Zyxel_Russia Nov 1 2018 at 12:32

Для тех, кто выбирает межсетевой экран

7 min

26K

ITT Solutions corporate blogInformation Security*System administration*IT Infrastructure*Network hardware

+19

Comments 14

vesper-bot Nov 1 2018 at 14:11

Как я понимаю, то, что называется «файлы» — это переданный HTTP payload в любом запросе? Есть ли актуальность в обычном L7-файрволле при использовании зашифрованных каналов на всем внутреннем оборудовании? (ИМХО незашифрованное можно просто не выпускать на четвертом)

onatoli4 Nov 1 2018 at 17:51

Ну почему только HTTP, FTP, POP3 и т.д, а для зашифрованного трафика можно использовать ssl inspection.

vesper-bot Nov 2 2018 at 09:10

А на той стороне бац и SSL pinning, и ваш инспекшн серт недоверенный. Имхо правильнее инспектировать все-таки на клиенте, а не на дороге, а то мало ли кто захочет побыть Болььшим Братом.

procfg Nov 1 2018 at 14:12

Был у нас ZyWALL usg 1000 (в количестве 15 штук ), тот день когда мы от него избавились был одним из памятных в моей жизни. Железо капец медленное, даже без шифрования 100ку не выдавал максимум 70 мегабит, джитинг на sip был неимоверный. OSPF рассыпался без того видимых причин.

Zyxel_Russia Nov 1 2018 at 14:25

Старая железка, уже пару лет точно как не выпускается. Прокомментировать почему у вас было так не могу, может еще кто тут напишет о своем опыте. Могу лишь предложить всем кто хочет на тест любой межсетевой экран из линейки Zyxel. Эффективнее самому убедиться как оно работает на самом деле.

alexanster Nov 1 2018 at 14:50

Мы используем Zyxel ещё со времён, когда были актуальными ZyWALL 70 (5 в удалённых точках). Пробовал на нём запустить антивирусную проверку трафика с помощью доп платки, так при её включении ZyWALL неизменно умирал через минут 5...30 в зависимости от нагрузки. Помогало только передёргивание питания. Обращения в саппорт ничем так и не помогли. С тех пор зарёкся включать антивирус на нём. Но в остальном проблем не доставлял, до сих пор живой в шкафу валяется.
Сейчас стоят 310 и USG 100 — с SIP проблем нет, может из-за того, что нагрузка на него далеко не 100%, хотя и подняты пара IPSec тунелей с удалёнными офисами.

procfg Nov 1 2018 at 15:07

Спасибо, но мы перешли на другого вендора и довольны им

yoshitoshi Jan 17 2020 at 19:37

Думали купить USG110 на замену KERIO, но демо веб-панели, которое я нашел вот тут https://zylab.zyxel.eu:4488/ — как-то пока не очень, особенно после KERIO. Уже два раза отправлял через форму обратной связи на сайте запрос о возможности тестирования железки, в ответ тишина.

Сервис.

Zyxel_Russia Jan 17 2020 at 21:04

Доброго времени.
Пожалуйста оставьте вашу почту мне в личку, устроим тестирование. А то что-то видимо не срослось.
Заранее благодарим.

yoshitoshi Jan 17 2020 at 23:06

Отправил, спасибо за оперативную реакцию.

onatoli4 Nov 1 2018 at 17:50

USG1000, вообще, древняя железка, у неё по спеке максимум 150 Мбит на VPN для UDP-трафика, а для TCP как раз в два раза меньше и получается.

saipr Nov 3 2018 at 21:24

Взламать-то он взломает публичный сервер, но на внутренний не перейдет: внутренний сервер просто выключится. Такова технология. Между серверами передаются только даные. И никаких стандартных протоколов не задействуется. Не даром ЦБ РФ эту технологию с 2002 года использует!!!

rico_spb Nov 4 2018 at 10:36

Традиционная тема — в даташитах указана одна производительность VPN, а в реальных условиях имеем в почти в 3 раза меньше. Иллюзион, практически. И замеры для даташита делаются для UDP (который, IMHO, для VPN-соединения только от житейской скуки использовать можно), и при определенной длине пакета. Предложения технической поддержки заставляют задуматься, не в параллельном ли мире живет она.
P.S. Да-да, про USG60/USG310 речь.

demalah Nov 6 2018 at 10:09

Рекомендуемая область использования — безопасное и надежное соединение VPN
Основное предназначение — туннелирование трафика с использованием стойкого алгоритма шифрования Secure Hash Algorithm 2 (SHA-2).

SHA-2 — алгоритм не шифрования а всего лишь хеширования