- PVSM.RU - https://www.pvsm.ru -
Всё циска, да циска со своим файерпавером. Но вот мы взяли на тест МСЭ от Huawei. Причём модный МСЭ, нового поколения. Посмотрели, пощупали, решили поделиться первыми впечатлениями. Сразу скажу, никаких нагрузочных тестирований мы не проводили, ознакомились только с функциональностью.
К нам в руки попала модель Huawei USG6320. (Не путать с Zywall USG кстати от Zyxel).
Это вторая после самой младшей модели (USG6310) в линейке USG6000 для малого и среднего бизнеса. Немного смущают истории успеха данного решения на сайте производителя:
Ну да ладно.
Фотка внешнего вида:
Снаружи 8 Гигабитных портов и консольный порт. Казалось бы, всё просто. Но весёлый сайт e.huawei.com [1] опять предупреждает:
Так. Порты страдают глухотой? Серьёзно? Как это сказывается на передаче пакетов? Могут не услышать коллизии в среде? Или будут проблемы со Spanning Tree, Listening State – «А? Чаво? BPDU пришла или нет? Повторите, не слышу!». Ну ладно, если что-то пойдёт не так, одолжу у бабушки слуховой аппарат.
Включаем устройство, подключаемся по консоли. После загрузки перед нами командная строка. Вместо conf t – system-view, вместо show – display. Ок, жить можно. Конечно, с незнакомой командной строкой возиться не пристало, хочется поскорее увидеть GUI. Поэтому настраиваем IP-адрес на интерфейсе, проверяем, что к интерфейсу можно подключаться и что web-службы запущены, и открываем браузер.
Web-интерфейс сразу же любезно предлагает пройти простенький Wizard, для задания начальных параметров экрана: IP-адреса внешнего и внутреннего интерфейса, подключение к провайдеру, DHCP для локальной сети и т.д.
Не забываем поставить галку «Do not display this page upon the next login», иначе Huawei будет любезно предлагать Startup Wizard после каждого подключения к Web-интерфейсу.
Кстати, как выяснилось, если несколько раз неверно ввести логин/пароль при подключении к устройству (web, ssh, telnet), Huawei обижается минут на 10 и перестаёт с тобой общаться (картинка застенчивого китайца). Честно сказать, сходу найти, как это поведение отключается, у меня не получилось. Ну ладно, может просто сказывается глухота портов.
Шутки в сторону, ближе к делу
Сразу отмечу: Web-интерфейс логичный и интуитивно понятный. Работает всё очень быстро, особенно, если сравнивать с тяжеловесным Cisco FMC.
Вверху расположены шесть вкладок: Dashboard, Monitor, Policy, Object, Network, System:
Вкладка Dashboard. Тут всё понятно. Некоторая инфографика, информация об устройстве, лицензиях, Syslog-сообщения и т.д.
Вкладка Monitor. Здесь можно посмотреть информацию о текущих соединениях, некоторую статистику.
Тут же представлены некоторые инструменты диагностики. Приятно, что есть
и
Вкладка Policy. Самая главная вкладка. Здесь консолидируются все политики управления трафиком:
Нюанс. Нет возможности настроить Destination NAT. А это бывает иногда полезно. Например, когда по какой-то причине на сервисе намертво «зашит» адрес внешнего ресурса, а этот самый внешний ресурс переезжает на другой IP-адрес. Сталкивались, такое бывает. Ну это мелочи…
Как именно аутентифицировать пользователей настраивается в другой вкладке – Objects – в настройках аутентификационного домена. Но раз в другой вкладке, то и вернёмся к этому вопросу чуть позже.
ASPF (application specific packet filter) – это инспекция пакетов на открытие доп сессий через файрвол. Для FTP, SIP, H323 и т.д.
Вкладка Objects. Здесь настраивается всё, что впоследствии применяется в политиках (на вкладке Policy). В частности, всё, что относится к Content Security. Например:
Вкладка Network. Тут настраиваем наши интерфейсы, маршрутизацию и VPN.
Подробно здесь останавливаться не буду, упомяну только некоторые моменты:
Вкладка System. Тут ничего интересного – стандартные системные настройки: время, SNMP, учётки администраторов, логирование, лицензии, апдейты, апгреды и т.д. В общем, описательная часть ограничится скриншотом.
Вернёмся к Security Policy и посмотрим их подробнее. Это то место, в котором объединяются все функции устройства. Нажмём Add и посмотрим, что можно настроить в плане фильтрации трафика.
Первые опции – классический файрвол: зоны и IP-адреса. Чуть ниже – Services. Это номера портов. Всё стандартно.
Более интересные опции.
Дополнительные опции User -> Access Mode. Если аутентификация осуществляется с помощью стороннего сервера доступа – TSM (Terminal Security Management), можно контролировать пользователей в зависимости от способа их подключения к сети.
Дополнительные опции User -> Device – указание сервера TSM. Как я понял, TSM – это аналог Cisco ISE. Позволяет внедрять 802.1х, обеспечивает контроль подключения к сети конечного оборудования. Круто.
С существующими сигнатурами приложений можно ознакомиться более подробно во вкладке Objects.
Видно, что приложения разбиты на категории и ранжированы по степени риска. Есть возможность создавать сигнатуры собственных приложений.
В глаза бросается обилие специфичных китайских приложений. Вот некоторые весёлые названия:
И действительно, как часто в России мы слышим «У меня не работает WaiHuiTong», или предлагаем начальству посетить DaZhiHui. В общем, эксклюзивный и незаменимый функционал для наших реалий.
Как видно, устройство обладает могучим набором инструментов обеспечения контентной безопасности:
В общем и целом, функциональность устройства очень широкая. Устройство не только прекрасно вписывается под определение МСЭ нового поколения, но и может конкурировать в сегменте UTM. На первый взгляд всё круто. Но на сколько представленная функциональность эффективна, и на сколько качественно отрабатывает каждый модуль – тема более глубоких исследований. Не хочется здесь вдаваться в занудные рассуждения, ведь сейчас речь просто о первых впечатлениях об устройстве.
Итак, с возможностями Huawei более-менее ознакомились. Перейдём к настройкам и тестам.
Рассмотрим аутентификацию. Как обещал, чуть подробнее остановлюсь на интеграции с AD. Кому интересно, прошу под кат.
Итак, мы связаны с AD по LDAP, на устройство подтянуты пользователи из каталога. Теперь посмотрим, какие имеются варианты аутентификации. Это можно сделать в меню Authentication Item.
По умолчанию работает активная аутентификация пользователей через встроенный портал. Его можно кастомизировать. Можно использовать сторонний портал для аутентификации.
Активная аутентификация не очень удобна, так как пользователю придётся вводить вручную логин/пароль для доступа в Интернет. Huawei предлагает некоторые варианты Single Sign On (SSO).
Для AD SSO есть два варианта пассивной аутентификации – установить агент на компьютер в домене или на контроллер домена (ну это классика), или прослушивать обмен аутентификационными сообщениями между клиентской машиной и AD. Причём, если аутентификационные пакеты не проходят через Huawei, мы можем зеркалировать этот трафик на выбираемый порт (см. настройку Receive a Copy of Authentication Packets, Receiving Interface на скриншоте выше). Сразу скажу, как эта кухня работает – проверить не успел. Надеюсь, что работает.
Замечу, активная аутентификация с помощью Kerberos/NTLMSSP не поддерживается. Аутентификация терминальных серверов – также не предусмотрена.
Последнее, что хотелось бы отметить в плане аутентификации – удобно просматривать активных пользователей. Это меню Online User.
Отсюда можно просмотреть, кто и когда успешно прошёл аутентификацию, к каким группам принадлежит пользователь. Здесь же пользователей можно дисконнектить и лочить.
Проведём тест. Малюсенький тест функций NGFW. И будем закругляться.
Традиционно, проверим возможность блокировки соц. сетей для различных групп пользователей из AD. Создадим в Security Policy два правила: in_out_admins и in_out_users. По первому правилу члены группы AD IT-отдел будут иметь неограниченный доступ в Интернет. По второму правилу – всем оставшимся пользователям запретим URL-категорию соц. сети.
Проверяем, что получилось. Открываем браузер на ноуте за Huawei и идём на ya.ru. Нас перенаправляют на портал аутентификации:
Входим сперва под учёткой обычного пользователя (не IT-отдел) и проверяем доступность соц. сетей (должны блокироваться).
Урра, vk.com блокируется. Конечно, End-User-Notification максимально аскетичен, но всё же.
Всё ок, полёт нормальный.
Так, теперь facebook.com:
Эх, ну что ж ты, родной…
То же самое с hi5.com.
Ну вот, есть очевидные промахи. Ну мы не отчаиваемся. А что, если добавить блокировку соц. сетей не только как URL категории, но и как Интернет-приложения. Пробуем. Добавляем политику в Security Policy.
Пробуем ещё раз. Уууваля, доступ к facebook.com и hi5.com пропадает:
Правда, End-User-Notification тоже не отображается… Ну ничего, ну ладно, переживём.
Теперь пробуем зайти под другой учёткой. В этот раз из IT-отдела. По сценарию доступ к соц. сетям должен появиться, если Huawei не напутает членство в группах. Сперва дисконнектим текущего пользователя.
Снова проходим аутентификацию на портале. Пробуем vk.com, facebook.com и т.д.:
Ну, всё круто, доступ работает!
Было бы здорово увидеть на Huawei пользовательские сессии: кто куда ходит, какие URL посещает, почему сессия блокируется и т.д. Но единственное, что я увидел – это Session Table на вкладке Monitoring:
Эта таблица неинформативна. На ней только IP-адреса, порты, зоны, работа NAT и название политики, под которую транзакция попадает. Нет ни имён пользователей, ни URL, ни категорий, ни приложений. Нет даже колонки Action! То есть не понятно, была ли разрешена транзакция или отброшена. Поиск по таблице, само собой, такой же никчёмный.
Не-не, я прекрасно понимаю, всю эту информацию можно собрать из таблиц пользователей, из сислог-сообщений и т.д. Но всё равно, NGFW без встроенного средства анализа событий и построения хоть каких-то отчётов – мне кажется это не серьёзно.
Мы стали выяснять. Нам объяснили, что у двух младших моделей линейки (USG6310 и USG6320) встроенного средства мониторинга действительно нет. Эти модели позиционируются для филиалов. А мониторинг должен быть в центре. В виде отдельной системы мониторинга и управления LogCenter, модуль eSight. Туда можно слать все логи и оттуда делать централизованные отчёты по трафику, пользователям, URL и т.д.
У более старших моделей, начиная с USG6330, есть полноценный встроенный мониторинг. Только устройство должно быть оснащено HDD для хранения логов. Как пример, нам прислали скриншот вкладки Monitoring:
Железка, которую мы мучали, стоит 1 202 $.
Бандл, включающий устройство и лицензии-подписки на 1 год IPS-AV-URL обойдётся в 1 586 $.
Интересный момент схемы лицензирования. Чтобы открыть оставшиеся опции, а именно, безопасность контента (контроль файлов, DLP, антиспам, SSL-дешифрация) нужна лицензия LIC-CONTENT, стоимость которой составляет 1 цент. Как нам объяснили, это тоже связано с экспортными ограничениями в различных странах. Например, в Корее ограничено использование SSL дешифрации.
Безусловно, лицензии-подписки IPS, AV, URL есть отдельными позициями, на 1 или 3 года. Отдельные позиции на SSL VPN.
Самая младшая железка USG 6310 обойдётся в 809 $.
Бандл IPS-AV-URL — 1 193 $.
Железка постарше — USG6330 - 2 268 $.
Бандл IPS-AV-URL — 2 997 $.
Плюс, для полноценного мониторинга потребуется HDD. На 300 ГБ — 494 $, На 600 ГБ — 555 $.
Все цены указаны RPL, без скидок.
Итак, Huawei USG6320. Плюсы:
Минусы:
Нюансы. Как обычно, дьявол кроется в деталях. Да, функциональность очень широка. Но, если начнём копать глубже по каждому модулю, будут вылезать нюансы. Вот примеры:
Но всё это не так страшно. У конкурентов всё то же самое. Какие-то функции отрабатывают очень чётко, какие-то добавлены к устройству чисто номинально.
В итоге, первое впечатление позитивное. Решение вполне может конкурировать, причём, как в сегменте NGFW, так и в UTM.
Автор: CBS
Источник [2]
Сайт-источник PVSM.RU: https://www.pvsm.ru
Путь до страницы источника: https://www.pvsm.ru/it-infrastruktura/251058
Ссылки в тексте:
[1] e.huawei.com: http://e.huawei.com
[2] Источник: https://habrahabr.ru/post/324558/
Нажмите здесь для печати.