本文穫Zyxel徵文活動獎
§ 前言
ATP智能防火牆系列是專門為中小企業量身打造的資安防護解決方案,屬於一種進階式UTM防火牆,SOHO族也適用,合勤集團兆勤科技的ZyWALL ATP100/200/500/800具備多種雲端智能防護技術,並具備智能應用程式管理、入侵防禦與防病毒等多層次過濾,在特徵碼即時更新之狀況下能有效保護組織Intranet遭受惡意程式或病毒網頁感染,並配合其他產品線少有的雲端沙箱運算技術,預知全新威脅的攻擊,是專為中小企業打造的進階威脅防護最佳方案,在圖形化分析報表方面,SecuReporter能展現資安威脅等級與趨勢,並啟動主動告警高能,幫助IT管理人員更全方位掌控網路與資訊安全狀態,為公司減輕無形的資安危害成本。筆者自On Board以來,在萬人等級的大型企業擔任過當時兩大防毒軟體的系統管理員,擔任企業內部PC防毒伺服器與伺服器防毒系統管理人員,並經歷過Nimda與CodeRed對於公司內部伺服器的蹂躪以及網路的嚴重癱瘓,深深覺得防毒與網路安全軟體是資訊建設的基石樑柱,後續防火牆與分倉概念在公司內部全面推廣之後,陸續在資料中心管理核心路由器、網路附載平衡器與防火牆的維運工作,近來資安工作又演進為APT郵件攻擊、伺服器落點掃描、原始碼檢測、APM應用程式效能檢測、資訊系統服務監控與ProActive主動監測等議題。
本文將引領諸君進入Zyxel ZyWALL ATP100智能防火牆的絕對領域。本文由防火牆的開箱與安裝起頭,進而介紹功能操作與測試的結果,最後聊聊使用心得與未來展望。
§ 產品開箱
▲ Zyxel ATP100智能防火牆外盒外觀,即免費贈送一年期全功能多層次安全防護授權服務,須連上myZyXEL.com 2.0網站,創建帳號,然後註冊產品,再啟動授權。
▲ 合勤集團兆勤科技是一間很知名的台灣廠商,底下的大理石也呈現台灣的外廓。
▲ 打開盒子,看到精緻的包裝方式。
▲ Zyxel ATP100智能防火牆的兩側有兩排散熱開孔,讓熱氣不至於積在金屬殼內。
▲ Zyxel ATP100智能防火牆的上下兩面都有為數眾多的散熱孔。
▲ Zyxel ATP100智能防火牆的網路孔都位於機殼的前側,P2-P6提供四個電介面ˋ。
▲ P1則為SFP,可以選擇插入光介面的Zyxel mini-GBIC Transeiver SFP-LX-15A或其他mini-GBIC,和P2成為附載平衡雙WAN。右邊是RJ-45型式的RS-232,提供給終端機連線使用。
▲ P1則為SFP,可以選擇插入光介面的Zyxel mini-GBIC Transeiver SFP-LX-15A或其他mini-GBIC,和P2成為附載平衡雙WAN。右邊是RJ-45型式的RS-232,提供給終端機連線使用。
▲ Zyxel ZyWALL ATP100智能防火牆面板所有網路介面一覽。
▲ 隨盒附上四個防滑腳墊,
▲ 有背膠可以直接貼於於機殼上,讓使用承板時能夠有效止滑。
▲ 也可以利用壁掛孔採壁掛模式。
▲ 也可以利用壁掛孔採壁掛模式。
▲ 兩個壁掛孔才有辦法完全平衡。
▲ Zyxel ZyWALL ATP100智能防火牆正面有對應的燈號。
▲ Zyxel ZyWALL ATP100 ZyWALL ATP Firewall位於正面左邊明顯之處。
▲ P3-P6是LAN/DMZ Port,亮橘燈時是跑1000Mbps,亮黃燈時是跑100Mbps。
▲ 內附專用的變壓器。
▲ 原廠附的RS232 Console線。
▲ 很簡短的使用說明書,只要是查閱預設帳號密碼。
▲ 多國語言的快速啟動導引、註冊指南與一張密碼卡。ATP100免費提供一年不可轉讓的Gold版資安防護授權。免費使用一年結束之後,用戶可選擇付費續訂Gold金級版資安防護授權,續訂一年或兩年的的授權服務可轉讓。
▲ 主要的兩項配件,裡面也沒有附mini-GBIC transiciver。
▲ 主要的兩項配件,裡面也沒有附mini-GBIC transiciver。
▲ 在企業內部分的應用部分,ATP100的WAN連接至一台L2 Switch的4個SFP之一作為上鍊電路,L2 Switch會再往上接往Access Router。
▲ 另外購得一批Zyxel SPF-LX-15A miniGBIC Transeiver 單模光纖模組,速度高達1000Mbps及最長距離10公里,相對於用過的國外大廠miniGBIC Transeiver,Zyxel的產品CP值非常的高,只要幾百元就能入手。
▲ 以上就是Zyxel ZyWALL ATP100智能防火牆產品外觀分享,其防火牆與入侵偵測功能非常豐富,下文逐步介紹功能介面與使用心得部分。
§ 功能介紹
▲ 以任一介面IP登入Zyxel ZyWALL ATP100智能防火牆。
▲ 由於是SOHO用途,所以WAN採用CHT 光世代網路。
▲ 首先免不了先刷最新版的韌體,讓ATP100維持最完美狀態。
▲ 點擊ATP左邊圖示的最上方一個,在按General可以看到儀表板,裡面有裝置訊息與系統狀態。
▲ 在General頁籤中,能監視到即時的CPU、記憶體、Flash Memory、USB存儲媒體使用率、連線中的Session數等等有用資訊。
▲ Zyxel ZyWALL ATP100智能防火牆提供的各種服務一覽。
▲ Zyxel ZyWALL ATP100智能防火牆提供的各種服務一覽。
▲ 此時此刻ATP儼然成為一台4G分享器,下載經測試達49.55Mbps、上傳也有9.75Mbps,Ping是略高的20ms。
▲ 連上Internet之後可以定時更新最新版韌體,這裡又發現了ZLD4.50,為維持ATP100最新最ˋ穩定的狀態,旋即進行下載與安裝,這次主要的更新有兩點,提供具備混合惡意程式的掃描的優越保護,其次是將SSL VPN使用者的數目提升到30人。
▲ 儀錶板的一般頁籤可以看到面板正面的燈號圖示。
▲ 切換儀錶板的一般頁籤也可以看到面板背面的配線圖示。
▲ 由於在測試過程中並ˋ沒有產生太流量,用VC#.net編譯的一個小小封包傳送工具,從近LAN端狂送出UDP封包,有TCP/IP基本知識的使用者都知道UDP是不會管server端daemon存不存在的。
▲ ATP100的CPU使用率瞬間爆到接近100%。
▲ 成功經由WAN Wizard連線CHT光世代PPPoE。
▲ ATP100有完善的AP管理功能,四個規則區分惡意AP與善意AP。Gold版資安防護授權內含最大AP管理數量,例如ATP100可管理10台AP;若未續訂Gold版資安防護授權,到期之後可管理AP數量將降回預設2台。
▲ ATP100僅支援自家的ZYEL無線基地台,另外我插入兩張不同品牌的USB 802.11n網路卡,都抓不到介面,顯然沒有驅動程式。
▲ ATP100在介面選單中,可以設定光纖與銅纜連接埠,PPP連線並具備橋接器與WAN負載平衡功能。
▲ ATP100在線路負載平衡策略中我們引入WAN與行動網路,合併頻寬使用。
▲ ATP100在IPSec VPN中,支援Ikev1與Ikev2Tunnel,可下載Zyxel VPN Client軟體連線,或者在Windows 10時中也原生支援IPSec、L2TP等 VPN。
▲ ATP100在IPSec VPN中,支援Ikev1與Ikev2Tunnel,可下載Zyxel VPN Client軟體連線,或者在Windows 10時中也原生支援IPSec、L2TP等 VPN。
▲ ATP100的頻寬管理功能,能夠為SIP語音流量保留較高的QoS。
▲ 入侵防禦與入侵偵測防禦絕對是ATP100的重頭戲,在筆者管理過的J牌與F廠防火牆機種中,是比較少看到入侵防禦與入侵偵測的足跡的,ATP100可以設定的掃描偵測項目大致已TCP、UDP、IP、ICMP的連接埠掃描與Sweep為主。
▲ ATP的入侵防禦與入侵偵測防禦也支援異常流量於通訊協定的偵測,將UDP Flood臨界值設在100,像先早自行編譯的Udpclient就會被偵測到UDP Flood。
▲ 防火牆最基本的功能就是針對來源與目的IP與埠進行檢查與過濾,許多廠家的防火牆必須先將IP位址範圍定義成位址名稱,這樣的好處是修改IP位址也不需要修正策略,當然ATP也不例外,有了位址名稱後才能設定策略中的來源與目的地等位址。
▲ ATP100的網頁安全防護可以自選分類,阻擋特定國家或地區IP與來自內外部的多種威脅,實作原理都是最先進雲端防護技術,比對封包資料,當然要隨時更新才有正確度,此時維持一個有效的License對於更新URL清單是必要的,有效防護零時差攻擊、杜絕未知威脅。
▲ ATP100擁有最先進入侵偵測防禦,支援各式特徵碼;當組織遭受全新或變種病毒攻擊時,ATP智能防火牆並主動式黑名單防護阻擋。主動式黑名單防護即時主動掃描網路流量的IP位址與Zyxel雲端資料庫,一旦比對出高風險的IP位址流量時,將依據防火牆的安全政策(Security Policy)LOG起來,並發送告警與進行阻隔。
▲ ATP100擁有最先進電子郵件安全技術,支援偵測POP3與SMTP兩種最常見的郵件通訊協定。
▲ ATP100所搭配的雲端沙箱技術,以沙箱模擬透過雲端沙箱模擬內網環境,防範杜絕未知的威脅能分辦出一般UTM防火牆無法比對出的未知攻擊。
▲ ATP100也支援Mesh管理,在佈線困難的地方,利用多台AP簡化了擴展無線網路的覆蓋範圍,為WDS的AI進階版,稱之為ZyMesh。
▲ ATP100支援AD、LDAP、RADIUS三種目錄服務主機的連線。
▲ 在系統選項內設定ATP100的主機名稱、系統日期、WWW、SSH、TELNET等管理服務,還有語系、驗證伺服器與通知等等。最好用的還有可以外接USB儲存裝置搖身一變變成簡易NAS。
▲ 在圖形化分析報表方面,藉由主動式黑名單防護功能,SecuReporter智能資安分析報表中進行統計分析能展現資安威脅等級與趨勢,並啟動主動告警功能,幫助IT管理人員更全方位掌控網路與資訊安全狀態,為公司減輕無形的資安危害成本,提昇企業資安防護能力。
一旦確認為惡意程式,將即時找出病毒特徵、整合進雲端資料庫,執行聯合防禦。
▲ 病毒測試可以產生一個eicar.txt,內容為「X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*」,純文字檔當然不會有病毒,只是eicar普遍被登錄在各家防毒軟體的特徵碼中,可以測試惡意程式掃描引擎是否正常運作。
▲ 或直接由eicar.org網站下載。
ATP防火牆具備資安雲端資料庫,可隨時蒐集最新的惡意軟體攻擊資訊,再透過最夯人工智慧機器學習機制,所訓練產生的惡意軟體情資資料庫,累積即時與強大的防護能力,所以隨時renew Licnse才能使ZyWALL ATP100智能防火牆為企業組織提供零時差的APT進階攻擊防禦能力。
ATP100的沙盒特別讓筆者印象深刻,可隨時找出新型態的網路威脅,並透過Zyxel雲端智能技術,能在最短時間內整合雲端資料庫,強化ATP智能防火牆對零時差攻擊的防護能力。可提供更嚴密的傳輸護守,為組織打造安全、安心的網路環境。
SDN(software-defined networking)與UTM防火牆是未來IT界網路與資安發展的兩大重大領域,在UTM防火牆被整合之前,Mail防毒需要一台Sendmail防毒伺服器,網頁過濾需要在Proxy Server安裝WebSense之類的網頁過濾套件,防火牆(Firewall), 入侵偵測(IDS), 入侵防護(IPS)更是一台都不能少,PC與Server端檔案型病毒要安裝防毒軟體用戶端並架設管理伺服器控管與派送程式碼,且常常更新失敗,還有要4G分享器及WIFI Mesh Conrtoller、NAS、路由器、交換器、負載平衡器、光電轉換設備等等族繁不及備載,有時只是需要基本的效能,卻須購買整套昂貴的設備,21世紀的IT管理有了進階型的UTM防火牆,一切由一台集十八般武藝的合勤ZyWALL ATP100智能防火牆便可以涵蓋,使用ATP100之後,身為網管人員的筆者工作效率得以大幅提升,企業組織的資安防護力量也瞬間得到升級,可謂物超所值,值回票價。
§ 使用心得
ATP100的沙盒特別讓筆者印象深刻,可隨時找出新型態的網路威脅,並透過Zyxel雲端智能技術,能在最短時間內整合雲端資料庫,強化ATP智能防火牆對零時差攻擊的防護能力。可提供更嚴密的傳輸護守,為組織打造安全、安心的網路環境。
SDN(software-defined networking)與UTM防火牆是未來IT界網路與資安發展的兩大重大領域,在UTM防火牆被整合之前,Mail防毒需要一台Sendmail防毒伺服器,網頁過濾需要在Proxy Server安裝WebSense之類的網頁過濾套件,防火牆(Firewall), 入侵偵測(IDS), 入侵防護(IPS)更是一台都不能少,PC與Server端檔案型病毒要安裝防毒軟體用戶端並架設管理伺服器控管與派送程式碼,且常常更新失敗,還有要4G分享器及WIFI Mesh Conrtoller、NAS、路由器、交換器、負載平衡器、光電轉換設備等等族繁不及備載,有時只是需要基本的效能,卻須購買整套昂貴的設備,21世紀的IT管理有了進階型的UTM防火牆,一切由一台集十八般武藝的合勤ZyWALL ATP100智能防火牆便可以涵蓋,使用ATP100之後,身為網管人員的筆者工作效率得以大幅提升,企業組織的資安防護力量也瞬間得到升級,可謂物超所值,值回票價。