強化 VPN 與安全機制
防火牆在商用環境底下,擺放位置介於外部網路與內部網路、無線網路之間,藉由規則策略等多種條件設定,提供資訊安全防護功能。以本款 USG20W-VPN 而言,功能性並不僅止於防火牆,尚有 VPN 伺服器、DHCP 伺服器、認證∕授權等多項功能,更遑論還整合了無線網路,1 台通吃。
依據目前的工作趨勢,職員在外需要存取公司內部資源的情境變多,因此 USG20W-VPN 針對 VPN 部分強化不少,基礎的 IPSec 和 L2TP over IPSec 之外,還支援 SSL VPN 功能。授權部分則是支援 SHA-2(512bit)認證的產生,金鑰傳遞最高支援 IKEv2 with EAP。
而所謂單一登入授權管理部分,本款能夠自行建立使用者資料庫;若有其它專職管理的伺服器,也能夠以 LDAP 或是 RADIUS 取得使用者授權認證資料。當然在此處也能夠搭配防火牆功能,建立以使用者為分類基礎的策略路由。
▲不同的作業系統能夠使用的 VPN 對照圖。
(下一頁:內容過濾、防垃圾郵件、無線網路與效能驗證)
內容過濾與防垃圾郵件
除了 SSL VPN 可以額外付費取得之外(隨機 5 組通道,另有 5 組、10 組授權,最高可達 15 組),另有 2 款需要經常更新維護的功能,便是內容過濾和防止垃圾郵件,分別各自有 1 年授權和 2 年授權可供選購。內容過濾部分主要是以不斷更新惡意網域清單為主,購買並同步授權 USG20W-VPN 之後,便可勾選想要阻擋的網域類型,譬如情色、暴力、賭博等分類。
由網域黑名單進行阻擋還有額外的好處,就是針對加密的網頁也有效果,在電腦送出 DNS 查詢時就能夠進行阻擋,而不用處理器拆解、比對、辨識加密封包,也就不會消耗大量的處理器能力,特別是針對入門款式效能不高而言。內容過濾資料庫清單合作廠商為知名雲端網路安全公司 CYREN,授權期間能夠自動更新資料庫清單內容。
防止垃圾郵件功能主要也是由網域分類進行,此處結合網路上開放的 DNSBL 伺服器偕同運作,由外部進來的電子郵件將與和使用者輸入的 DNSBL 伺服器進行比對,發現問題郵件時可在郵件主旨加入標籤後轉送,提醒使用者注意並進一步處理,積極者更能直接丟棄。(註冊產品可享有全功能 30 天內容過濾與防垃圾郵件試用)
由於現今防火牆功能日益完善,外部攻擊者可能不會耗費時間與心力直接攻擊網路基礎設施,而是藉由電腦使用者瀏覽的網頁植入惡意程式,或者利用員工好奇心開啟惡意電子郵件的附加檔案,直接由內部電腦開始掌控網路,因此對於缺乏 IT 人員維護的入門商用款式使用者來說,上述能夠自動更新操作的防範措施更顯重要。
▲內容過濾功能與 CYREN 合作,使用者只需要勾選欲阻擋的分類即可。
▲防垃圾郵件功能設定介面。
▲除了預先建立的過濾清單之外,內容過濾和反垃圾郵件均支援黑、白名單,供使用者自行調用。
目前唯一導入 802.11ac 的 USG 系列產品
由於本款推出時間比同系列其它產品為晚,因此無線網路規格能夠採用較新的 802.11ac 規格,且多天線收發規格來到 3 組天線 3 組空間流,於 5GHz 最高可達 1300Mbps 的連線速率。本款為 2.4GHz 和 5GHz 可選雙頻規格,使用者可根據需求與頻段特性自行選用。SSID 則能夠同時存在 8 組,且支援無線網路 L2 隔離與 BSS 內傳輸阻斷。
實際使用差異方面,商用產品特別強調無線網路於大量連線裝置的穩定性,比較不會出現頻繁斷線、各裝置間傳輸頻寬延遲差異過大、DHCP 伺服器 IP 配發出現問題等怪異現象。因此除了商用之外,穩定性和頻寬管理功能也非常適合家中擁有大量網路連線裝置的家庭使用。
延伸此議題,全面支援 IPv6 也是該產品所強調的特色,不若一般家用產品雖支援 IPv6,管理部分卻是做得有一搭沒一搭。只要在系統當中開啟 IPv6,與 IP 位址有關的設定部分都會多出 IPv6 欄位,讓 IPv4 和 IPv6 管理同步進行,而非另闢 IPv6 專區。
▲無線網路為 2.4GHz、5GHz 可選雙頻規格,預設物件已建立 2 種頻段的設定檔,直接選擇使用即可,此外還具備動態頻率選擇功能。
▲IPv4 和 IPv6 設定能夠在同一 GUI 頁面底下完成。
優於規格的實測表現
效能測試部分,產品 WAN 埠接在 Mikrotik RB450G 之後,透過 DHCP 協議取得 IP,RB450G 之後額外也接了 1 組桌上型電腦,作為產品 WAN 端的網路傳輸測試主機,而 LAN 埠則接駁 1 台 Lenovo ThinkPad X230 筆記型電腦。軟體使用 iPerf 測試,TCP Window 加大至 2048KB,網路訊框大小採用標準 1500+18Bytes、TCP / UDP 協議、未啟用 Jumbo Frame。下列測試數據均為實際傳輸量,不計算傳輸時額外加入的表頭或校驗碼。
無線網路測試部分,802.11n 測試數據為本款產品與 Intel Centrino Ultimate-N 6300 無線網路卡搭配,802.11ac 則與 Synology RT1900ac(無線用戶端模式)相互搭配,對另外 1 台位於 LAN 端的桌上型電腦進行傳輸測試。加密模式均選擇 WPA2-PSK、短保護區間,通道寬度於 2.4GHz 選擇 20 / 40MHz、5GHz 選擇 20/40/80MHz。(其餘設定皆使用韌體版本ZLD4.20(ABAR.0)b5 的預設值)
▲ZyXEL USG20W-VPN 無線網路傳輸效能(TCP)。
▲有線網路效能(TCP)。
▲有線網路效能(UDP)。
測試結果顯示,TCP/UDP 通訊協定的效能驗證,雙向 NAT 效能高達 523 / 530 Mbps, 均超越廠商表定規格 350 Mbps,看來除了預設值之外,使用者多有餘裕,可根據需求制定多項防火牆政策。 而就 SPI 防火牆運作模式,對所有通過的流量資訊進行追蹤、檢測,並非家用無線路由器,僅單純的儲存、轉送,不管是安全地暢遊 Internet、VPN 或 Wi-Fi 連線接取,都得以滿足大部分應用需求。
依照原先合勤對 USG20W-VPN 的商用入門定位,本款總體連線數量為 20000 條,另外可再針對單一裝置進行數量管控。本款在價格、體積、功能上取得相當不錯的平衡,支援 IKEv2、SHA-2、IPv6 確保了未來數年的相容性,整合無線網路也方便統一管理,不必再額外煩惱。如果家庭進階使用者也有安全與穩定性的需求,不妨可試試SPI等級的合勤USG20W-VPN防火牆,享受多機一體所帶來的便利性與網路安全防護需求。
廠商資訊
ZyXEL 合勤科技 http://www.zyxel.com/tw/zh/homepage.shtml
加入電腦王Facebook粉絲團桌上型電腦規格資訊
- 主機板:Asus Z87-Pro
- 處理器:Intel Xeon E3-1230 v3
- 記憶體:Micron DDR3 32GB
- 顯示卡:NVIDIA GeForce GTX770 4GB
- 網路卡:Intel Ethernet Connection I217-V(12.15.22.3)
- 作業系統:Microsoft Windows 7 64bit 旗艦版
筆記型電腦規格資訊
- 型號:Lenovo ThinkPad x230
- 處理器:Intel Core i5-3210M
- 記憶體:Micron DDR3 8GB
- 網路卡:Intel 82579LM Gigabit Network Connection(12.15.30.0)、Intel Centrino Ultimate-N 6300 AGN(15.17.0.1)
- 作業系統:Microsoft Windows 7 64bit 專業版