對于中小企業局域網來說，由于網絡結構比較簡單，主機數量較少，往往忽視了網絡的安全性建設，從而導致黑客和惡意分子可以輕松入侵。最近國際知名網絡設備廠商合勤科技推出了幾款適合中小企業的網絡安全設備，今天我們就為大家介紹一下其統一安全網關ZyWALL USG100。

　　

　　圖1、合勤科技統一安全網關：ZyWALL USG100

測試產品簡介

產品名稱：ZyXEL統一安全網關(USG100)

產品概要：多功能網絡統一威脅管理(UTM)設備

產品優點：

•支持多個路由網絡

•詳細全面的防火墻控制

•千兆端口

•支持3G WWAN

•支持VLAN功能

產品缺點：

•VPN協同性差

•沒有SSL VPN Vista客戶端

•不支持巨型幀(Jumbo Frame)

•重啟時間較長

•VPN吞吐能力相對較低

與USG100同時推出的統一安全網關產品還有USG200、USG300和USG1000。據合勤科技稱，該安全產品系列是其針對中小企業推出的最完整的安全平臺，可以為規模在10臺計算機到300臺計算機的中小企業網絡提供企業級安全功能。

本篇文章中，我將介紹USG100統一安全網關，其針對的企業網絡規模是10到25個用戶。它支持雙WAN口連接，支持3G無線連接，支持多種VPN技術，具有高可用失效轉移功能，支持入侵檢測和防護，支持反垃圾郵件、病毒和內容過濾功能，另外還具有豐富的網絡管理工具，它是一個旨在通過一個安全設備提供完整網絡防護功能的設備。

　　

　　圖2、USG100工作原理示意圖

考慮到它具有如此多的功能，我會把該評測文章分為兩部分。在本篇評測文章中，我將對USG100的網絡和VPN功能進行評測。在隨后的一篇評測文章中，我再繼續評測它的安全和統一威脅管理功能。

#p#

外觀及內部設計

首先我們來看一下USG100的外觀設計，它的尺寸是242(寬)×175(長)×35.5(高)mm，在銀灰色金屬前面板上具有兩個USB口和7個千兆以太網口，兩側是亮紅色的裝飾區域。值得提醒大家的是，這兩個USB口并非是用來插閃存或其它存儲設備的，而是用來連接3G卡的。

圖3是它的后面板，具有一個輔助性的modem口，一個終端console配置口，一個PCMCIA 3G WWAN卡槽，以及電源插口。

圖3、USG100后面板

下面我們再來一起看一下它的內部設計，如圖4所示，它具有一個256MB的DDR2內存，256MB的緩存，一個3G PCMCIA插槽，還有一個采用被動冷卻技術的Frescale 8343 CPU，通過一個266MHz的前端總線運行在400Mhz。千兆以太數字端口連接到一個Vitesse VSC7388集成千兆以太交換芯片上。

圖4、USG100主板

#p#

面向對象的配置方式

理解如何配置USG100的關鍵之處是，記住它是面向對象的，也就是說，每個接口(wan1，wan2，lan1，...)都是一個對象。為每一個接口設定的IP地址和子網也是對象，通過一個VPN隧道和路由器背后的設備(如服務器或另一臺路由器)訪問的子網也是對象。

最初的時候，配置所有這些不同的對象似乎有些麻煩，尤其是對那些不喜歡閱讀手冊的人來說更是如此，其隨機配置手冊竟然長達902頁。不過，當你對它真正熟悉了之后，通過對象來設置它是一件非常方便的事情，因為你可以在多個設置中重用預定義好的對象。

路由、VPN和防火墻規則全部是使用不同的對象來創建的，如圖5所示，前五行是定義不同接口的子網的默認對象。在這五個默認對象下面，我創建了幾個不同的對象，其中WindowsMachine對象是一個Windows計算機的IP地址對象;ZLAN對象是通過另一臺路由器訪問的子網對象;DFL對象是其它路由器接口的IP地址對象。我最終將使用這些對象來實現端口轉發、一個VPN隧道和一個靜態路由，下面將詳細解釋。

圖5、對象

在多數基礎型路由器中，在同一個簡單的VPN配置界面中就可以完成對VPN隧道另一端子網的定義。但是，USG100要求該子網也定義為一個對象，然后增加到VPN配置中，另外，還需要定義一個策略路由，這樣通信可以通過該隧道來路由。由此我們可以看出一點，USG100能完成很多工作，但是你需要對它進行必要的配置。

#p#

網絡接口設計

在USG100的7個千兆網口中，前兩個是WAN口，另外5個是用于內部通信的LAN口。盡管WAN口的實際上聯線路一般不會達到1000Mbps，不過在一個路由器上擁有如此多高速端口還是一件令人高興的設計。MTU(最大傳輸單元)可以根據接口來進行調整，不過調整范圍是576到1500字節;它不支持巨型幀。

默認配置下，端口1和端口2被設計用來進行WAN連接，端口3和端口4屬于LAN1，端口5屬于LAN2，端口6則屬于LAN3，用來連接一個無線AP，而端口7則用于DMZ。但是，端口3到端口7都可以通過重新配置到以上4個部分中去，如圖6所示。

圖6、端口劃分

從圖7的狀態頁面中你可以看到，LAN1、LAN2、WLAN和DMZ接口被指定了5個不同的子網。為每個LAN設置不同的子網的意義是，通過使用可以應用到接口、IP或子網的防火墻規則，我們能夠控制網絡之間的通信。

圖7、接口

除了7個千兆以太網口外，通過USG100后面板上的PCMCIA插槽，你還可以插入一個3G WWAN卡或一個802.11b/g無線局域網卡。另外，一個3G USB WWAN設備還可以連接到USG100前面板上的兩個USB口之一。

#p#

VLAN功能測試

通過將一個網絡劃分為多個子網，可以有效的實現VLAN廣播控制，而且無需增加昂貴的可網管交換機。根據我的測試USG100上的上述配置，一臺連接在從LAN1出來的無網管交換機上的計算機，可以獲得192.168.21.0/24子網的一個IP地址，而另一臺連接在從DMZ接口出來的無網管交換機上的計算機則可以獲得192.168.13.0/24子網的一個IP地址。

而且，多個VLAN可以被配置到同一個USG100接口上，通過這個功能，USG100可以連接到一個支持802.1q VLAN的可網管交換機上。然后你可以在USG100上對每一個VLAN配置不同的DHCP服務器，從而實現子網到VLAN的1對1網絡映射。

我對這個功能進行了測試，在這臺USG100的LAN1接口上配置了兩個不同的VLAN，每一個VLAN具有單獨的DHCP服務器，如圖8所示。然后，我在一個網件可網管交換機上配置了相同的VLAN，并且為兩個VLAN分別加入了兩個不同的交換機端口。

圖8、VLAN

另外我還在這個可網管交換機上進行了一些其它配置。最終，我將一臺計算機連接到該交換機上的不同端口時，會得到對應的USG100上VLAN設置中所指定的IP地址，由此驗證了USG100可以識別802.1q VLAN標簽。

#p#

路由功能測試

USG100上可配置的路由選項包括，策略路由、靜態路由、RIPE和OSPF。策略路由被大量用于控制通過USG100的通信數據。在USG100中的策略路由選項，可以實現根據進入接口、源和目的子網、服務(協議)和下一跳目的地(接口或IP)來定義通信路徑。

在圖9中，我配置了最上面的策略路由，來實現到另一臺路由器之后的子網的通信路由。被路由的通信起源于LAN2_SUBNET(192.168.3.0/24)，轉向另一臺路由器后的一個子網，我為它創建了一個名為DFLLAN(192.168.10.0/24)的對象。這個通信的下一跳是另一個路由器的IP地址，我為它創建了一個名為DFLLAN的對象。、

圖9、策略路由

圖9中所示的第二個策略路由是，對通過VPN隧道的數據進行路由。通過這個配置，可以讓源自我的內部子網(LAN2_SUBNET)的通信數據，路由到通過VPN隧道訪問的遠端子網(ZLAN)，我通過一個名為ZVNTest的對象來實現它，該對象指定了VPN隧道另一端的IP地址。

#p#

WAN口功能測試

USG100使用了WAN Trunks來實現WAN口的失效轉移，管理多個ISP連接。默認配置下，WAN接口1和接口2就是第一個WAN Trunk的成員。USG100采用的失效轉移方式是保持兩個接口都處于激活狀態，對通信進行均衡;而并非采用一個WAN接口激活時另一個接口處于等待狀態的模式。

默認配置下，WAN Trunks上啟用“Link Sticking”功能，它可以確保從內部設備到一個特定外部服務器的通信數據不被負載均衡到多個WAN接口上。這可以防止跟蹤源IP地址的服務器的連接問題。

WAN連接的選項包括，最小負載優先、權重輪詢調度和溢出轉移。在這所有三個算法中，你可以為每一個WAN接口配置進入和外出帶寬，從而有效的確保最優利用率。

如果選擇最小負載優先算法，USG100將根據配置的帶寬和測量到的使用率，通過流量利用率較低的WAN接口來傳輸數據，從而有效的在兩個WAN接口上實現最大化的通信傳輸效率。

而權重輪詢調度則利用了為每一個WAN接口配置的權值。如果WAN2的權值是2，而WAN1的權值是1，則會選擇WAN2來進行數據傳輸。

對于溢出轉移，USG100會一開始一直使用一個接口來傳輸數據，當該接口的占用帶寬達到了設置的帶寬值時，然后再轉移到下一個接口。

另外，USG100還支持數據傳輸統計功能，可以讓你通過圖形化報表方式來查看WAN或LAN接口的利用情況，如圖10所示。另外，通過這個功能，你不僅僅可以通過接口來查看流量，還可以通過端口和協議來觀察通信類型。

圖10、通信數據統計

#p#

防火墻功能測試

配置USG100的防火墻，與配置路由非常相似。防火墻通過建立在接口和對象上的規則來進行管理，定義哪些通信被允許和拒絕。和大多數防火墻一樣，USG100阻擋多數進入通信，而允許外出通信。

舉個例子來說，盡管有一個DMZ端口，我還是不得不為防火墻增加一條規則，來允許外部通信數據可以到達連接到DMZ端口上的設備。在圖11的第一行中，你可以看到，我增加了一條簡單的規則，來允許任何來源的通信可以到達DMZ接口。在增加這條規則之前，盡管我的VOIP電話是在USG的DMZ區，我還是不能收到外部的任何呼叫。

圖11、防火墻配置

多數防火墻的一個共同功能是端口轉發，在USG100上，端口轉發是通過創建虛擬服務器來完成的。

為了轉發遠程桌面連接(RDC)到我的Windows計算機，我首先創建了一個Host對象，來識別我的Windows計算機的IP地址，如圖12所示，我給這個對象指定了一個“WindowsMachine”名稱。然后，我創建了一條虛擬服務器規則，來將來自WAN1接口的通信轉發給Host對象的RDC所使用的特定端口——3389。這樣，我就可以通過互聯網來使用遠程桌面訪問的WindowsMachine計算機。

圖12、虛擬服務器配置

#p#

VPN功能測試

要想實現更安全的通過互聯網訪問局域網設備，你可以選擇使用VPN功能。USG100支持多種VPN技術，包括IPSec站站VPN、IPSec客戶端VPN和SSL客戶VPN。我對這些VPN功能逐一進行了測試，發現它們各有優缺點。

在下圖的圖13中，你可以查看兩個激活的的VPN連接的狀態顯示。第一個是一個IPSec站到站VPN連接，第二個則是IPSec客戶端VPN連接。最右側Action下的圖標可以讓你確定該連接是否處于激活狀態，由此證明，USG100能夠同時運行不同類型的VPN連接。

圖13、VPN配置

通過IPSec站點到站點隧道，USG100可以通過因特網等公眾網絡來連接到其它路由器。在我的測試中，我非常喜歡USG100在配置IPSec站點到站點VPN隧道時的簡潔性，但是對它的協同功能和吞吐能力非常失望。

我在USG100和一個網件交換機之間建立了一個站點到站點VPN隧道。盡管我可以USG100與該交換機之間建立一個連接，卻不能通過這個連接來發送數據。

合勤科技的這個安全設備支持所有的典型加密和認證算法，包括DES、3DES和具有MD5和SHA-1認證的AES-127/192/256加密。我使用了默認的DES加密和SHA-1認證。

為了測試VPN的吞吐能力，我使用了Jperf來產生從局域網到合勤科技局域網的通信，然后對其進行反向測試。在測量VPN吞吐能力之前，我訪問了一個常見的網站來測量我的ISP上傳和下載速度。這一點是非常重要的，因為VPN吞吐能力不可能超過發送端的上傳速度和接收端下載速度中的較低速度。

以下是我的測試數值表：

圖14、測試數值

從以上測試數據可以看出，在進行從合勤科技局域網到我的局域網VPN連接吞吐能力測試的時候，其測試數值只有最大可能連接速度的15%。

當然，由于此項測試通過公眾互聯網傳輸數據，很難說瓶頸到底在哪兒。

#p#

IPSec客戶端測試

IPSec客戶端VPN功能也有它的優勢和不足。合勤科技使用了二層隧道協議(L2TP)和IPSec技術來實現IPSec客戶端VPN連接。這個解決方案的優點是，L2TP軟件在Windows XP和Vista中都內置，省去了加載和配置另一個應用軟件的麻煩。USG100可以支持多達50個IPSec客戶端，無需任何額外的許可費用。

在合勤科技的說明書中，有一個非常有用的配置示例，可以幫助你正確的配置USG100和客戶端PC。和USG100上的其它功能配置一樣，你需要多個步驟來完成配置，其中包括建立VPN網關、VPN連接、多個地址對象、用戶名和密碼，以及一個策略路由。

我在一臺Vista筆記本上配置了一個L2TP/IPSec VPN連接，需要輸入預共享密鑰、用戶名和密碼、USG100的IP地址，以及啟用PAP，如圖15所示。配置完成后，我可以從這臺Vista筆記本上正確的連接到USG100上。

圖15、配置PAP

這種解決方案的缺陷是，正如設備手冊中所說的那樣，L2TP/IPSec VPN連接不支持NAT，因此客戶端PC必須具有一個公網IP地址。對于某些用戶來說，這可能是一個非常大的缺陷。

#p#

SSL VPN測試

對于遠程客戶端訪問，我更喜歡的VPN解決方案是SSL VPN技術，USG100也支持該技術。通過SSL VPN技術，用戶無需再使用客戶端，只要通過一個瀏覽器即可，它可以支持更多遠程網絡類型，而且配置也更簡單。

我發現，在USG100上建立SSL VPN連接非常簡單。所有需要用戶做的就是創建一個用戶名和密碼，然后為SSL客戶端啟用和配置訪問權限。

圖16、SSL VLPN配置

配置完成后，我可以從一臺運行著Windows XP Pro系統的筆記本上遠程連接到圖16所示的三個不同子網中的設備。

在運行SSL客戶端的時候，我在DOS命令窗口下輸入了命令“netstat -r”，得到圖17所示窗口，顯示了我的筆記本的路由表。注意左側的目的網絡中包含192.168.3.0、192.168.10.0和192.168.13.0，這些子網正是USG100中地址對象的子網。這個輸出證明，我的筆記本已經安裝了可以通過SSL VPN訪問這些網絡的路由。

圖17、SSL連接的netstat命令輸出

SSL VPN的好處之一是，遠端PC用戶無需配置什么，因為這個連接是通過瀏覽器建立起來的，瀏覽器會自動下載一個SSL連接applet。不過，這些applets依然必須與不同的瀏覽器相兼容。我可以使用IE7和Firefox 3.0.1通過一個SSL VPN連接到USG100上，但是蘋果的Safari瀏覽器不可以。

另外，SSL applets還必須與客戶端計算機的操作系統相兼容。不幸的是，USG100的SSL VPN只支持XP，而且只支持兩個許可。(后者是一個產品策略問題，而并非一個技術缺陷。)據合勤科技稱，支持Vista的SSL applets將在2009年推出。

#p#

性能評測

為了評價路由器性能，我使用Jperf進行LAN和WAN之間的雙向吞吐能力測試。每一個方向我進行了三次測試，取其平均值，測試結果如圖18所示。

我按照兩種情況進行了測試，分別是在關閉防火墻功能和開啟防火墻功能情況下重復測試工作。

圖18、吞吐能力測試結果

從上面的測試結果中，我們可以得出兩點結論。第一，盡管它的性能非常均衡，而且比其它UTM設備要高一些，但是它很明顯未能完全利用其千兆接口的性能。第二，USG的防火墻功能會使其吞吐能力降低5-6Mbps。

不過，它的這一吞吐能力已經完全可以滿足絕大多數企業互聯網連接的需要。

而且，數據流吞吐能力非常穩定，沒有出現驟降的現象。在我的測試過程中，Jperf所產生的曲線相對非常平穩，如圖19所示。

圖19、LAN到WAN時Jperf吞吐數據

總結：瑕不掩瑜 功能強大

和許多UTM產品相比，USG100用戶可以免費進行固件升級，以及獲得免費電話支持。其強大的保障和支持團隊對產品非常熟悉，而且合勤科技為USG100提供5年質保。

總體來說，USG100是一款非常強大的安全網關設備。它的VLAN功能尤其令人印象深刻。USG100的多子網功能配合VLAN功能，可以讓你選擇使用便宜的無網管交換機，當然，如果你想完全利用強大的VLAN功能，需要去購買價格相對較高的網管交換機。

在不足方面有，它目前還沒有支持Vista的SSL VPN applet。而且，我希望它能更充分的利用其千兆網口的性能，實現更高的路由吞吐能力。

【編輯推薦】

1. Hillstone SA-5050安全網關性能評測報告
2. 內容安全網關 冠群金辰內容安全網關KSG家族