За последние 20 лет интернет сильно изменился. Сейчас уже не встретить вырвиглазного Flash-баннера с мигающей надписью «Click me!» и примитивного трояна по ту сторону гиперссылки. Почти все современные сайты де-факто используют TLS и этим защищают пользователя от перехвата чувствительных данных. Всё больше законодательных инициатив направлено на то, чтобы сделать интернет безопаснее.
Вот только интернет по-прежнему остаётся достаточно опасным местом для тех, кто пренебрегает основами сетевой безопасности. И если домашнему пользователю порой достаточно установить какой-либо программный комплекс антивирусной и сетевой защиты, то в рамках даже небольшого бизнеса возникает необходимость в более серьёзной защите.
Сегодня у нас на обзоре аппаратный файервол Zyxel USG Flex 100AX, являющийся продолжателем славных традиций линейки ZyWALL и предназначенный для работы в небольших офисных сетях. Традиционно, в нашем блоге на Хабре, мы развинтим эту железку и посмотрим на неё изнутри, чтобы вам этого делать не пришлось. Наливайте себе кружечку крепкого чая и добро пожаловать под кат.
Внешний вид и комплектация
Первое впечатление, когда берёшь эту небольшую коробочку в руки — прочность и тяжесть. Весит она аж 850 грамм. Пластик здесь присутствует исключительно на передней панели, а вот весь остальной корпус выполнен из прочного металла. Даже несмотря на то, что верхняя панель почти целиком покрыта вентиляционными отверстиями — оставить вмятину пальцами не получилось (а мы старались).
Этим девайс прозрачно намекает на то, что его делали с большим запасом прочности, даже в такой, казалось бы, мелочи. Кстати, заявленное время наработки на отказ заявлено аж 655 130 часов, то есть почти 75 лет. Понятное дело, что это цифры теоретические, а на практике заявленные 5 лет гарантийного срока устройство точно проживёт без особых проблем.
На передней панели присутствует 8 светодиодов. 5 из них отвечают за индикацию Ethernet-портов, а 3 оставшихся можно обозначить, как системные. Об их назначении можно без труда догадаться по надписям. Слева от них размещено углубление с кнопкой сброса, которую можно нажать скрепкой или чем-то похожим.
В правой части панели уютно расположился порт USB 3.0 двойного назначения. В зависимости от задачи, к нему можно подключить дисковый накопитель, чтобы сбрасывать на него логи и диагностическую информацию. Либо его можно использовать для подключения 3G/4G модема, который можно задействовать в качестве резервного канала связи.
Cзади расположены Ethernet-порты, умеющие работать на скоростях 10/100/1000 Мбит/с, консольный порт, аппаратная кнопка включения, 12-вольтовый вход питания и два разъёма SMA-F для подключения всенаправленных Wi-Fi антенн со следующими коэффициентами усиления:
- 2.7 dBi (2400-2483.5 MHz)
- 3.86 dBi (5180-5249 MHz)
- 4.17 dBi (5745-5825 MHz)
На левой грани устройства есть отверстие для замка Kensington Lock и вентиляционные отверстия. Увы, но никаких креплений для установки в стандартную серверную стойку или телекоммуникационный шкаф не предусмотрено. Это, в целом, понятно, ведь устройство ориентировано на офисное применение, где может и не быть специально выделенного места.
Ну а на правой грани ничего интересного, кроме всё тех же вентиляционных отверстий; охлаждение сделали полностью пассивным. Ценой этого решения стала необходимость в большом количестве отверстий для притока воздуха.
В коробке, помимо уже упомянутых антенн, лежит консольный кабель с разъёмом DB9F и блок питания со сменными штепселями. Так что, для управления консолью, потребуется или переходник USB2COM или же такая редкость, как ноутбук с физическим COM-портом. В отдельном крошечном картонном конверте лежали резиновые самоклеящиеся ножки производства 3M.
Внутренности устройства
Перед тем, как включать устройство, мы вначале решили заглянуть внутрь. Чтобы снять верхнюю панель, достаточно открутить 5 болтов, один из которых прикрыт гарантийной наклейкой. При этом, откручивать крепления SMA-разъёмов антенн необязательно (но мы всё равно открутили).
После снятия панели, остаётся шасси с главной платой устройства. Толщину металла можете оценить на этой фотографии. В правой части расположен металлический радиатор, предназначенный для отвода тепла от самых горячих чипов.
Вот такая любопытная форма у этого радиатора. Термопасты тут нет, отводом тепла заведуют достаточно толстые термопрокладки. Их толщина рассчитана таким образом, чтобы избежать избыточного давления на чип, но при этом достичь плотного прилегания.
Первый горячий чип (именно для него предназначен кубик на радиаторе) — это RTL8367S, отвечающий за работу гигабитного Ethernet-свитча. Этот чип хорошо себя зарекомендовал и его возможностей с лихвой хватает для такого устройства.
Вторым «горячим» чипом является беспроводной сетевой адаптер, выполненный в форм-факторе Mini PCI-e. Такая разумная модульность позволяет, при необходимости гарантийного ремонта, легко заменить беспроводной адаптер и вернуть устройство в строй. Если бы сетевой адаптер был распаян, то пришлось бы менять всю главную плату. Возможно, этот разъём можно использовать и для апгрейда модуля, но вот совместимость будет под большим вопросом.
В правой части также расположена литиевая батарейка типоразмера CR2032, питающая микросхему часов реального времени и не позволяющая «обнулить» время на устройстве, путём отключения основного питания. Слева, под защитным металлическим экраном, расположены чувствительные к помехам и «статике» элементы.
Задачей чипа UTG24A05 от Huizhou U&T Electronics, судя по даташиту, является гальваническая развязка Ethernet-портов при работе на скоростях 10/100 Мбит/с.
То же самое делают и чипы UTG48C01, но уже для работы на скоростях 100/1000 Мбит/с. Так что, если по Ethernet прилетит какое-нибудь шальное напряжение, то это не сможет повредить работоспособности устройства.
Работу консольного порта контролирует чип SIPEX 3232EC. Он позволяет стабильно принимать и отправлять данные на подключенные устройства, используя диапазон напряжений от 3.0 до 5.5 вольт. Напомним, что стандартные уровни — это 3.3 вольта или 5.0 вольт. Помимо этого, чип обеспечивает хорошую защиту от статического электричества (±8kV при контакте, ±15kV разряд по воздуху или с человеческого тела). Ну а если найти на него документацию, то выяснится, что даже при сильно сниженном напряжении (до 2.7 вольта), чип всё равно сможет адекватно работать и передавать данные.
Управление
Локальное через консоль
Самый простой и кондовый способ подключения — через консольный порт. Подключаем кабель из комплекта в соответствующий разъем, а другим концом в переходник USB2COM. Открываем PuTTY или аналогичный софт и подключаемся, используя следующие параметры:
- Скорость — 115200 бит в секунду
- Биты данных — 8
- Чётность — Нет
- Стоповые биты — 1
- Управление потоком — Нет
Первая фаза загрузки здесь типичная для подобных устройств. Видно, что предусмотрено два загрузчика: основной и резервный. В случае проблемы с одним из них, устройство пойдёт по другому смещению и продолжит штатную загрузку. Далее, управление загрузкой переходит к U-boot, который является частью прошивки и выполняет все действия по запуску ядра операционной системы.
Также мы видим, что на плате есть SPI-флешка Winbond W25Q32BV на 32 MB. Правда, задействованы только первые 4 MiB. Это очень ходовой чип, отличающийся высокой надежностью и умеющий работать с интерфейсами DualSPI и даже QuadSPI. Ещё сразу отображается количество оперативной памяти — 2 GB.
После запуска вводим стандартную комбинацию логина/пароля admin/1234 и попадаем в консоль администрирования. Здесь, удобства ради, реализован Cisco-подобный CLI, так что вводим привычное configure terminal и попадаем в режим конфигурирования. Увы, но кое-какие штуки, вроде сокращений conf t тут не сработают. Правда, это легко компенсируется удобным автодополнением по Tab.
Локальное через веб-интерфейс
При проводном или беспроводном соединении с устройством откройте страницу http://192.168.1.1 При первом входе вас встретит мастер быстрой настройки. На этом этапе вы зададите пароль доступа администратора, сможете зарегистрировать своё устройство и, при необходимости, выполнить активацию лицензий на дополнительные сервисы. Но самым главным вопросом будет то, каким образом вы хотите управлять устройством:
При выборе автономного режима, устройство может быть сконфигурировано или посредством веб-интерфейса, или CLI через консольный порт / SSH-подключение. В случае выбора режима Nebula, устройство становится доступным для управления при помощи централизованной системы управления Nebula. Для начала, заглянем в автономный режим. Здесь нас встречает простой, но информативный дашборд, отображающий текущее состояние устройства, включая индикацию на передней панели:
Разобраться в веб-интерфейсе достаточно просто, несмотря на обилие настроек. Этому способствует качественная русификация и хорошо продуманная структура каждого пункта:
Большинство типичных сценариев описано в справочнике по настройке, скачать который можно на странице загрузок. Это может послужить отправной точкой для изучения всех возможностей устройства и его корректной конфигурации.
Через Nebula
При выборе режима Nebula вам только нужно указать, какой порт будет являться WAN-портом, после чего можно добавить устройство непосредственно на портале Nebula:
Система также покажет QR-код, который можно отсканировать смартфоном в приложении Nebula и в пару касаний добавить устройство в централизованную систему управления. Это, кстати, можно сделать даже не доставая устройство из коробки. Такой трюк актуален, если планируется отправка устройств в разные офисы.
Сетевой администратор добавляет все устройства на соответствующие площадки и отправляет их на места будущей установки. Как только устройство в офисе подключится к интернету, оно автоматически будет сконфигурировано и станет доступным в Nebula. Это позволит сильно сэкономить время на настройку и построить единую экосистему, которой можно управлять из единой точки:
Заключение
Даже короткое общение с устройством позволило сделать несколько важных выводов. Устройство спроектировано надежно, на качестве материалов корпуса и пайке не экономили. Компактный, но прочный металлический корпус позволяет не переживать о том, что его можно случайно повредить неосторожным обращением. При этом, его можно легко разобрать и даже самостоятельно заменить два компонента — батарею и беспроводной адаптер.
Создатели устройства позаботились о том, чтобы случайный (или намеренный) разряд статического электричества не убил устройство, а консольный порт работал вне зависимости от того, какой вольтаж применяется в вашем переходнике на COM-порт. Хорошо спроектированная система пассивного охлаждения позволит устройству работать не издавая ни малейшего шума.
Резюмируем: Zyxel USG Flex 100AX — это полноценный аппаратный файервол, способный адекватно защищать сети небольшого размера (до 50 клиентов). Гибридный подход к управлению (локальное и через Nebula) позволяет реализовать бóльший функционал, одновременно диверсифицируя риск того, что облачные сервисы перестанут работать. Ваше купленное устройство останется в рабочем состоянии и продолжит поддерживать основные функции защиты, вне зависимости от доступности облачных сервисов.
PS. На момент написания этого обзора, стоимость устройства в российских розничных сетях составляет от 57 000 до 66 000 рублей.
