De ZyXEL ZyWALL USG 1000 is een UTM (Unified Threat Management) die net te laat binnenkwam voor onze massatest in november van vorig jaar. Deze test had u dus nog te goed van ons.

In onze eerder gepubliceerde massatest van UTM’s (zie DN nr. 35 van 9 november) onderzochten we zes geïntegreerde beveiligingsappliances van CheckPoint, Fortinet, IBM ISS, NetASQ, SecPoint en SonicWall. Daarnaast bespraken we apart twee kleinere UTM-appliances voor kmo’s en SoHo-omgevingen van Draytek en SonicWall. We bekijken de functionaliteit en de mogelijkheden van de appliance (wat krijgt u voor uw geld?) en het beheer. Met behulp van de IBM ISS Internet Scanner voeren we voor elk van de appliances een scan van zo’n 128 beveiligingsrisico’s, waarop tegenwoordig alle UTM-appliances perfect scoren, ook de hier geteste ZyXEL ZyWALL USG 1000. Deze UTM in rekmodel heeft vijf Giga Ethernet netwerkaansluitingen, twee usb-poorten, een uitbreidingskaartsleuf, een aansluiting voor seriële console en een aansluiting voor een seriële modem (analoog of isdn). Standaard zijn twee van de vijf netwerkaansluitingen bedoeld voor wan1 en wan2, nog twee andere zijn voor DMZ en de overblijvende is voor uw lan. De USG 1000 kan lastenverdeling volgens verschillende algoritmes en instellingen uitvoeren over de door u gekozen wan- of DMZ-poorten, en ze uiteraard ook gebruiken voor uitvalovername. Zo zou u wan1 en wan2 kunnen toewijzen aan twee verschillende breedbandproviders, en de externe modemaansluiting dan gebruiken voor nog een derde oplossing, die in alleen in uiterste nood gebruikt zou worden (dus als zowel wan1 als wan2 platliggen).

Beheer

Zoals bij zowat alle UTM-appliances beheert u de USG 1000 via een webinterface. Hierbij ondersteunt de USG 1000 ook inloggen via een tweefactorauthenticatie, met behulp van tokens. De USG 1000 kan ook samenwerken met een externe authenticiteitscontroleserver. Het webbeheer werkt met een uitklapbare menuboom uiterst links. De menuopties zijn: Licentiebeheer; Netwerk (basisinstelllingen, zone-indeling, virtuele servers, http-omleiding en speciale instellingen voor NAT-onvriendelijke protocols zoals SIP, H. 323 en ftp); Firewall; VPN; AppPatrol (bandbreedtebeheer op applicatieniveau); Anti-X (alle filters); Device HA (toesteluitvalovername); Object (gebruikers/groepen, adressen, diensten, schema’s, authenticiteitscontroles, certificaten en nog meer); Systeem (alle toestelspecifieke instellingen en diensten) en Onderhoud (bestandsbeheer, journaals, rapportage, diagnose en herstarten). Elk van deze rubrieken opent rechts een detailscherm, vaak nog met tabs onderverdeeld in meerdere detailpagina’s. Deze detailschermen of -pagina’s zijn goed ingedeeld en presenteren niet té veel opties ineens, zodat alles overzichtelijk en duidelijk blijft. Qua opties biedt deze USG 1000 erg veel. Het is de enige UTM-appliance die we tot dusver gezien hebben met een eigen tokeninlogsysteem. Eén bepaald detail van de USG 1000 trok nog onze aandacht: hij kan meerdere archieftypes tegelijk openen en ondersteunt daarbij honderd gelijktijdige zip-extracties (en nog een paar andere formaten), en zestien gelijktijdige rar-extracties.

Beveiliging

Het ‘Anti-X’ filtermenu toont vier verschillende filters: antivirus, IDP (inbraakdetectie en -preventie) en ADP (anomaliedetectie en -preventie), plus een inhoudsfilter. Voor elk van deze filters is er een hernieuwbare licentie. De antivirusmodule is die van Kasperky. Daar zijn we tevreden mee, want Kaspersky scoort altijd erg hoog inzake virusdetectie en -schoonmaak in onze jaarlijkse testen. AppPatrol (ook met hernieuwbare licentie) stelt u in staat het bandbreedtegebruik van specifieke internetapplicaties, zoals IM of P2P, aan banden te leggen en zo een minimumkwaliteit van de netwerk- en internetdienstverlening te verzekeren. De inhoudsfilter is die van Blue-Coat (zie www.bluecoat.com). Zoals de meeste webfilters werkt die op basis van categorieën en u kunt bij het beheer kiezen tussen een basisoverzicht van de belangrijkste categorieën of een totaaloverzicht van àlle categorieën. De firewall stelt u in staat om regels op te geven voor het verkeer tussen alle mogelijke objecten, zones en poorten. U kunt voor veel beveiligingsacties instellen dat het verkeer toegelaten of geblokkeerd wordt, maar vaak is het ook mogelijk om toelaten mét logboekinschrijving te kiezen.

Praktijk

De USG 1000 maakt een zeer goede en degelijke indruk op ons. Het beheer was erg gemakkelijk en goed te doen door iemand die zelfs maar een minimumervaring heeft met dergelijke appliances. We hebben wel de maker van de webfilter, BlueCoat, even moeten contacteren omdat onze eigen site diskidee. be on-begrijpelijkerwijze bij de categorie ‘Shopping’ was ingedeeld (en dus vaak geblokkeerd zou worden), terwijl dat natuurlijk niet met de werkelijkheid overeenkomt. Dat is inmiddels opgelost.

De webfilter werkt zeer goed en houdt ook pogingen tegen om verboden webpagina’s op te roepen via de cache van Google of op andere slinkse manieren. We controleren ook altijd even hoe de wapenpromotievereniging N.R.A. (National Rifle Association) behandeld wordt. Wij vinden dat die geblokkeerd moet worden zodra de rubriek ‘wapens’ aangevinkt wordt, maar net zoals veel andere Amerikaanse webfilters doet BlueCoat dat dus niet. Zij hebben de NRA-website ingedeeld bij ‘politiek en actiegroepen’ en pas als u die rubriek aanklikt, wordt ook de NRA geblokkeerd. Een spamfilter is helaas niet voorzien in deze USG 1000.

Conclusie

De conclusie van onze massatest verandert niet, maar deze ZyXEL ZyWALL USG 1000 nestelt zich wel op de vierde plaats, na het toestel van SecPoint.

Johan Zwiekhorst

Fout opgemerkt of meer nieuws? Meld het hier

Partner Content