Huawei USG 6320. Первый взгляд цисковода

в 7:19, , рубрики: Cisco, huawei, Huawei USG, ngfw, utm, Блог компании CBS, ит-инфраструктура, Сетевые технологии, системное администрирование
Huawei USG 6320. Первый взгляд цисковода - 1

Всё циска, да циска со своим файерпавером. Но вот мы взяли на тест МСЭ от Huawei. Причём модный МСЭ, нового поколения. Посмотрели, пощупали, решили поделиться первыми впечатлениями. Сразу скажу, никаких нагрузочных тестирований мы не проводили, ознакомились только с функциональностью.

К нам в руки попала модель Huawei USG6320. (Не путать с Zywall USG кстати от Zyxel).

Это вторая после самой младшей модели (USG6310) в линейке USG6000 для малого и среднего бизнеса. Немного смущают истории успеха данного решения на сайте производителя:

Huawei USG 6320. Первый взгляд цисковода - 2

Ну да ладно.
Фотка внешнего вида:

Huawei USG 6320. Первый взгляд цисковода - 3

Снаружи 8 Гигабитных портов и консольный порт. Казалось бы, всё просто. Но весёлый сайт e.huawei.com опять предупреждает:

Huawei USG 6320. Первый взгляд цисковода - 4

Так. Порты страдают глухотой? Серьёзно? Как это сказывается на передаче пакетов? Могут не услышать коллизии в среде? Или будут проблемы со Spanning Tree, Listening State – «А? Чаво? BPDU пришла или нет? Повторите, не слышу!». Ну ладно, если что-то пойдёт не так, одолжу у бабушки слуховой аппарат.

Включаем устройство, подключаемся по консоли. После загрузки перед нами командная строка. Вместо conf t – system-view, вместо show – display. Ок, жить можно. Конечно, с незнакомой командной строкой возиться не пристало, хочется поскорее увидеть GUI. Поэтому настраиваем IP-адрес на интерфейсе, проверяем, что к интерфейсу можно подключаться и что web-службы запущены, и открываем браузер.

Команды для проверки

Huawei USG 6320. Первый взгляд цисковода - 5
Huawei USG 6320. Первый взгляд цисковода - 6

Web-интерфейс сразу же любезно предлагает пройти простенький Wizard, для задания начальных параметров экрана: IP-адреса внешнего и внутреннего интерфейса, подключение к провайдеру, DHCP для локальной сети и т.д.

Startup Wizard

Huawei USG 6320. Первый взгляд цисковода - 7

Не забываем поставить галку «Do not display this page upon the next login», иначе Huawei будет любезно предлагать Startup Wizard после каждого подключения к Web-интерфейсу.
Huawei USG 6320. Первый взгляд цисковода - 8

Кстати, как выяснилось, если несколько раз неверно ввести логин/пароль при подключении к устройству (web, ssh, telnet), Huawei обижается минут на 10 и перестаёт с тобой общаться (картинка застенчивого китайца). Честно сказать, сходу найти, как это поведение отключается, у меня не получилось. Ну ладно, может просто сказывается глухота портов.

Обзор графического интерфейса и возможностей устройства

Шутки в сторону, ближе к делу
Сразу отмечу: Web-интерфейс логичный и интуитивно понятный. Работает всё очень быстро, особенно, если сравнивать с тяжеловесным Cisco FMC.

Вверху расположены шесть вкладок: Dashboard, Monitor, Policy, Object, Network, System:
Huawei USG 6320. Первый взгляд цисковода - 9

Вкладка Dashboard. Тут всё понятно. Некоторая инфографика, информация об устройстве, лицензиях, Syslog-сообщения и т.д.

Cкриншоты dashboard

Huawei USG 6320. Первый взгляд цисковода - 10
Huawei USG 6320. Первый взгляд цисковода - 11
Huawei USG 6320. Первый взгляд цисковода - 12

Вкладка Monitor. Здесь можно посмотреть информацию о текущих соединениях, некоторую статистику.

Cкриншоты Monitor

Huawei USG 6320. Первый взгляд цисковода - 13
Huawei USG 6320. Первый взгляд цисковода - 14

Тут же представлены некоторые инструменты диагностики. Приятно, что есть

Packet tracing

Huawei USG 6320. Первый взгляд цисковода - 15

и

Packet capture

Huawei USG 6320. Первый взгляд цисковода - 16

Вкладка Policy. Самая главная вкладка. Здесь консолидируются все политики управления трафиком:

  1. Security Policy – большой список доступа.
    Классическое отображение в табличном виде

    Huawei USG 6320. Первый взгляд цисковода - 17

  2. NAT Policy — все необходимые варианты трансляции IP-адресов: динамический NAT, публикация серверов, NAT-исключения и т.д.
    NAT

    Huawei USG 6320. Первый взгляд цисковода - 18

    Нюанс. Нет возможности настроить Destination NAT. А это бывает иногда полезно. Например, когда по какой-то причине на сервисе намертво «зашит» адрес внешнего ресурса, а этот самый внешний ресурс переезжает на другой IP-адрес. Сталкивались, такое бывает. Ну это мелочи…

  3. Bandwidth Management и Quota Control. Круто, что есть. Весьма востребовано.
  4. Proxy Policy. Можно включить некэширующее проксирование. Устройство умеет проксировать пользовательские запросы, то есть, Huawei становится в разрыв TCP-сессии между клиентом и сервером:
    Huawei USG 6320. Первый взгляд цисковода - 19
    Есть два варианта проксирования: TCP Proxy и SSL Decrypt. Последний вариант – для дешифрации SSL-трафика. Дешифрация работает стандартно, с подменой сертификата. Протестировать не получилось: для SSL Decrypt требуется дополнительная нетриальная лицензия. Причём, политики настроить можно, просто они не работают.

  5. Authentication Policy. Ооо, это одна из моих любимых тем – аутентификация пользователей, интеграция с AD и всё такое. В настройках политик всё просто: выбираем шаблон трафика и говорим, нужно аутентифицировать или нет.
    Auth Policy

    Huawei USG 6320. Первый взгляд цисковода - 20

    Как именно аутентифицировать пользователей настраивается в другой вкладке – Objects – в настройках аутентификационного домена. Но раз в другой вкладке, то и вернёмся к этому вопросу чуть позже.

  6. Остаются Security Protection и ASPF. Подробно останавливаться не буду. Если кратко, в Security Protection включаются различные защиты от DDoS-атак, флудинга, IP Sweep, Port Scanning, дефрагментация, чёрные списки и прочее-прочее-прочее.

    ASPF (application specific packet filter) – это инспекция пакетов на открытие доп сессий через файрвол. Для FTP, SIP, H323 и т.д.

Вкладка Objects. Здесь настраивается всё, что впоследствии применяется в политиках (на вкладке Policy). В частности, всё, что относится к Content Security. Например:

  1. Настройки антивируса
    Screen

    Huawei USG 6320. Первый взгляд цисковода - 21

  2. Настройки IPS
    Screen

    Huawei USG 6320. Первый взгляд цисковода - 22
    Huawei USG 6320. Первый взгляд цисковода - 23

  3. Профиль URL-фильтрации
    Screen

    Huawei USG 6320. Первый взгляд цисковода - 24

  4. Защита электронной почты
    Screen

    Huawei USG 6320. Первый взгляд цисковода - 25

  5. И т. д.

Вкладка Network. Тут настраиваем наши интерфейсы, маршрутизацию и VPN.

Network

Huawei USG 6320. Первый взгляд цисковода - 26

Подробно здесь останавливаться не буду, упомяну только некоторые моменты:

  1. Интерфейсы. По умолчанию все интерфейсы маршрутизируют. Но любой интерфейс можно сделать коммутируемым, настроить как access или как trunk. Можно добавить interface vlan, subinterface, агрегировать порты. В общем, в плане интерфейсов всё очень и очень гибко. Это плюс.
  2. Маршрутизация. Есть PBR, есть варианты балансировки по WAN портам. К статическим маршрутам можно добавлять трекинг. Из динамических протоколов присутствуют RIP, OSPF и BGP.
  3. VPN. Есть L2TP, GRE, DSVPN. Последнее – это аналог DMVPN у циски. Стоп. Но где же IPsec? Где же SSL VPN? Я точно помню, что в бюллетене видел данные по IPsec и SSL VPN. Ок, изучаем руководство пользователя. Находим вот такую фразу:
    The IPSec VPN and SSL VPN functions are not provided in versions shipped to Russia in accordance with Russian laws.
    Ну и дела. Неужели нет вариантов пользоваться этими сервисами в России? — Конечно же есть. Как выяснилось, нам досталась железка с софтов PWE (payload without encryption). То есть, как NPE (no payload encryption) у циски. Чтобы не получать разрешение от ФСБ, ввозятся именно такие устройства. Чтобы запустить шифрование, просто скачивается и устанавливается полноценный софт. Кстати, без проблем можно ввести железку с шифрованием официально — с получением разрешения ФСБ на ввоз. В этом случае просто увеличится время поставки.

Вкладка System. Тут ничего интересного – стандартные системные настройки: время, SNMP, учётки администраторов, логирование, лицензии, апдейты, апгреды и т.д. В общем, описательная часть ограничится скриншотом.

Screen

Huawei USG 6320. Первый взгляд цисковода - 27

Вернёмся к Security Policy и посмотрим их подробнее. Это то место, в котором объединяются все функции устройства. Нажмём Add и посмотрим, что можно настроить в плане фильтрации трафика.

Add Security Policy

Huawei USG 6320. Первый взгляд цисковода - 28

Первые опции – классический файрвол: зоны и IP-адреса. Чуть ниже – Services. Это номера портов. Всё стандартно.

Более интересные опции.

  1. User. Если настроен аутентификационный домен, в этой вкладке можно выбирать существующих пользователей и групп пользователей. В моём примере на устройство подтянута база из корпоративного AD.
    User

    Huawei USG 6320. Первый взгляд цисковода - 29

    Дополнительные опции User -> Access Mode. Если аутентификация осуществляется с помощью стороннего сервера доступа – TSM (Terminal Security Management), можно контролировать пользователей в зависимости от способа их подключения к сети.

    User -> Access Mode

    Huawei USG 6320. Первый взгляд цисковода - 30

    Дополнительные опции User -> Device – указание сервера TSM. Как я понял, TSM – это аналог Cisco ISE. Позволяет внедрять 802.1х, обеспечивает контроль подключения к сети конечного оборудования. Круто.

  2. Application. Необходима для МСЭ нового поколения. Позволяет выбирать различные Интернет-приложения.
    Application

    Huawei USG 6320. Первый взгляд цисковода - 31

    С существующими сигнатурами приложений можно ознакомиться более подробно во вкладке Objects.

    Application List

    Huawei USG 6320. Первый взгляд цисковода - 32

    Видно, что приложения разбиты на категории и ранжированы по степени риска. Есть возможность создавать сигнатуры собственных приложений.
    В глаза бросается обилие специфичных китайских приложений. Вот некоторые весёлые названия:
    Huawei USG 6320. Первый взгляд цисковода - 33
    И действительно, как часто в России мы слышим «У меня не работает WaiHuiTong», или предлагаем начальству посетить DaZhiHui. В общем, эксклюзивный и незаменимый функционал для наших реалий.

  3. Scheduling — ещё одна приятная опция
    Scheduling

    Huawei USG 6320. Первый взгляд цисковода - 34

  4. Остальные опции относятся к обеспечению безопасности контента
    Content Security

    Huawei USG 6320. Первый взгляд цисковода - 35

Как видно, устройство обладает могучим набором инструментов обеспечения контентной безопасности:

  • файловый антивирус;
  • IPS;
  • URL фильтрация;
  • Контроль передачи файлов;
  • Защита от утечки информации;
  • Дополнительный контроль приложений. Это опять же относится к передаче файлов и информации в рамках конкретных приложений.
  • Фильтрация электронной почты, включая встроенный антиспам.

В общем и целом, функциональность устройства очень широкая. Устройство не только прекрасно вписывается под определение МСЭ нового поколения, но и может конкурировать в сегменте UTM. На первый взгляд всё круто. Но на сколько представленная функциональность эффективна, и на сколько качественно отрабатывает каждый модуль – тема более глубоких исследований. Не хочется здесь вдаваться в занудные рассуждения, ведь сейчас речь просто о первых впечатлениях об устройстве.

Немного настроек

Итак, с возможностями Huawei более-менее ознакомились. Перейдём к настройкам и тестам.

Рассмотрим аутентификацию. Как обещал, чуть подробнее остановлюсь на интеграции с AD. Кому интересно, прошу под кат.

Интеграция с AD

Сперва необходимо настроить Authentication Server. Выбираем тип сервера LDAP.
Huawei USG 6320. Первый взгляд цисковода - 36
Задаём параметры LDAP-сервера.
Huawei USG 6320. Первый взгляд цисковода - 37
Кстати, по умолчанию, в поле «User Filtering Field» Huawei предлагает использовать cn. Для моей учётки в СN=Усков Борис. И я был приятно удивлён, что никаких проблем с кириллицей Huawei не испытывает. Кириллица прекрасно отображается в настройках политик. Более того, во время тестирования, когда в процессе аутентификации вводишь в окно login «Усков Борис» — аутентификация проходит успешно. Тем не менее для удобства я заменил поле User Filtering Field на sAMAccountName и стал использовать свой привычный логин из AD.
После заполнения параметров наживаем Detection и проверяем, что связь с LDAP-сервером устанавливается успешно.
Huawei USG 6320. Первый взгляд цисковода - 38
Теперь, когда мы установили связь с LDAP-сервером, мы можем подтянуть каталог пользователей и групп на Huawei, чтобы можно было использовать имена в настройках политик. Это делается в меню User Import на вкладке Server Import.
Huawei USG 6320. Первый взгляд цисковода - 39
Здесь нужно создать профиль импорта пользователей из каталога.
Huawei USG 6320. Первый взгляд цисковода - 40
Остаётся настроить Authentication domain.
Huawei USG 6320. Первый взгляд цисковода - 41
Теперь в меню User/Group и Security Group находятся пользователи из каталога.
Huawei USG 6320. Первый взгляд цисковода - 42
Всё готово. Теперь в настройках Security Policy можно использовать имена пользователей и групп вашего каталога, а в настройках Authentication Policy можно включать аутентификацию.

Итак, мы связаны с AD по LDAP, на устройство подтянуты пользователи из каталога. Теперь посмотрим, какие имеются варианты аутентификации. Это можно сделать в меню Authentication Item.

Authentication Item

Huawei USG 6320. Первый взгляд цисковода - 43

По умолчанию работает активная аутентификация пользователей через встроенный портал. Его можно кастомизировать. Можно использовать сторонний портал для аутентификации.
Активная аутентификация не очень удобна, так как пользователю придётся вводить вручную логин/пароль для доступа в Интернет. Huawei предлагает некоторые варианты Single Sign On (SSO).

SSO Configuration

Huawei USG 6320. Первый взгляд цисковода - 44

Для AD SSO есть два варианта пассивной аутентификации – установить агент на компьютер в домене или на контроллер домена (ну это классика), или прослушивать обмен аутентификационными сообщениями между клиентской машиной и AD. Причём, если аутентификационные пакеты не проходят через Huawei, мы можем зеркалировать этот трафик на выбираемый порт (см. настройку Receive a Copy of Authentication Packets, Receiving Interface на скриншоте выше). Сразу скажу, как эта кухня работает – проверить не успел. Надеюсь, что работает.

Замечу, активная аутентификация с помощью Kerberos/NTLMSSP не поддерживается. Аутентификация терминальных серверов – также не предусмотрена.

Последнее, что хотелось бы отметить в плане аутентификации – удобно просматривать активных пользователей. Это меню Online User.

Online User

Huawei USG 6320. Первый взгляд цисковода - 45

Отсюда можно просмотреть, кто и когда успешно прошёл аутентификацию, к каким группам принадлежит пользователь. Здесь же пользователей можно дисконнектить и лочить.

Проведём тест. Малюсенький тест функций NGFW. И будем закругляться.
Традиционно, проверим возможность блокировки соц. сетей для различных групп пользователей из AD. Создадим в Security Policy два правила: in_out_admins и in_out_users. По первому правилу члены группы AD IT-отдел будут иметь неограниченный доступ в Интернет. По второму правилу – всем оставшимся пользователям запретим URL-категорию соц. сети.

Настройка политик

Сперва активируем все возможные триальные лицензии. Срок – на 2 месяца.
Huawei USG 6320. Первый взгляд цисковода - 46
Далее подключаем устройство к базе URL.
Huawei USG 6320. Первый взгляд цисковода - 47
Теперь настраиваем профиль URL фильтрации, который назовём block_social_nets.
Huawei USG 6320. Первый взгляд цисковода - 48
Сейчас всё готово к настройке двух Security Policy.
Huawei USG 6320. Первый взгляд цисковода - 49
Huawei USG 6320. Первый взгляд цисковода - 50
Всё готово.

Проверяем, что получилось. Открываем браузер на ноуте за Huawei и идём на ya.ru. Нас перенаправляют на портал аутентификации:
Huawei USG 6320. Первый взгляд цисковода - 51
Входим сперва под учёткой обычного пользователя (не IT-отдел) и проверяем доступность соц. сетей (должны блокироваться).
Huawei USG 6320. Первый взгляд цисковода - 52
Урра, vk.com блокируется. Конечно, End-User-Notification максимально аскетичен, но всё же.

Huawei USG 6320. Первый взгляд цисковода - 53
Всё ок, полёт нормальный.
Так, теперь facebook.com:

Huawei USG 6320. Первый взгляд цисковода - 54

Эх, ну что ж ты, родной…
То же самое с hi5.com.
Huawei USG 6320. Первый взгляд цисковода - 55

Ну вот, есть очевидные промахи. Ну мы не отчаиваемся. А что, если добавить блокировку соц. сетей не только как URL категории, но и как Интернет-приложения. Пробуем. Добавляем политику в Security Policy.

Add Policy

Huawei USG 6320. Первый взгляд цисковода - 56

Пробуем ещё раз. Уууваля, доступ к facebook.com и hi5.com пропадает:
Huawei USG 6320. Первый взгляд цисковода - 57
Правда, End-User-Notification тоже не отображается… Ну ничего, ну ладно, переживём.

Теперь пробуем зайти под другой учёткой. В этот раз из IT-отдела. По сценарию доступ к соц. сетям должен появиться, если Huawei не напутает членство в группах. Сперва дисконнектим текущего пользователя.
Huawei USG 6320. Первый взгляд цисковода - 58

Снова проходим аутентификацию на портале. Пробуем vk.com, facebook.com и т.д.:
Huawei USG 6320. Первый взгляд цисковода - 59

Ну, всё круто, доступ работает!

Что не понравилось

Было бы здорово увидеть на Huawei пользовательские сессии: кто куда ходит, какие URL посещает, почему сессия блокируется и т.д. Но единственное, что я увидел – это Session Table на вкладке Monitoring:

Session Table

Huawei USG 6320. Первый взгляд цисковода - 60

Эта таблица неинформативна. На ней только IP-адреса, порты, зоны, работа NAT и название политики, под которую транзакция попадает. Нет ни имён пользователей, ни URL, ни категорий, ни приложений. Нет даже колонки Action! То есть не понятно, была ли разрешена транзакция или отброшена. Поиск по таблице, само собой, такой же никчёмный.

Не-не, я прекрасно понимаю, всю эту информацию можно собрать из таблиц пользователей, из сислог-сообщений и т.д. Но всё равно, NGFW без встроенного средства анализа событий и построения хоть каких-то отчётов – мне кажется это не серьёзно.

Мы стали выяснять. Нам объяснили, что у двух младших моделей линейки (USG6310 и USG6320) встроенного средства мониторинга действительно нет. Эти модели позиционируются для филиалов. А мониторинг должен быть в центре. В виде отдельной системы мониторинга и управления LogCenter, модуль eSight. Туда можно слать все логи и оттуда делать централизованные отчёты по трафику, пользователям, URL и т.д.

У более старших моделей, начиная с USG6330, есть полноценный встроенный мониторинг. Только устройство должно быть оснащено HDD для хранения логов. Как пример, нам прислали скриншот вкладки Monitoring:

Screen

Huawei USG 6320. Первый взгляд цисковода - 61

Чо почём?

Железка, которую мы мучали, стоит 1 202 $.
Бандл, включающий устройство и лицензии-подписки на 1 год IPS-AV-URL обойдётся в 1 586 $.
Интересный момент схемы лицензирования. Чтобы открыть оставшиеся опции, а именно, безопасность контента (контроль файлов, DLP, антиспам, SSL-дешифрация) нужна лицензия LIC-CONTENT, стоимость которой составляет 1 цент. Как нам объяснили, это тоже связано с экспортными ограничениями в различных странах. Например, в Корее ограничено использование SSL дешифрации.

Безусловно, лицензии-подписки IPS, AV, URL есть отдельными позициями, на 1 или 3 года. Отдельные позиции на SSL VPN.

Самая младшая железка USG 6310 обойдётся в 809 $.
Бандл IPS-AV-URL — 1 193 $.

Железка постарше — USG6330 - 2 268 $.
Бандл IPS-AV-URL — 2 997 $.
Плюс, для полноценного мониторинга потребуется HDD. На 300 ГБ — 494 $, На 600 ГБ — 555 $.

Все цены указаны RPL, без скидок.

Заключение

Итак, Huawei USG6320. Плюсы:

  • Удобный интуитивно понятный и быстрый Web-интерфейс;
  • Функциональность:
    • Гибкие возможности настройки интерфейсов, маршрутизации;
    • Широкий скоп функциональности контентной безопасности;
    • Различные варианты аутентификации пользователей.

Минусы:

  • Отсутствие встроенных средств мониторинга и отчётов. Актуально только для младших моделей USG6310 и USG6320.

Нюансы. Как обычно, дьявол кроется в деталях. Да, функциональность очень широка. Но, если начнём копать глубже по каждому модулю, будут вылезать нюансы. Вот примеры:

  • URL фильтрация. На простейшем тесте вылезли недочёты: facebook.com и hi5.com блокируются, только с помощью фильтрации приложений. При этом, теряем End-User-Notification.
  • Аутентификация. Нет Kerberos, NTLMSSP, не поддерживается аутентификация терминальных серверов.
  • IPS. Да, есть сигнатуры. Есть преднастроенные политики – некоторые обобщённые рекомендации для сети. Но Huawei не собирает информацию о вашей сети. Соответственно, не может корректировать политики под конкретные задачи, обеспечивать снижение False Negative, False Positive. Я уже не говорю о корреляции событий.
  • Фильтрация электронной почты. Антиспам. На деле речь о чёрно-белых списках, и антиспам-движке, который работает по принципу вкл/выкл. Репутации отправителей? Пользовательский карантин? Проверка приложений? Нет-нет-нет. Я думаю, не один здравомыслящий администратор не поставил бы Huawei USG как единственное средство защиты корпоративного почтовика.
  • и т. д.

Но всё это не так страшно. У конкурентов всё то же самое. Какие-то функции отрабатывают очень чётко, какие-то добавлены к устройству чисто номинально.

В итоге, первое впечатление позитивное. Решение вполне может конкурировать, причём, как в сегменте NGFW, так и в UTM.

Автор: CBS

Источник

Поделиться

* - обязательные к заполнению поля