Huawei USG 6320. Первый взгляд цисковода
Всё циска, да циска со своим файерпавером. Но вот мы взяли на тест МСЭ от Huawei. Причём модный МСЭ, нового поколения. Посмотрели, пощупали, решили поделиться первыми впечатлениями. Сразу скажу, никаких нагрузочных тестирований мы не проводили, ознакомились только с функциональностью.
К нам в руки попала модель Huawei USG6320. (Не путать с Zywall USG кстати от Zyxel).
Это вторая после самой младшей модели (USG6310) в линейке USG6000 для малого и среднего бизнеса. Немного смущают истории успеха данного решения на сайте производителя:
Ну да ладно.
Фотка внешнего вида:
Снаружи 8 Гигабитных портов и консольный порт. Казалось бы, всё просто. Но весёлый сайт e.huawei.com опять предупреждает:
Так. Порты страдают глухотой? Серьёзно? Как это сказывается на передаче пакетов? Могут не услышать коллизии в среде? Или будут проблемы со Spanning Tree, Listening State – «А? Чаво? BPDU пришла или нет? Повторите, не слышу!». Ну ладно, если что-то пойдёт не так, одолжу у бабушки слуховой аппарат.
Включаем устройство, подключаемся по консоли. После загрузки перед нами командная строка. Вместо conf t – system-view, вместо show – display. Ок, жить можно. Конечно, с незнакомой командной строкой возиться не пристало, хочется поскорее увидеть GUI. Поэтому настраиваем IP-адрес на интерфейсе, проверяем, что к интерфейсу можно подключаться и что web-службы запущены, и открываем браузер.
Команды для проверки
Web-интерфейс сразу же любезно предлагает пройти простенький Wizard, для задания начальных параметров экрана: IP-адреса внешнего и внутреннего интерфейса, подключение к провайдеру, DHCP для локальной сети и т.д.
Startup Wizard
Не забываем поставить галку «Do not display this page upon the next login», иначе Huawei будет любезно предлагать Startup Wizard после каждого подключения к Web-интерфейсу.
Кстати, как выяснилось, если несколько раз неверно ввести логин/пароль при подключении к устройству (web, ssh, telnet), Huawei обижается минут на 10 и перестаёт с тобой общаться (картинка застенчивого китайца). Честно сказать, сходу найти, как это поведение отключается, у меня не получилось. Ну ладно, может просто сказывается глухота портов.
Обзор графического интерфейса и возможностей устройства
Шутки в сторону, ближе к делу. Сразу отмечу: Web-интерфейс логичный и интуитивно понятный. Работает всё очень быстро, особенно, если сравнивать с тяжеловесным Cisco FMC.
Вверху расположены шесть вкладок: Dashboard, Monitor, Policy, Object, Network, System:
Вкладка Dashboard. Тут всё понятно. Некоторая инфографика, информация об устройстве, лицензиях, Syslog-сообщения и т.д.
Cкриншоты dashboard
Вкладка Monitor. Здесь можно посмотреть информацию о текущих соединениях, некоторую статистику.
Cкриншоты Monitor
Тут же представлены некоторые инструменты диагностики. Приятно, что есть
Packet tracing
и
Packet capture
Вкладка Policy. Самая главная вкладка. Здесь консолидируются все политики управления трафиком:
-
Security Policy – большой список доступа.
Классическое отображение в табличном виде
-
NAT Policy — все необходимые варианты трансляции IP-адресов: динамический NAT, публикация серверов, NAT-исключения и т.д.
NAT
Нюанс. Нет возможности настроить Destination NAT. А это бывает иногда полезно. Например, когда по какой-то причине на сервисе намертво «зашит» адрес внешнего ресурса, а этот самый внешний ресурс переезжает на другой IP-адрес. Сталкивались, такое бывает. Ну это мелочи…
-
Bandwidth Management и Quota Control. Круто, что есть. Весьма востребовано.
-
Proxy Policy. Можно включить некэширующее проксирование. Устройство умеет проксировать пользовательские запросы, то есть, Huawei становится в разрыв TCP-сессии между клиентом и сервером:
Есть два варианта проксирования: TCP Proxy и SSL Decrypt. Последний вариант – для дешифрации SSL-трафика. Дешифрация работает стандартно, с подменой сертификата. Протестировать не получилось: для SSL Decrypt требуется дополнительная нетриальная лицензия. Причём, политики настроить можно, просто они не работают.
-
Authentication Policy. Ооо, это одна из моих любимых тем – аутентификация пользователей, интеграция с AD и всё такое. В настройках политик всё просто: выбираем шаблон трафика и говорим, нужно аутентифицировать или нет.
Auth Policy
Как именно аутентифицировать пользователей настраивается в другой вкладке – Objects – в настройках аутентификационного домена. Но раз в другой вкладке, то и вернёмся к этому вопросу чуть позже.
- Остаются Security Protection и ASPF. Подробно останавливаться не буду. Если кратко, в Security Protection включаются различные защиты от DDoS-атак, флудинга, IP Sweep, Port Scanning, дефрагментация, чёрные списки и прочее-прочее-прочее.
ASPF (application specific packet filter) – это инспекция пакетов на открытие доп сессий через файрвол. Для FTP, SIP, H323 и т.д.
Вкладка Objects. Здесь настраивается всё, что впоследствии применяется в политиках (на вкладке Policy). В частности, всё, что относится к Content Security. Например:
-
Настройки антивирусаScreen
-
Настройки IPSScreen
-
Профиль URL-фильтрацииScreen
-
Защита электронной почтыScreen
- И т. д.
Вкладка Network. Тут настраиваем наши интерфейсы, маршрутизацию и VPN.
Network
Подробно здесь останавливаться не буду, упомяну только некоторые моменты:-
Интерфейсы. По умолчанию все интерфейсы маршрутизируют. Но любой интерфейс можно сделать коммутируемым, настроить как access или как trunk. Можно добавить interface vlan, subinterface, агрегировать порты. В общем, в плане интерфейсов всё очень и очень гибко. Это плюс.
-
Маршрутизация. Есть PBR, есть варианты балансировки по WAN портам. К статическим маршрутам можно добавлять трекинг. Из динамических протоколов присутствуют RIP, OSPF и BGP.
-
VPN. Есть L2TP, GRE, DSVPN. Последнее – это аналог DMVPN у циски. Стоп. Но где же IPsec? Где же SSL VPN? Я точно помню, что в бюллетене видел данные по IPsec и SSL VPN. Ок, изучаем руководство пользователя. Находим вот такую фразу:
The IPSec VPN and SSL VPN functions are not provided in versions shipped to Russia in accordance with Russian laws.
Ну и дела. Неужели нет вариантов пользоваться этими сервисами в России? — Конечно же есть. Как выяснилось, нам досталась железка с софтов PWE (payload without encryption). То есть, как NPE (no payload encryption) у циски. Чтобы не получать разрешение от ФСБ, ввозятся именно такие устройства. Чтобы запустить шифрование, просто скачивается и устанавливается полноценный софт. Кстати, без проблем можно ввести железку с шифрованием официально — с получением разрешения ФСБ на ввоз. В этом случае просто увеличится время поставки.
Вкладка System. Тут ничего интересного – стандартные системные настройки: время, SNMP, учётки администраторов, логирование, лицензии, апдейты, апгреды и т.д. В общем, описательная часть ограничится скриншотом.
Screen
Вернёмся к Security Policy и посмотрим их подробнее. Это то место, в котором объединяются все функции устройства. Нажмём Add и посмотрим, что можно настроить в плане фильтрации трафика.
Add Security Policy
Первые опции – классический файрвол: зоны и IP-адреса. Чуть ниже – Services. Это номера портов. Всё стандартно.
Более интересные опции.
-
User. Если настроен аутентификационный домен, в этой вкладке можно выбирать существующих пользователей и групп пользователей. В моём примере на устройство подтянута база из корпоративного AD.
User
Дополнительные опции User -> Access Mode. Если аутентификация осуществляется с помощью стороннего сервера доступа – TSM (Terminal Security Management), можно контролировать пользователей в зависимости от способа их подключения к сети.
User → Access Mode
Дополнительные опции User → Device – указание сервера TSM. Как я понял, TSM – это аналог Cisco ISE. Позволяет внедрять 802.1х, обеспечивает контроль подключения к сети конечного оборудования. Круто.
-
Application. Необходима для МСЭ нового поколения. Позволяет выбирать различные Интернет-приложения.
Application
С существующими сигнатурами приложений можно ознакомиться более подробно во вкладке Objects.
Application List
Видно, что приложения разбиты на категории и ранжированы по степени риска. Есть возможность создавать сигнатуры собственных приложений.
В глаза бросается обилие специфичных китайских приложений. Вот некоторые весёлые названия:
И действительно, как часто в России мы слышим «У меня не работает WaiHuiTong», или предлагаем начальству посетить DaZhiHui. В общем, эксклюзивный и незаменимый функционал для наших реалий.
-
Scheduling — ещё одна приятная опция
Scheduling
-
Остальные опции относятся к обеспечению безопасности контента
Content Security
Как видно, устройство обладает могучим набором инструментов обеспечения контентной безопасности:
- файловый антивирус;
- IPS;
- URL фильтрация;
- Контроль передачи файлов;
- Защита от утечки информации;
- Дополнительный контроль приложений. Это опять же относится к передаче файлов и информации в рамках конкретных приложений.
- Фильтрация электронной почты, включая встроенный антиспам.
В общем и целом, функциональность устройства очень широкая. Устройство не только прекрасно вписывается под определение МСЭ нового поколения, но и может конкурировать в сегменте UTM. На первый взгляд всё круто. Но на сколько представленная функциональность эффективна, и на сколько качественно отрабатывает каждый модуль – тема более глубоких исследований. Не хочется здесь вдаваться в занудные рассуждения, ведь сейчас речь просто о первых впечатлениях об устройстве.
Немного настроек
Итак, с возможностями Huawei более-менее ознакомились. Перейдём к настройкам и тестам.
Рассмотрим аутентификацию. Как обещал, чуть подробнее остановлюсь на интеграции с AD. Кому интересно, прошу под кат.
Интеграция с AD
Сперва необходимо настроить Authentication Server. Выбираем тип сервера LDAP.
Задаём параметры LDAP-сервера.
Кстати, по умолчанию, в поле «User Filtering Field» Huawei предлагает использовать cn. Для моей учётки в СN=Усков Борис. И я был приятно удивлён, что никаких проблем с кириллицей Huawei не испытывает. Кириллица прекрасно отображается в настройках политик. Более того, во время тестирования, когда в процессе аутентификации вводишь в окно login «Усков Борис» — аутентификация проходит успешно. Тем не менее для удобства я заменил поле User Filtering Field на sAMAccountName и стал использовать свой привычный логин из AD.
После заполнения параметров наживаем Detection и проверяем, что связь с LDAP-сервером устанавливается успешно.
Теперь, когда мы установили связь с LDAP-сервером, мы можем подтянуть каталог пользователей и групп на Huawei, чтобы можно было использовать имена в настройках политик. Это делается в меню User Import на вкладке Server Import.
Здесь нужно создать профиль импорта пользователей из каталога.
Остаётся настроить Authentication domain.
Теперь в меню User/Group и Security Group находятся пользователи из каталога.
Всё готово. Теперь в настройках Security Policy можно использовать имена пользователей и групп вашего каталога, а в настройках Authentication Policy можно включать аутентификацию.
Задаём параметры LDAP-сервера.
Кстати, по умолчанию, в поле «User Filtering Field» Huawei предлагает использовать cn. Для моей учётки в СN=Усков Борис. И я был приятно удивлён, что никаких проблем с кириллицей Huawei не испытывает. Кириллица прекрасно отображается в настройках политик. Более того, во время тестирования, когда в процессе аутентификации вводишь в окно login «Усков Борис» — аутентификация проходит успешно. Тем не менее для удобства я заменил поле User Filtering Field на sAMAccountName и стал использовать свой привычный логин из AD.
После заполнения параметров наживаем Detection и проверяем, что связь с LDAP-сервером устанавливается успешно.
Теперь, когда мы установили связь с LDAP-сервером, мы можем подтянуть каталог пользователей и групп на Huawei, чтобы можно было использовать имена в настройках политик. Это делается в меню User Import на вкладке Server Import.
Здесь нужно создать профиль импорта пользователей из каталога.
Остаётся настроить Authentication domain.
Теперь в меню User/Group и Security Group находятся пользователи из каталога.
Всё готово. Теперь в настройках Security Policy можно использовать имена пользователей и групп вашего каталога, а в настройках Authentication Policy можно включать аутентификацию.
Итак, мы связаны с AD по LDAP, на устройство подтянуты пользователи из каталога. Теперь посмотрим, какие имеются варианты аутентификации. Это можно сделать в меню Authentication Item.
Authentication Item
По умолчанию работает активная аутентификация пользователей через встроенный портал. Его можно кастомизировать. Можно использовать сторонний портал для аутентификации.
Активная аутентификация не очень удобна, так как пользователю придётся вводить вручную логин/пароль для доступа в Интернет. Huawei предлагает некоторые варианты Single Sign On (SSO).
SSO Configuration
Для AD SSO есть два варианта пассивной аутентификации – установить агент на компьютер в домене или на контроллер домена (ну это классика), или прослушивать обмен аутентификационными сообщениями между клиентской машиной и AD. Причём, если аутентификационные пакеты не проходят через Huawei, мы можем зеркалировать этот трафик на выбираемый порт (см. настройку Receive a Copy of Authentication Packets, Receiving Interface на скриншоте выше). Сразу скажу, как эта кухня работает – проверить не успел. Надеюсь, что работает.
Замечу, активная аутентификация с помощью Kerberos/NTLMSSP не поддерживается. Аутентификация терминальных серверов – также не предусмотрена.
Последнее, что хотелось бы отметить в плане аутентификации – удобно просматривать активных пользователей. Это меню Online User.
Online User
Отсюда можно просмотреть, кто и когда успешно прошёл аутентификацию, к каким группам принадлежит пользователь. Здесь же пользователей можно дисконнектить и лочить.
Проведём тест. Малюсенький тест функций NGFW. И будем закругляться.
Традиционно, проверим возможность блокировки соц. сетей для различных групп пользователей из AD. Создадим в Security Policy два правила: in_out_admins и in_out_users. По первому правилу члены группы AD IT-отдел будут иметь неограниченный доступ в Интернет. По второму правилу – всем оставшимся пользователям запретим URL-категорию соц. сети.
Настройка политик
Сперва активируем все возможные триальные лицензии. Срок – на 2 месяца.
Далее подключаем устройство к базе URL.
Теперь настраиваем профиль URL фильтрации, который назовём block_social_nets.
Сейчас всё готово к настройке двух Security Policy.
Всё готово.
Далее подключаем устройство к базе URL.
Теперь настраиваем профиль URL фильтрации, который назовём block_social_nets.
Сейчас всё готово к настройке двух Security Policy.
Всё готово.
Проверяем, что получилось. Открываем браузер на ноуте за Huawei и идём на ya.ru. Нас перенаправляют на портал аутентификации:
Входим сперва под учёткой обычного пользователя (не IT-отдел) и проверяем доступность соц. сетей (должны блокироваться).
Урра, vk.com блокируется. Конечно, End-User-Notification максимально аскетичен, но всё же.
Всё ок, полёт нормальный. Так, теперь facebook.com:
Эх, ну что ж ты, родной…
То же самое с hi5.com.
Ну вот, есть очевидные промахи. Ну мы не отчаиваемся. А что, если добавить блокировку соц. сетей не только как URL категории, но и как Интернет-приложения. Пробуем. Добавляем политику в Security Policy.
Add Policy
Пробуем ещё раз. Уууваля, доступ к facebook.com и hi5.com пропадает:
Правда, End-User-Notification тоже не отображается… Ну ничего, ну ладно, переживём.
Теперь пробуем зайти под другой учёткой. В этот раз из IT-отдела. По сценарию доступ к соц. сетям должен появиться, если Huawei не напутает членство в группах. Сперва дисконнектим текущего пользователя.
Снова проходим аутентификацию на портале. Пробуем vk.com, facebook.com и т.д.:
Ну, всё круто, доступ работает!
Что не понравилось
Было бы здорово увидеть на Huawei пользовательские сессии: кто куда ходит, какие URL посещает, почему сессия блокируется и т.д. Но единственное, что я увидел – это Session Table на вкладке Monitoring:
Session Table
Эта таблица неинформативна. На ней только IP-адреса, порты, зоны, работа NAT и название политики, под которую транзакция попадает. Нет ни имён пользователей, ни URL, ни категорий, ни приложений. Нет даже колонки Action! То есть не понятно, была ли разрешена транзакция или отброшена. Поиск по таблице, само собой, такой же никчёмный.
Не-не, я прекрасно понимаю, всю эту информацию можно собрать из таблиц пользователей, из сислог-сообщений и т.д. Но всё равно, NGFW без встроенного средства анализа событий и построения хоть каких-то отчётов – мне кажется это не серьёзно.
Мы стали выяснять. Нам объяснили, что у двух младших моделей линейки (USG6310 и USG6320) встроенного средства мониторинга действительно нет. Эти модели позиционируются для филиалов. А мониторинг должен быть в центре. В виде отдельной системы мониторинга и управления LogCenter, модуль eSight. Туда можно слать все логи и оттуда делать централизованные отчёты по трафику, пользователям, URL и т.д.
У более старших моделей, начиная с USG6330, есть полноценный встроенный мониторинг. Только устройство должно быть оснащено HDD для хранения логов. Как пример, нам прислали скриншот вкладки Monitoring:
Screen
Чо почём?
Железка, которую мы мучали, стоит 1 202 $.
Бандл, включающий устройство и лицензии-подписки на 1 год IPS-AV-URL обойдётся в 1 586 $.
Интересный момент схемы лицензирования. Чтобы открыть оставшиеся опции, а именно, безопасность контента (контроль файлов, DLP, антиспам, SSL-дешифрация) нужна лицензия LIC-CONTENT, стоимость которой составляет 1 цент. Как нам объяснили, это тоже связано с экспортными ограничениями в различных странах. Например, в Корее ограничено использование SSL дешифрации.
Безусловно, лицензии-подписки IPS, AV, URL есть отдельными позициями, на 1 или 3 года. Отдельные позиции на SSL VPN.
Самая младшая железка USG 6310 обойдётся в 809 $.
Бандл IPS-AV-URL — 1 193 $.
Железка постарше — USG6330 - 2 268 $.
Бандл IPS-AV-URL — 2 997 $.
Плюс, для полноценного мониторинга потребуется HDD. На 300 ГБ — 494 $, На 600 ГБ — 555 $.
Все цены указаны RPL, без скидок.
Заключение
Итак, Huawei USG6320. Плюсы:
- Удобный интуитивно понятный и быстрый Web-интерфейс;
- Функциональность:
- Гибкие возможности настройки интерфейсов, маршрутизации;
- Широкий скоп функциональности контентной безопасности;
- Различные варианты аутентификации пользователей.
Минусы:
- Отсутствие встроенных средств мониторинга и отчётов. Актуально только для младших моделей USG6310 и USG6320.
Нюансы. Как обычно, дьявол кроется в деталях. Да, функциональность очень широка. Но, если начнём копать глубже по каждому модулю, будут вылезать нюансы. Вот примеры:
- URL фильтрация. На простейшем тесте вылезли недочёты: facebook.com и hi5.com блокируются, только с помощью фильтрации приложений. При этом, теряем End-User-Notification.
- Аутентификация. Нет Kerberos, NTLMSSP, не поддерживается аутентификация терминальных серверов.
- IPS. Да, есть сигнатуры. Есть преднастроенные политики – некоторые обобщённые рекомендации для сети. Но Huawei не собирает информацию о вашей сети. Соответственно, не может корректировать политики под конкретные задачи, обеспечивать снижение False Negative, False Positive. Я уже не говорю о корреляции событий.
- Фильтрация электронной почты. Антиспам. На деле речь о чёрно-белых списках, и антиспам-движке, который работает по принципу вкл/выкл. Репутации отправителей? Пользовательский карантин? Проверка приложений? Нет-нет-нет. Я думаю, не один здравомыслящий администратор не поставил бы Huawei USG как единственное средство защиты корпоративного почтовика.
- и т. д.
Но всё это не так страшно. У конкурентов всё то же самое. Какие-то функции отрабатывают очень чётко, какие-то добавлены к устройству чисто номинально.
В итоге, первое впечатление позитивное. Решение вполне может конкурировать, причём, как в сегменте NGFW, так и в UTM.