Huawei USG 6320. Первый взгляд цисковода

6b5bcfeb9610458e8ce8b376a34a5daa.jpg

Всё циска, да циска со своим файерпавером. Но вот мы взяли на тест МСЭ от Huawei. Причём модный МСЭ, нового поколения. Посмотрели, пощупали, решили поделиться первыми впечатлениями. Сразу скажу, никаких нагрузочных тестирований мы не проводили, ознакомились только с функциональностью.

К нам в руки попала модель Huawei USG6320. (Не путать с Zywall USG кстати от Zyxel).

Это вторая после самой младшей модели (USG6310) в линейке USG6000 для малого и среднего бизнеса. Немного смущают истории успеха данного решения на сайте производителя:

2203e5b18f5c4acebdd2721a16501ede.png

Ну да ладно.
Фотка внешнего вида:

ca721137eefa401fac79fce4b1c4b4cd.png

Снаружи 8 Гигабитных портов и консольный порт. Казалось бы, всё просто. Но весёлый сайт e.huawei.com опять предупреждает:

a8292b5fffe546938bd67501876e8258.png

Так. Порты страдают глухотой? Серьёзно? Как это сказывается на передаче пакетов? Могут не услышать коллизии в среде? Или будут проблемы со Spanning Tree, Listening State — «А? Чаво? BPDU пришла или нет? Повторите, не слышу!». Ну ладно, если что-то пойдёт не так, одолжу у бабушки слуховой аппарат.

Включаем устройство, подключаемся по консоли. После загрузки перед нами командная строка. Вместо conf t — system-view, вместо show — display. Ок, жить можно. Конечно, с незнакомой командной строкой возиться не пристало, хочется поскорее увидеть GUI. Поэтому настраиваем IP-адрес на интерфейсе, проверяем, что к интерфейсу можно подключаться и что web-службы запущены, и открываем браузер.

Команды для проверки
6af19478dfbf46ecb3992e67e3564ad3.png
51d3069dad69413e8e5e0979861f853c.png

Web-интерфейс сразу же любезно предлагает пройти простенький Wizard, для задания начальных параметров экрана: IP-адреса внешнего и внутреннего интерфейса, подключение к провайдеру, DHCP для локальной сети и т.д.
Startup Wizard
b1fdb9de362a47998c6e89d1b633bafc.png

Не забываем поставить галку «Do not display this page upon the next login», иначе Huawei будет любезно предлагать Startup Wizard после каждого подключения к Web-интерфейсу.
4373a0f053ef4135acc3afe5855ea033.jpg

Кстати, как выяснилось, если несколько раз неверно ввести логин/пароль при подключении к устройству (web, ssh, telnet), Huawei обижается минут на 10 и перестаёт с тобой общаться (картинка застенчивого китайца). Честно сказать, сходу найти, как это поведение отключается, у меня не получилось. Ну ладно, может просто сказывается глухота портов.

Обзор графического интерфейса и возможностей устройства


Шутки в сторону, ближе к делу
Сразу отмечу: Web-интерфейс логичный и интуитивно понятный. Работает всё очень быстро, особенно, если сравнивать с тяжеловесным Cisco FMC.

Вверху расположены шесть вкладок: Dashboard, Monitor, Policy, Object, Network, System:
2a777fb2e09e4855a0e56989822fc71a.png

Вкладка Dashboard. Тут всё понятно. Некоторая инфографика, информация об устройстве, лицензиях, Syslog-сообщения и т.д.

Cкриншоты dashboard
a73fe01cdcf043e4a92acb20ec9e99f1.png
53a08aa58bf84497ae91f01abf252701.png
c309f5f95a124e1d93cc23d44315f6b8.png

Вкладка Monitor. Здесь можно посмотреть информацию о текущих соединениях, некоторую статистику.
Cкриншоты Monitor
b15b9ddbdf414a6ba24dcf1353155c9f.png
2ff40a5e48ea4ec2bc01a7c403217495.png

Тут же представлены некоторые инструменты диагностики. Приятно, что есть
Packet tracing
ec1558424e304c31bce7784bf0c52074.png
и 
Packet capture
d4d6b7b58db840d1b9817838f8adfaca.png

Вкладка Policy. Самая главная вкладка. Здесь консолидируются все политики управления трафиком:
  1. Security Policy — большой список доступа.
    Классическое отображение в табличном виде
    07eb513376d84303bf2fd6782940d21e.png

  2. NAT Policy — все необходимые варианты трансляции IP-адресов: динамический NAT, публикация серверов, NAT-исключения и т.д.
    NAT
    33a20898a578451c819ac5c889762891.png
    Нюанс. Нет возможности настроить Destination NAT. А это бывает иногда полезно. Например, когда по какой-то причине на сервисе намертво «зашит» адрес внешнего ресурса, а этот самый внешний ресурс переезжает на другой IP-адрес. Сталкивались, такое бывает. Ну это мелочи…
  3. Bandwidth Management и Quota Control. Круто, что есть. Весьма востребовано.
  4. Proxy Policy. Можно включить некэширующее проксирование. Устройство умеет проксировать пользовательские запросы, то есть, Huawei становится в разрыв TCP-сессии между клиентом и сервером:
    8df7bec1ac0341fabc3725b5b561bb67.png
    Есть два варианта проксирования: TCP Proxy и SSL Decrypt. Последний вариант — для дешифрации SSL-трафика. Дешифрация работает стандартно, с подменой сертификата. Протестировать не получилось: для SSL Decrypt требуется дополнительная нетриальная лицензия. Причём, политики настроить можно, просто они не работают.
  5. Authentication Policy. Ооо, это одна из моих любимых тем — аутентификация пользователей, интеграция с AD и всё такое. В настройках политик всё просто: выбираем шаблон трафика и говорим, нужно аутентифицировать или нет.
    Auth Policy
    20fcd10315184b798311bc44b28775aa.png
    Как именно аутентифицировать пользователей настраивается в другой вкладке — Objects — в настройках аутентификационного домена. Но раз в другой вкладке, то и вернёмся к этому вопросу чуть позже.
  6. Остаются Security Protection и ASPF. Подробно останавливаться не буду. Если кратко, в Security Protection включаются различные защиты от DDoS-атак, флудинга, IP Sweep, Port Scanning, дефрагментация, чёрные списки и прочее-прочее-прочее.

    ASPF (application specific packet filter) — это инспекция пакетов на открытие доп сессий через файрвол. Для FTP, SIP, H323 и т.д.

Вкладка Objects. Здесь настраивается всё, что впоследствии применяется в политиках (на вкладке Policy). В частности, всё, что относится к Content Security. Например:

  1. Настройки антивируса
    Screen
    c2a8d8919d394f7eb0fbeb831494cab5.png

  2. Настройки IPS
    Screen
    8dbc6fecc1b7431a92cbfcfa08614a40.png
    42b5aabc41284e8496c1ec27df34516d.png

  3. Профиль URL-фильтрации
    Screen
    04b6245718e84d2f877130c5e5a7bb5b.png

  4. Защита электронной почты
    Screen
    8f8a8049cd5e413586c0677476dfe49d.png

  5. И т. д.

Вкладка Network. Тут настраиваем наши интерфейсы, маршрутизацию и VPN.

Network
58fcc344d6b94c87a66fb3d0bd6bcbdd.png
Подробно здесь останавливаться не буду, упомяну только некоторые моменты:
  1. Интерфейсы. По умолчанию все интерфейсы маршрутизируют. Но любой интерфейс можно сделать коммутируемым, настроить как access или как trunk. Можно добавить interface vlan, subinterface, агрегировать порты. В общем, в плане интерфейсов всё очень и очень гибко. Это плюс.
  2. Маршрутизация. Есть PBR, есть варианты балансировки по WAN портам. К статическим маршрутам можно добавлять трекинг. Из динамических протоколов присутствуют RIP, OSPF и BGP.
  3. VPN. Есть L2TP, GRE, DSVPN. Последнее — это аналог DMVPN у циски. Стоп. Но где же IPsec? Где же SSL VPN? Я точно помню, что в бюллетене видел данные по IPsec и SSL VPN. Ок, изучаем руководство пользователя. Находим вот такую фразу:
    The IPSec VPN and SSL VPN functions are not provided in versions shipped to Russia in accordance with Russian laws.
    Ну и дела. Неужели нет вариантов пользоваться этими сервисами в России? — Конечно же есть. Как выяснилось, нам досталась железка с софтов PWE (payload without encryption). То есть, как NPE (no payload encryption) у циски. Чтобы не получать разрешение от ФСБ, ввозятся именно такие устройства. Чтобы запустить шифрование, просто скачивается и устанавливается полноценный софт. Кстати, без проблем можно ввести железку с шифрованием официально — с получением разрешения ФСБ на ввоз. В этом случае просто увеличится время поставки.

Вкладка System. Тут ничего интересного — стандартные системные настройки: время, SNMP, учётки администраторов, логирование, лицензии, апдейты, апгреды и т.д. В общем, описательная часть ограничится скриншотом.

Screen
3cea79449fec42ba8bd23a994b31605a.png

Вернёмся к Security Policy и посмотрим их подробнее. Это то место, в котором объединяются все функции устройства. Нажмём Add и посмотрим, что можно настроить в плане фильтрации трафика.

Add Security Policy
dcfd84a01fe544799bcd266c49e22a6e.png

Первые опции — классический файрвол: зоны и IP-адреса. Чуть ниже — Services. Это номера портов. Всё стандартно.

Более интересные опции.

  1. User. Если настроен аутентификационный домен, в этой вкладке можно выбирать существующих пользователей и групп пользователей. В моём примере на устройство подтянута база из корпоративного AD.
    User
    b691402a79e74ccab06c331dd26b43e3.png

    Дополнительные опции User → Access Mode. Если аутентификация осуществляется с помощью стороннего сервера доступа — TSM (Terminal Security Management), можно контролировать пользователей в зависимости от способа их подключения к сети.
    User → Access Mode
    a54397fe17ef47ba9641619986a18e1c.png

    Дополнительные опции User → Device — указание сервера TSM. Как я понял, TSM — это аналог Cisco ISE. Позволяет внедрять 802.1х, обеспечивает контроль подключения к сети конечного оборудования. Круто.
  2. Application. Необходима для МСЭ нового поколения. Позволяет выбирать различные Интернет-приложения.
    Application
    e377fc933fcb491ca310fff0e95d5dfd.png

    С существующими сигнатурами приложений можно ознакомиться более подробно во вкладке Objects.
    Application List
    dd3b5cb8dcd642f98f7995bcd42216df.png

    Видно, что приложения разбиты на категории и ранжированы по степени риска. Есть возможность создавать сигнатуры собственных приложений.
    В глаза бросается обилие специфичных китайских приложений. Вот некоторые весёлые названия:
    e20f37b7782e4959a0e76820fbff1ed5.png
    И действительно, как часто в России мы слышим «У меня не работает WaiHuiTong», или предлагаем начальству посетить DaZhiHui. В общем, эксклюзивный и незаменимый функционал для наших реалий.
  3. Scheduling — ещё одна приятная опция
    Scheduling
    021d521335cb4bcea086110ed9ad7c55.png

  4. Остальные опции относятся к обеспечению безопасности контента
    Content Security
    3886f66b012c4feea7c5c146bd6fe87f.png

Как видно, устройство обладает могучим набором инструментов обеспечения контентной безопасности:
  • файловый антивирус;
  • IPS;
  • URL фильтрация;
  • Контроль передачи файлов;
  • Защита от утечки информации;
  • Дополнительный контроль приложений. Это опять же относится к передаче файлов и информации в рамках конкретных приложений.
  • Фильтрация электронной почты, включая встроенный антиспам.

В общем и целом, функциональность устройства очень широкая. Устройство не только прекрасно вписывается под определение МСЭ нового поколения, но и может конкурировать в сегменте UTM. На первый взгляд всё круто. Но на сколько представленная функциональность эффективна, и на сколько качественно отрабатывает каждый модуль — тема более глубоких исследований. Не хочется здесь вдаваться в занудные рассуждения, ведь сейчас речь просто о первых впечатлениях об устройстве.

Немного настроек


Итак, с возможностями Huawei более-менее ознакомились. Перейдём к настройкам и тестам.

Рассмотрим аутентификацию. Как обещал, чуть подробнее остановлюсь на интеграции с AD. Кому интересно, прошу под кат.

Интеграция с AD
Сперва необходимо настроить Authentication Server. Выбираем тип сервера LDAP.
74ace27bd71f4079acafab9c7ae4462c.png
Задаём параметры LDAP-сервера.
fdc3604f484a46f4bb47f7c49fd2e7ac.png
Кстати, по умолчанию, в поле «User Filtering Field» Huawei предлагает использовать cn. Для моей учётки в СN=Усков Борис. И я был приятно удивлён, что никаких проблем с кириллицей Huawei не испытывает. Кириллица прекрасно отображается в настройках политик. Более того, во время тестирования, когда в процессе аутентификации вводишь в окно login «Усков Борис» — аутентификация проходит успешно. Тем не менее для удобства я заменил поле User Filtering Field на sAMAccountName и стал использовать свой привычный логин из AD.
После заполнения параметров наживаем Detection и проверяем, что связь с LDAP-сервером устанавливается успешно.
5e5012fc5c9c4b359da111de5f498349.png
Теперь, когда мы установили связь с LDAP-сервером, мы можем подтянуть каталог пользователей и групп на Huawei, чтобы можно было использовать имена в настройках политик. Это делается в меню User Import на вкладке Server Import.
e85e4131ef85492da9087b4e487db1c5.png
Здесь нужно создать профиль импорта пользователей из каталога.
8af9722189cc483e8b7cdf12f89fae3e.png
Остаётся настроить Authentication domain.
e5aa51e1f1e344c9a64c5b66ad210593.png
Теперь в меню User/Group и Security Group находятся пользователи из каталога.
094821dea14f41b0a97384caf0d264b6.png
Всё готово. Теперь в настройках Security Policy можно использовать имена пользователей и групп вашего каталога, а в настройках Authentication Policy можно включать аутентификацию.

Итак, мы связаны с AD по LDAP, на устройство подтянуты пользователи из каталога. Теперь посмотрим, какие имеются варианты аутентификации. Это можно сделать в меню Authentication Item.
Authentication Item
9846330b1d2c47b798da3f984deb1bea.png

По умолчанию работает активная аутентификация пользователей через встроенный портал. Его можно кастомизировать. Можно использовать сторонний портал для аутентификации.
Активная аутентификация не очень удобна, так как пользователю придётся вводить вручную логин/пароль для доступа в Интернет. Huawei предлагает некоторые варианты Single Sign On (SSO).
SSO Configuration
7dfc90530f9041718c188db12f56f438.png

Для AD SSO есть два варианта пассивной аутентификации — установить агент на компьютер в домене или на контроллер домена (ну это классика), или прослушивать обмен аутентификационными сообщениями между клиентской машиной и AD. Причём, если аутентификационные пакеты не проходят через Huawei, мы можем зеркалировать этот трафик на выбираемый порт (см. настройку Receive a Copy of Authentication Packets, Receiving Interface на скриншоте выше). Сразу скажу, как эта кухня работает — проверить не успел. Надеюсь, что работает.

Замечу, активная аутентификация с помощью Kerberos/NTLMSSP не поддерживается. Аутентификация терминальных серверов — также не предусмотрена.

Последнее, что хотелось бы отметить в плане аутентификации — удобно просматривать активных пользователей. Это меню Online User.

Online User
3bbd6ac4cd2f4ab18fb3a9b034137612.png
Отсюда можно просмотреть, кто и когда успешно прошёл аутентификацию, к каким группам принадлежит пользователь. Здесь же пользователей можно дисконнектить и лочить.

Проведём тест. Малюсенький тест функций NGFW. И будем закругляться.
Традиционно, проверим возможность блокировки соц. сетей для различных групп пользователей из AD. Создадим в Security Policy два правила: in_out_admins и in_out_users. По первому правилу члены группы AD IT-отдел будут иметь неограниченный доступ в Интернет. По второму правилу — всем оставшимся пользователям запретим URL-категорию соц. сети.

Настройка политик
Сперва активируем все возможные триальные лицензии. Срок — на 2 месяца.
bcc351a526304a4d8fcaded29572dd00.png
Далее подключаем устройство к базе URL.
44dd598875294343917b74b27339807d.png
Теперь настраиваем профиль URL фильтрации, который назовём block_social_nets.
f764c96aa0a34395b6a6f2462691ee0e.png
Сейчас всё готово к настройке двух Security Policy.
7bbb72f20e604bd6aa350b4b979ed67f.png
bbd57e42997c486e9d3796c5ce7decde.png
Всё готово.

Проверяем, что получилось. Открываем браузер на ноуте за Huawei и идём на ya.ru. Нас перенаправляют на портал аутентификации:
1cfaa5beefd541e98d2c45cc95cedfe0.png
Входим сперва под учёткой обычного пользователя (не IT-отдел) и проверяем доступность соц. сетей (должны блокироваться).
95ccab44a42346e8af1d7852c49555ed.png
Урра, vk.com блокируется. Конечно, End-User-Notification максимально аскетичен, но всё же.

c22ed101d28f4c06a4e34a98260fb0ac.png
Всё ок, полёт нормальный.
Так, теперь facebook.com:

0be76559b4374b8899243e99cc5ad844.png

Эх, ну что ж ты, родной…
То же самое с hi5.com.
75cef053033d47df832eab050beee21a.png

Ну вот, есть очевидные промахи. Ну мы не отчаиваемся. А что, если добавить блокировку соц. сетей не только как URL категории, но и как Интернет-приложения. Пробуем. Добавляем политику в Security Policy.

Add Policy
9794219e8adf450d986f0fb488cd07b1.png

Пробуем ещё раз. Уууваля, доступ к facebook.com и hi5.com пропадает:
fcf390ffe1e74f3685c3d3d8ec094a51.png
Правда, End-User-Notification тоже не отображается… Ну ничего, ну ладно, переживём.

Теперь пробуем зайти под другой учёткой. В этот раз из IT-отдела. По сценарию доступ к соц. сетям должен появиться, если Huawei не напутает членство в группах. Сперва дисконнектим текущего пользователя.
b9dc0ec27a3547f88c1efd0c5a5cfe8d.png

Снова проходим аутентификацию на портале. Пробуем vk.com, facebook.com и т.д.:
fde4af40e3af44af929b508e6dec6a16.png

Ну, всё круто, доступ работает!

Что не понравилось


Было бы здорово увидеть на Huawei пользовательские сессии: кто куда ходит, какие URL посещает, почему сессия блокируется и т.д. Но единственное, что я увидел — это Session Table на вкладке Monitoring:
Session Table
67add664fae744c49ed30015d776157a.png

Эта таблица неинформативна. На ней только IP-адреса, порты, зоны, работа NAT и название политики, под которую транзакция попадает. Нет ни имён пользователей, ни URL, ни категорий, ни приложений. Нет даже колонки Action! То есть не понятно, была ли разрешена транзакция или отброшена. Поиск по таблице, само собой, такой же никчёмный.

Не-не, я прекрасно понимаю, всю эту информацию можно собрать из таблиц пользователей, из сислог-сообщений и т.д. Но всё равно, NGFW без встроенного средства анализа событий и построения хоть каких-то отчётов — мне кажется это не серьёзно.

Мы стали выяснять. Нам объяснили, что у двух младших моделей линейки (USG6310 и USG6320) встроенного средства мониторинга действительно нет. Эти модели позиционируются для филиалов. А мониторинг должен быть в центре. В виде отдельной системы мониторинга и управления LogCenter, модуль eSight. Туда можно слать все логи и оттуда делать централизованные отчёты по трафику, пользователям, URL и т.д.

У более старших моделей, начиная с USG6330, есть полноценный встроенный мониторинг. Только устройство должно быть оснащено HDD для хранения логов. Как пример, нам прислали скриншот вкладки Monitoring:

Screen
67e67b040ef64910ba7d36593a737f18.png

Чо почём?


Железка, которую мы мучали, стоит 1 202 $.
Бандл, включающий устройство и лицензии-подписки на 1 год IPS-AV-URL обойдётся в 1 586 $.
Интересный момент схемы лицензирования. Чтобы открыть оставшиеся опции, а именно, безопасность контента (контроль файлов, DLP, антиспам, SSL-дешифрация) нужна лицензия LIC-CONTENT, стоимость которой составляет 1 цент. Как нам объяснили, это тоже связано с экспортными ограничениями в различных странах. Например, в Корее ограничено использование SSL дешифрации.

Безусловно, лицензии-подписки IPS, AV, URL есть отдельными позициями, на 1 или 3 года. Отдельные позиции на SSL VPN.

Самая младшая железка USG 6310 обойдётся в 809 $.
Бандл IPS-AV-URL — 1 193 $.

Железка постарше — USG6330 - 2 268 $.
Бандл IPS-AV-URL — 2 997 $.
Плюс, для полноценного мониторинга потребуется HDD. На 300 ГБ — 494 $, На 600 ГБ — 555 $.

Все цены указаны RPL, без скидок.

Заключение


Итак, Huawei USG6320. Плюсы:
  • Удобный интуитивно понятный и быстрый Web-интерфейс;
  • Функциональность:
    • Гибкие возможности настройки интерфейсов, маршрутизации;
    • Широкий скоп функциональности контентной безопасности;
    • Различные варианты аутентификации пользователей.

Минусы:
  • Отсутствие встроенных средств мониторинга и отчётов. Актуально только для младших моделей USG6310 и USG6320.

Нюансы. Как обычно, дьявол кроется в деталях. Да, функциональность очень широка. Но, если начнём копать глубже по каждому модулю, будут вылезать нюансы. Вот примеры:
  • URL фильтрация. На простейшем тесте вылезли недочёты: facebook.com и hi5.com блокируются, только с помощью фильтрации приложений. При этом, теряем End-User-Notification.
  • Аутентификация. Нет Kerberos, NTLMSSP, не поддерживается аутентификация терминальных серверов.
  • IPS. Да, есть сигнатуры. Есть преднастроенные политики — некоторые обобщённые рекомендации для сети. Но Huawei не собирает информацию о вашей сети. Соответственно, не может корректировать политики под конкретные задачи, обеспечивать снижение False Negative, False Positive. Я уже не говорю о корреляции событий.
  • Фильтрация электронной почты. Антиспам. На деле речь о чёрно-белых списках, и антиспам-движке, который работает по принципу вкл/выкл. Репутации отправителей? Пользовательский карантин? Проверка приложений? Нет-нет-нет. Я думаю, не один здравомыслящий администратор не поставил бы Huawei USG как единственное средство защиты корпоративного почтовика.
  • и т. д.

Но всё это не так страшно. У конкурентов всё то же самое. Какие-то функции отрабатывают очень чётко, какие-то добавлены к устройству чисто номинально.

В итоге, первое впечатление позитивное. Решение вполне может конкурировать, причём, как в сегменте NGFW, так и в UTM.

Комментарии (0)

© Habrahabr.ru