2021年9月1日 星期三

 Zyxel's The Defenders 全面進化的Zyxel ZyWALL USG FLEX 100 防火牆開箱分享


 § 前言 

繼上次開箱Zyxel ZyWALL ATP100智能防火牆USG FLEX智能防火牆系列,這次又拿到也是專門為中小企業量身打造的Zyxel ZyWALL USG FLEX 100 防火牆,同樣屬於一種進階式UTM防火牆,對於小型辦公室區域網路防護是或者SOHO族也能適用,兩者皆具備智能應用程式管理、入侵防禦與防病毒等多層次過濾, 結合Zyxel資安雲提供的特徵碼(目前已累計數百億筆病毒資 料、並持續擴增中),隨時蒐納全球最新的威脅情資,在高效的硬體之下,即時的情資更新更讓防護更快速準確。能有效保護組織Intranet遭受惡意程式或病毒網頁感染。

新系列USG FLEX防火牆提供卓越的防護效能和更彈性的授權方案,USG FLEX承襲了提供先進的資安防護技術以及完整的授權訂閱方案,讓你能夠隨選訂購且輕鬆擴展多種防護功能。各種加密高速VPN(SSL, IPSec, L2TP/IPSec VPN),支援VPN HA 備援功能。

USG FLEX100與ATP100這兩台機體在外型上相似度達到95%以上,筆者懷疑有些料件還是通用的,但在內部的韌體卻大大地不同,不僅僅是網頁介面上配色與佈局有所不同,採用新的硬體平台設計,將防火牆效能提升1.25倍,並 藉由雲端資料庫進行查詢比對,有效縮減硬體運算負擔,大幅提升 UTM防護效能5倍。Zyxel ZyWALL USG FLEX 100 防火牆還多出了許多嶄新的功能,本文將著重新功能的介紹與功能操作,重當然防火牆的開箱與安裝也是不能少,最後聊聊使用心得與未來展望。


▲ Zyxel ZyWALL USG FLEX100智能防火牆USG FLEX智能防火牆的規格表。


§ 產品開箱 


▲ Zyxel ZyWALL USG FLEX 100 防火牆正面外觀,除了左邊飾板上的機型字樣之外,與USG FLEX100幾乎是無從辨識,外貌也極具有企業風範。防火牆正面有對應的燈號,P2-P6為電界面,P2是WAN Port,P3-P6是LAN/DMZ Port,亮橘燈時是跑1000Mbps,亮黃燈時是跑100Mbps,P1速度視插入的mini-gbic而定,其他各燈號與鍵位都有明顯標示,不致於搞錯。


▲ Zyxel ZyWALL USG FLEX100智能防火牆後側面板所有網路介面一覽,排列上與前側排列方式一致。


▲ 除了Reset到後面變成電源孔與開關,電源是常見的孔距與12V輸入,除了標示清楚不容易誤插,常見的規格也很容易找到代用品。


▲ Zyxel USG FLEX100智能防火牆的兩側有兩排散熱開孔,上下則有一整面的散熱開孔,讓熱氣不至於積在金屬殼內。


▲ 右側說明就再複製貼上一次,P2是WAN Port,P3-P6是LAN/DMZ Port,亮橘燈時是跑1000Mbps,亮黃燈時是跑100Mbps,本來是要拆開機殼看看裡面機板佈局到底跟ATP100有什麼不同,但看到螺絲孔上有Zyxel字樣的易碎貼紙便作罷。


▲ 下方要有兩個壁掛孔才有辦法完全平衡。平擺時可使用背膠防滑腳墊直接貼於於機殼四個角落上,讓使用承板時能夠有效止滑。


▲ 原廠附的兩項主要配件為電源變壓器與RS232 Console線,使用PC連接幾乎都還要自行準備一條網路與韌體工程師必備的USB轉RS232的連接線,裡面也沒有附mini-GBIC transiciver,由於每位消費者的採購需求不同,這倒也合乎情理。


▲ 紙本部分有多國語言的快速啟動導引、註冊指南與一張保固卡。現在網路設備的使用說明書都很簡潔,往往只是用來查閱預設帳號密碼,以及連線方式。


▲ 這兩只文件就不太重要,EU的聲明以及安全警示。

以上就是Zyxel ZyWALL USG FLEX100智能防火牆產品外觀分享,其防火牆與入侵偵測功能非常豐富,下文逐步介紹功能介面與使用心得部分。


▲ 另購一批Zyxel SPF-LX-15A miniGBIC Transeiver 單模光纖模組,這部分不附於防火牆本身,速度高達1000Mbps及最長距離10公里,相對於用過的國外大廠miniGBIC Transeiver,Zyxel的產品CP值非常的高,只要幾百元就能入手。


▲ 以LAN介面登入Zyxel ZyWALL USG FLEX100智能防火牆的Private IP 192.168.1.1。


▲ 其實也不一定要照的精靈步驟來進行,但仍要確認設計的架構合乎TCP/IP的架構與原理,由於是SOHO用途,所以WAN採用CHT光世代網路。上層鏈路直接連接VDSL MODEM,因為有開DHCP,所以插上去WAN埠就直接通了。


▲ 提示ZLD 5.0這次主要的更新有以上幾點,算是一次重大的改版。


▲昨天剛更新了ZLD 5.0,今天又有ZLD 5.02了,強化了帳號管理與SSLVPN部分。


▲ 點擊USG FLEX左邊圖示的最上方一個,在按General可以看到儀表板,裡面有裝置訊息與系統狀態,能監視到即時的CPU、記憶體、Flash Memory、連線中的Session數等等有用資訊,插上自備的4GB隨身碟也能看到USB存儲媒體使用率。Windows終端辨識不到Linux的檔案格式,插在Zyxel ZyWALL USG FLEX 100 防火牆上,再分享出來Windows終端也是一個方法。


▲ 使用VPN也是個連線的方式,各種加密高速VPN(SSL, IPSec, L2TP/IPSec VPN),支援VPN HA 備援功能,確保連線安全穩定。


▲ 加密連線讓遠端工作更安心 USG FLEX提供IPsec,SSL,L2TP/IPsec等多種加密高速VPN連 線類型,保護遠距工作的連網安全。


▲ 零配置VPN(Zeroconfiguration)功能大幅簡化繁複的設定流程。USG FLEX更可以透 過VPN與兩大公有雲Microsoft Azure和Amazon AWS直接連線, 提供便利又安全的網路連線存。


▲ Zyxel ZyWALL USG FLEX 100 防火牆,UTM功能中App Patrol能阻止特定的網路應用程式,例如管理員想要阻擋遠程桌面連線,便可以機油編輯規則來達成。


▲ Zyxel ZyWALL USG FLEX 100 防火牆網路介面中MONITOR之下的system status,琳瑯滿目的資訊可以監看,項目就自己看圖片。


▲ Zyxel ZyWALL USG FLEX 100 防火牆的View AP Log,能看到更完整的紀錄檔。


▲ Zyxel ZyWALL USG FLEX 100 防火牆可以設定的第2至7層協定。


▲ Zyxel ZyWALL USG FLEX 100 防火牆的介面資訊,可以直接針對每一個Port套用個別的Account Profile。


▲ ISP Account設定PPPoE或VPN連線資訊,再套用到Interface上。







▲ Zyxel ZyWALL USG FLEX 100 防火牆上的USB也可以直接連接手機作為WAN Port,台灣的行動網路網路不需要對做任何客製化設定,那是撰寫如NB-IoT程式時才需要了解的,只要把功能打開,就能直接連上各家的行動網路。


▲ 行動網路記得開USB網路可以了,然後在「開發人員選項中」設定一律保持啟用狀態。


▲ 此時此刻USG FLEX儼然成為一台4G分享器,下載經測試達76.06Mbps、上傳也有10.88Mbps,凌晨測試的原故,比上回寫ZyWALL USG FLEX100時的速度要快一點。


▲ 在USG FLEX 100管理介面的最上層最左邊,點擊可以開啟console CLI,ATP100的設定檔長得跟CISCO的 config幾乎一模一樣,更專業與細微的設定要由此進行。


▲ 出現網路風險警告,Zyxel ZyWALL USG FLEX100智能防火牆提供的各種服務必須訂閱才能起作用。

 
▲ 由防火牆的網頁介面跳轉到https://portal.myzyxel.com/進行註冊設備,同時必須申請一個帳號來綑綁。


▲ 這次開箱沒有看到如USG FLEX100免費提供一年不可轉讓的Gold版資安防護授權, 註冊後的訂閱到期日為一個月之後,USG FLEX100結合頂尖情資庫Zyxel資安雲,整合世界各領域尖端資訊安全情資庫,豐富USG FLEX防火牆的防備能力與精準度。提供多種彈性授權方案、隨選訂購 USG FLEX提供多樣且完整的解決方案,預設即有完整UTM資安防護版本可選購,還有專為飯店業設計的訪客連線授權(hotspot), 讓網路管理省錢更方便;同時也可依需求購買單一授權,如網頁安全防護、惡意程式阻擋以及進階版SecuReporter先進雲端智能分析平台等功能。

▲ 惡意程式防護測試可以產生一個eicar.txt,內容為「X5O!P%@AP[4PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*」,純文字檔當然不會有病毒,只是eicar普遍被登錄在各家防毒軟體的特徵碼中,可以測試惡意程式掃描引擎是否正常運作。在特徵碼即時更新之狀況下能有效保護組織Intranet遭受惡意程式或病毒網頁感染,一旦確認為惡意程式,將即時找出病毒特徵、整合進雲端資料庫,執行聯合防禦。


▲ USG FLEX100在IPSec VPN中,支援Ikev1與Ikev2Tunnel,可下載Zyxel VPN Client軟體連線,或者在Windows 10時中也原生支援IPSec、L2TP等 VPN。


▲ 還支援防火牆設備顯少除級的DNS功能,提供了Address/PTR、CNAME、MX Record等等設定能力。


▲ 入侵偵測防禦絕對是USG FLEX100的重頭戲,在筆者管理過的J牌與F廠防火牆機種中,是比較少看到入侵偵測防禦的足跡的。


 
▲ 點選右上角圖式列最左邊一個SecuReporter先進雲端智能分析平台,Zyxel ZyWALL USG FLEX 100 防火牆也能產出清晰易懂的分析報告,化繁為簡將難判讀的log轉變成簡單易懂的圖表化儀表板,協助網路管理員輕鬆掌握網路安全狀況,為公司減輕無形的資安危害成本。SecuReporter還能將攻擊事件的資訊進行關聯性分析,輕鬆追蹤網路異常狀態,預防下一個攻擊事件。 


§ AP測試


▲ AP測試部分,這次也拿到一台802.11ax(WiFi 6)同步雙頻專業整合型無線網路基地台,型號為WAX610D。

▲ 802.11ax(WiFi 6)同步雙頻專業整合型無線網路基地台正面外觀,上方印有ZYXEL商標與一個指示燈,而且這個顏值無論處在辦公室或者客廳都是可以的。

▲ WAX610D背面有放射狀散熱孔,留意有一個螺絲可以提供接地,若有三孔插座可以接上,或者直接鎖在牆壁上,尺寸(寬x深x高)為180x180x39mm,原廠提供三年保固。

▲ WAX610D支援2.4GHz&5GHz雙頻,符合802.11 ax標準,無線網路速度高達2975Mbps(2.4GHz 575Mbps+5GHz 2400Mbps),具有 6 個空間流(5GHz 中的 4x4:4,2.4GHz 中的 2x2:2)、OFDMA 和 MU-MIMO 功能,支援NebulaFlex Pro技術,WAX610D提供2.90 Gbps WiFi傳輸和2.5 Gbps上行乙太網路埠來增強網路容量,LAN則是GE介面,還提供一個蓋子可防止網路線脫落。

▲ 隨盒提供扣具與固定螺絲,可安裝在牆壁或天花板。



▲ WAX610D搭載採用四核心高通處理器,高效能FEM提升50%效能,4G/5G filter降低來自行動訊號的干擾,具備雷殛與靜電保護能力,配備雙情境優化天線,可將無線AP安裝在牆壁或天花板,而不影響性能和覆蓋範圍。

▲ WAX610D支援NebulaFlex Pro技術,提供用戶靈活自由切換單機熱點、無線網路控制器或進階Nebula雲網路(NCC)等三種管理模式。


▲ WAX610D納管於無線網路控制器後,便無法使用單機熱點管理模式。


▲ WAX610D屬於802.11ax (WiFi 6) Dual-Radio Unified Pro Access Point(專業整合型AP),Zyxel ZyWALL USG FLEX 100 防火牆可採Local bridge/Data Tunnel資料傳輸模式管理Unified AP,除了常用的單機熱點管理之外,USG FLEX 100還可當無線AP控制器,集中管理與自動同步更新所有無線網路基地台。

▲ 多國語言的快速啟動導引、安全說明與一張保固卡。很簡短的使用說明書,只要是用來安裝方式說明QR-Code,算是相當節省紙張的方式。
 
經由QR-Code可以得到一個無法使用的FTP網址,筆者還用CLI連進去,想抓檔案但似乎已經被砍了,不過網址讓我們知道檔名,利用檔名google到他的真身。檔案中提供了兩種設定方法,Option A可以連上NCC,但使用Nebula Mobile App掃碼之後,AP就會被NCC抓走,跟我們要使用USG FLEX100來管理的情境有所不同,而Option B屬於單機管理,如果用手機連上初始的SSD,在Android下會瘋狂發出DHCP封包,但根本要不到IP,自行設定又無法儲存,所以也連接不上,必須找到能對IP Layer以上自行設定的終端才行,若WAN有接到internet,打1.1.1.1連線還會連到cloudflare,應該使用Private IP才不致造成混淆。


▲ 筆者的方法是將AP的Uplink接在USG FLEX 100的,並且不要連接Internet,不然等一下Reset後又會被NCC抓走。背面有個RESET孔,用退卡針插入等燈號變色就可以放開,之後不久WAX610D就出現在AP管理列表中了 ,SSID也會被自動更名為Zyxel,這個方法如果經過驗證確實正確,應該寫在Option C之中。


▲ Secure WiFi 對於AP的設定,可以在 Configuration > Wireless > AP Management > Mgmt. AP List > 找到指定的AP,然後編輯AP列表,勾選Remote AP。


▲ 若無Secure WiFi 使用授權,系統會提示訊息並提供到myZyxel訂閱的連結。


▲ 到 Monitor > Wireless > AP Information > AP List > Show Advanced Settings 可以查閱Remote AP的狀態,為了防止因處理大量通道流量而拖垮防火牆,只有 25% 的託管 AP 可以配置為Remote AP。

Secure WiFi是USG FLEX的重頭戲之一,作用是攜帶已設好的AP,內接上網路線就建立VPN連上USG FLEX內網,尤其是現在業務人員出差回國都需要在防疫旅館住上兩週,IT人員又不可能進到防疫旅館協助設定VPN,此時業務人員只需要需帶上已設定好的AP,就可以輕鬆連回公司內部,免除一般繁雜的VPN設定程序。而IT人員也只要如上面講的在NCC或防火牆上勾選此功能即可完成設定,而且減少人與人的接觸,算是順應防疫的趨勢。

 § 使用心得 

Zyxel ZyWALL USG FLEX 100 防火牆採用新的硬體平台設計,搭載四核心高通處理器,同時兼具效能與防護能力,搭配Zyxel資安雲,可隨時蒐集最新的惡意軟體攻擊資訊,再透過最夯人工智慧機器學習機制,所訓練產生的惡意軟體情資資料庫,累積即時與強大的防護能力,故須隨時renew Licnse,才能使ZyWALL USG FLEX100智能防火牆為企業組織提供零時差的UTM進階攻擊防禦能力。

在圖形化分析報表方面,藉由主動式黑名單防護功能,進階版SecuReporter先進雲端智能分析平台中進行統計分析能展現資安威脅等級與趨勢,並啟動主動告警功能,幫助IT管理人員更全方位掌控網路與資訊安全狀態,為公司減輕無形的資安危害成本,提昇企業資安防護能力。

USG FLEX100也支援Mesh管理,在佈線困難的地方,利用多台AP簡化了擴展無線網路的覆蓋範圍,為WDS的AI進階版,稱之為ZyMesh。

SDN(software-defined networking)與UTM防火牆是未來IT界網路與資安發展的兩大重大變革,在網管設備被整合成UTM防火牆之前,Mail防毒需要一台Sendmail防毒伺服器,網頁過濾需要在Proxy Server安裝WebSense之類的網頁過濾套件,防火牆(Firewall)、入侵偵測(IDS)、入侵防護(IPS)更是一台都不能少,PC與Server端檔案型病毒要安裝防毒軟體用戶端並架設管理伺服器控管與派送程式碼,且常常更新失敗,還有要4G分享器及WIFI Mesh Conrtoller、NAS、路由器、交換器、負載平衡器、光電轉換設備等等族繁不及備載,而且還需要一台一台分別管理,這都是IT管理人員在職涯上的最大痛點,有時只是需要基本的效能,卻須購買整套昂貴的設備,更讓吃緊的採購費用雪上加霜。

自動部屬、集中管理與成本節降是當代IT管理的核心主軸,21世紀的網路管理有了進階型的UTM防火牆,一切由一台集十八般武藝的合勤ZyWALL USG FLEX100智能防火牆便可以擔當,使用USG FLEX100之後,身為網管人員的筆者工作效率得以大幅提升,企業組織的資安防護力量也瞬間得到升級,可謂物超所值,值回票價。