可能大部分使用者皆會把Zyxel定位在家用端產品線上,包含線上購物網站常看到Multy系列的無線網路產品及網路交換器等等,事實上,如果早期公司或家中有安裝HiNet VDSL所提供的小烏龜Pxxx系列都是合勤所製作,而與企業比較相關除了交換器、無線AP以外,就是防火牆設備。
近期合勤除了原有的USG系列防火牆外,為了回應市場都以Next Generation為標題的防火牆設備推出了ZYWALL ATP系列防火牆,到這邊可能又有人產生疑慮,合勤防火牆可以嗎??可別忘了合勤可是ICSA實驗室連續20年傑出資訊安全測試獎,這包含了ZYWALL ATP系列防火牆系列,可見合勤在資安領域上有一定的品質水準
。這次測試架構如下圖:
![[開箱評測]資安防護優先-國產沙箱防火牆-Zyxel ATP防火牆評測](https://attach.mobile01.com/attach/202003/mobile01-3be446a0b7c06ac7061dba83a351acfb.png)
1.首先,收到物品第一眼包裝,簡約風格,印上ZYXEL | Security字樣,代表這是Zxyel資安產品:
![[開箱評測]資安防護優先-國產沙箱防火牆-Zyxel ATP防火牆評測](https://attach.mobile01.com/attach/202003/mobile01-f2e091769c2ca8c2fd7fa8a8d497d896.png)
2.開啟後本體,型號是ATP100(依照不同需求另提供ATP200、500、800提供企業選擇):
![[開箱評測]資安防護優先-國產沙箱防火牆-Zyxel ATP防火牆評測](https://attach.mobile01.com/attach/202003/mobile01-38d7a76802f066c82321ac40de0384fc.png)
ATP100提供一個WAN埠、4個LAN/DMZ埠及一個小型防火牆少見的SFP,全Giga介面足夠一般中小企業使用。
![[開箱評測]資安防護優先-國產沙箱防火牆-Zyxel ATP防火牆評測](https://attach.mobile01.com/attach/202003/mobile01-f14ffd3e65ecfbc54c34cccfc990a3b3.png)
此外,ATP100管理介面中有行動電話介面,可以透過USB接上行動上網模組,以目前4G行動上網亦可當成是不錯的線路備援方案。
![[開箱評測]資安防護優先-國產沙箱防火牆-Zyxel ATP防火牆評測](https://attach.mobile01.com/attach/202003/mobile01-c862a16aa785ebf8944fc4b31e254636.png)
3.ATP100詳細的規格數據可以參考原廠網站資訊(https://www.zyxel.com/tw/zh/products_services/ATP-Firewall-ZyWALL-ATP100/license-and-spec),主要幾項數據:
| 規格 | Zyxel ATP100 |
| 防火牆效能 | 1,000Mbps |
| UTM (病毒防護+IDP) 效能 | 250Mbps |
| 最高同時連線數(Sessions) | 300,000 |
| 介面 | 4 x LAN/DMZ, 1 x WAN, 1 x SFP |
| VPN 效能 | 300 Mbps依據RFC 2554(1,424 -byte UDP封包)測試 |
| 同時 SSL VPN 用戶數 | 10 |
| 管理AP數量(一年授權服務) | 10 |
4.初始配置依照盒子中簡易手冊可以方便進行配置,一條網路線接上LAN/DMZ埠DHCP取得192.168.1.x網段IP,接著透過瀏覽器開啟192.168.1.1即可登入配置(預設帳號admin,密碼1234):
![[開箱評測]資安防護優先-國產沙箱防火牆-Zyxel ATP防火牆評測](https://attach.mobile01.com/attach/202003/mobile01-ec97c233de92021994716aa9a4c3ab3c.png)
初次登入會要求變更密碼:
![[開箱評測]資安防護優先-國產沙箱防火牆-Zyxel ATP防火牆評測](https://attach.mobile01.com/attach/202003/mobile01-56c2f943e9a4338ad31ab870f36c8483.png)
接下來透過精靈配置可以很快完成基礎配置作業:
![[開箱評測]資安防護優先-國產沙箱防火牆-Zyxel ATP防火牆評測](https://attach.mobile01.com/attach/202003/mobile01-71840ad4909dba7fc142fda900551ac5.png)
完成配置進到主畫面,整個資訊相當完整,包含效能狀況、介面燈號、韌體資訊及流量等等:
![[開箱評測]資安防護優先-國產沙箱防火牆-Zyxel ATP防火牆評測](https://attach.mobile01.com/attach/202003/mobile01-dfead34fb816e437678c9e49061c8fa9.png)
第二個Advanced Threat Protection(進階威脅防護)分頁,可就是這台ATP防火牆的重點了,詳細顯示資安資訊(記得先Security Service將功能啟動),包含Botnet(殭屍網路)、沙箱Sandboxing分析狀況、Anti-Malware、IDP、Email Security及Content Filter防禦資訊,這些資訊透過數據及圖表方式呈現,可方便檢視ATP防火牆防禦狀況:
![[開箱評測]資安防護優先-國產沙箱防火牆-Zyxel ATP防火牆評測](https://attach.mobile01.com/attach/202003/mobile01-0be834e698da76a6e6641688b5ceb67f.png)
5.防火牆除一般數據規格以外,資安功能是否夠完善是企業選擇要素之一,與USG系列不同的,ATP系列加入了沙箱(Sandboxing)和Zyxel「資安雲」兩個重要的技術(需與網際網路連線啟動)。沙箱(Sandboxing)技術主要能驗證未知檔案是否具威脅性,一般具備集中式威脅管理(Unified Threat Management,UTM)的防火牆,容易忽略新的惡意程式,透過Zyxel雲端沙箱分析可辨識,啟動後,可選擇上傳雲端分析的檔案類型(包含zip、exe執行檔、office格式檔案、Flash檔案、PDF、RTF等等),選擇類型都是近期比較常被駭客用來包裝進行攻擊的檔案類型。
![[開箱評測]資安防護優先-國產沙箱防火牆-Zyxel ATP防火牆評測](https://attach.mobile01.com/attach/202003/mobile01-a258677e14327b4f6df411e003de2114.png)
Zyxel「資安雲」結合了機器學習(Machine Learning)的功能,其實,就是將全球目前使用ATP系列防火牆的資訊彙整成為一個大數據資料庫,達到聯合防禦的機制,還會時刻更新資料庫,讓防火牆的防護情資維持在最新狀態。在介面上透過Anti-Malware可以直接Enable Cloud Query功能並設置檔案類型:
![[開箱評測]資安防護優先-國產沙箱防火牆-Zyxel ATP防火牆評測](https://attach.mobile01.com/attach/202003/mobile01-922e028a026e7db9fe77c9fa14462785.png)
測試過程中,嘗試下載Eicar,有效被Anti-Malware給阻擋:
![[開箱評測]資安防護優先-國產沙箱防火牆-Zyxel ATP防火牆評測](https://attach.mobile01.com/attach/202003/mobile01-edfb67d388be3e169d9e78b64022d8a3.png)
此外,在測試期間開啟的信譽評等過濾服務,效果也很顯著,共命中IP有1052筆:
![[開箱評測]資安防護優先-國產沙箱防火牆-Zyxel ATP防火牆評測](https://attach.mobile01.com/attach/202003/mobile01-c16a3e0273b8ac6edb81a07e4f4eef99.png)
將IP透過VirusTotal分析,確實有發現部分被阻擋的IP曾被列為Malicious:
![[開箱評測]資安防護優先-國產沙箱防火牆-Zyxel ATP防火牆評測](https://attach.mobile01.com/attach/202003/mobile01-2630b7b41232eb703390f96851930628.png)
資安項目的設定,基本上都有黑、白名單可以自訂,無論是需要自訂阻擋或排除阻擋皆可自行配置,這點還是比較彈性。
6.韌體更新可使防火牆設備保持更新狀態,維持設備的定期修正安全性及穩定性。ATP100更新過程相當簡單,首頁中,若有新版韌體出現一朵雲N標示,點選即可進到更新畫面:
![[開箱評測]資安防護優先-國產沙箱防火牆-Zyxel ATP防火牆評測](https://attach.mobile01.com/attach/202003/mobile01-bda7942739728a5d28feafcdfd656481.png)
ATP系列基本上是雙韌體,一版是Running,另一版則是Standby,避免單一韌體意外導致設備無法運行:
![[開箱評測]資安防護優先-國產沙箱防火牆-Zyxel ATP防火牆評測](https://attach.mobile01.com/attach/202003/mobile01-467e816a3a1aa58295eaefa6e7dff4fc.png)
7.IPv6支援已逐漸成為主流,以目前測試採用中華電信PPPOE方式,也只需將IPv6和SLAAC配置啟動,稍配置一下即可享受IPv6的服務,透過測試驗證可完全支援:
![[開箱評測]資安防護優先-國產沙箱防火牆-Zyxel ATP防火牆評測](https://attach.mobile01.com/attach/202003/mobile01-cb9012517a0285755c77cefbf0677546.png)
8.總結
總體來說這幾周體驗Zyxel ATP100防火牆,其實有點顛覆自己對Zyxel防火牆產品的印象,尤其此款在資安防護上的強化。總結這次體驗下來的優點及注意事項:
I. 雖是國內自行設計研發的資安廠商,但穩定性不錯(這次測試約3週時間,並未有不穩定狀況發生)
II. 除防火牆功能外,還結合沙箱及資安雲技術,提供更完善的資安防護功能,能夠防禦未知攻擊,縮短零時差攻擊的時間。近幾年,政府因應資通安全法規,對於資安要求逐漸升高,進一步強化資安防禦成為必備設備
III. 依需求提供不同型號給企業選擇,介面除了一般UTP介面外,另提供SFP介面,此外,針對近期防疫需求,SSL VPN亦提供遠距連線功能
IV. 這次未體驗到的雲端服務(包含SecuReporter智能分析與報表、微軟Azure平台認證等等)
至於產品注意事項,彙整如下:
I. ATP100並無提供機架安裝,若有需要上機架須購買到ATP200型號
II. ATP100和200的 SSL VPN 用戶數限制10人,VPN流量上只有500Mbps,企業購買主要是有VPN連線需求時須注意
III. 設備備援功能需購買ATP500(含)以上型號,這點若有此需求須留意
