ファイアウォールを選択する人向け

はじめに

昔々、ネットワーク境界を保護する唯一の手段が、FreeBSDや通常のファイアウォールなど、何らかのフリーなUNIXライクなオペレーティングシステムを備えた古いコンピューターからのルーターであった時代でした。



現在、システム管理者は、既製のハードウェアおよびソフトウェアシステムだけでなく、サーバーにインストールするための多数の特殊なディストリビューションにアクセスできます。



需要と供給の発展により、専門性が高まりました。



以前は、ネットワークへのアクセスを組織し、セキュリティを確保することは厳選された教祖の仕事でしたが、現在ではインターネットアクセスのあるポイントの数は日々増加しており、どの学生もゲートウェイ、ルーター、アクセスポイントを接続して、ネットワーク内のトラフィックの分散を開始できます。



ネットワークの脅威も変わりました。 現在、主な危険は「古い学校」のハッカーではなく、新しいタイプのウイルスやトロイの木馬による大量感染です。 攻撃を準備する際、攻撃者はサードパーティのリソース、たとえば、事前に作成されたボットネット（ゾンビネットワーク）を使用して、スパムを送信したり、DDOS攻撃を整理したりできます。



しかし、それだけではありません。 ネットワークの発展に伴い、送信者と受信者のセキュリティレベルがますます重要な役割を果たしているだけでなく、情報がどのように、どのような経路で、どのように送信されるかが重要になります。



これらの質問に答えていない場合、他の質問に答える必要があります。たとえば、「口座からお金はどこに行きましたか？」、「これについてどうやって知りましたか？」、「最終的には何かが機能しますか？！」



次に、何から何を保護し、どのツールを選択するのが適切かを正確に知る必要があります。

Zyxelが提供するもの：特定の分離

保護が必要な2つの主要な領域があります。

1. サードパーティのリソースへのアクセスおよびサードパーティのユーザーの企業へのアクセス（Webサイトなど）。 これらのソリューションは、Zyxel ZyWALL ATPシリーズゲートウェイおよび完全に閉じたUSGシリーズのクラウドリソースの使用と共有できます。
2. 個々のノードの相互接続。たとえば、センターとのブランチ、または雇用主との個人。 これは通常、仮想プライベートVPN通信チャネルを使用して行われ、Zyxel ZyWALL VPNシリーズがここで適しています。

表1. ZyWALL VPN、USG、およびZyWALL ATPシリーズのZyxelゲートウェイの分類。







ご注意 また、この章では取り上げないZyxelゲートウェイファミリもあります。 これらはZyxel Nebulaクラウド対応デバイスです。 しかし、「広大さを把握することは不可能」なので、今度はローカル制御を備えたデバイスのクラシックバージョンに集中します。



違いにもかかわらず、いくつかの共通の機能があることに注意してください。 各分野の中で、大企業と小規模組織の両方のソリューションを選択できます。 これにより、いくつかの設計機能が課せられます。









図1. USG2200-VPNを企業で使用するためのゲートウェイ 。



たとえば、一部の小規模ビジネスモデルには、ワイヤレスアクセスポイントとして使用するためのWiFiモジュールが組み込まれています。









図2.小規模なUSG60W組織のネットワークを保護するためのゲートウェイ。



3つの領域すべての機能が部分的に重複しているため、推奨される範囲について説明します。



もちろん、USGゲートウェイでVPN接続を構築しようとしたり、VPNを使用してネットワークを保護しようとしても、何も悪いことは起こりませんが、あまり効果的ではありません。



したがって、各方向の機能に進む前に、それらの共通の機能を調べることが役立ちます。



警告された者は武装している

OneSecurity.comポータルは、運用情報の単一のホスティングとして使用されます。 この特別なリソースには、現在のセキュリティの脅威に関する運用情報と推奨事項が含まれています。 OneSecurityは、ネットワークセキュリティを強化するための最新情報と推奨事項を提供します。 これは、脅威の数が増加しているにもかかわらず、企業およびITプロフェッショナルがネットワークを保護するのに役立ちます。



便宜上、このポータルへのアクセスは、USGシリーズおよびZyWALL VPNシリーズ製品のグラフィカルインターフェイスに統合されています。 情報とリソースは、これらの製品のGUIコンソールでワンクリックで検索されます。 このアプローチのおかげで、現在の脅威とその除去方法をすばやく簡単に見つけることができます。 資料は、定評のあるFAQ形式（よくある質問）の形式で表示されます。 これにより、特定の脅威から保護するために必要なすべての対策をタイムリーに実行できます。



コンテンツフィルタリング

コンテンツフィルタリングは、危険で主流ではないWebサイトへのアクセスをブロックするために使用されます。 コンテンツフィルタリング2.0の最近リリースされた新しいバージョンには、HTTPSドメインフィルター、ブラウザーセーフサーチ、およびGeo IPブロックのセキュリティ機能が強化され、Web接続のセキュリティが向上しています。



高速かつ安全なアップデート

この機能は、3つの領域すべてに共通しています。

必要なバージョンの必要なファームウェアアップデート（ファームウェア）の検索を容易にするために、最新のファームウェアバージョンに関する情報を提供する新しいCloud Helperサービスが使用されます。



最新バージョンは、公式リリースの直後に入手できます。これにより、信頼性と信頼性が保証されます。

Zyxel ZyWALL VPNシリーズ

推奨される使用領域-安全で信頼できるVPN接続

主な目的は、安全な暗号化アルゴリズムSecure Hash Algorithm 2（SHA-2）を使用したトラフィックトンネリングです。



ZyWALL VPN 50/100/300を使用すると、オンプレミスサーバー、リモートデバイス、およびクラウド展開されたアプリケーション間に高速で安全な通信を実装できます。









図3.信頼できるZyWALL VPN300 VPN接続を確立するためのゲートウェイ。



それとは別に、デュアルWAN機能のフェールオーバーとフォールバックのサポートに注目する価値があります。 2つのWAN接続が存在するため、そのうち1つがプライマリとして使用され、2つ目がバックアップであるため、プライマリ接続に障害が発生した場合、Zyxel VPNファイアウォールは自動的にバックアップに切り替わります。



また、ZyWALL VPNシリーズはマルチWANロードバランシング/フェイルオーバー機能を使用し、WAN接続の予約に使用できる互換機器のリストからセルラーネットワークのUSBモデムを完全にサポートします。

信頼性の高い要件を備えたチャネルを構築するために、ZyWALL VPNシリーズは、アクティブ/パッシブモードのフェイルセーフクラスター（高可用性、HA）の一部として動作モードを提供します。



ZyWALL VPNシリーズは、IPSecロードバランシングとフェールオーバーをサポートします。これにより、VTIインターフェイスを実装するときに、ビジネスに不可欠なVPNを切り替えるためのフォールトトレランスが追加されます。



サポートされているVPN機能など ：

• IPSec VPN機能を使用したVPN接続は、ロケーション間の負荷分散とフェイルオーバーを行います。
• SSL、IPSec、L2TP over IPSec VPNを使用したリモートアクセス。
• 本社にあるVPNゲートウェイは、Amazon VPCクラウドとのIPSec VPN接続を確立して、さまざまなクラウドアプリケーションに安全にアクセスし、クラウドリソースを接続して企業ネットワークを拡大することもできます。 これは、グラフィカルインターフェイスとコマンドラインインターフェイス（CLI）の両方で使用できます。
• 管理ホットスポット管理（VPN100以降）-たとえば、カフェ、レストラン、ホテルのゲストなどへの訪問者にインターネットアクセスを提供します。 さまざまなレベルのサービスを提供し、法律の要件に従ってイベントログを保持できます。
• Facebook Wi-FiサービスをZyWALL VPNサービスに統合したおかげで、小さな店やレストランは訪問者にインターネットアクセスを提供できるだけでなく、Facebookでの人気を向上させることができます。
• 統合されたアクセスポイントコントローラは、柔軟なワイヤレス展開のための集中管理を提供します。 ZyWALL VPNシリーズのAPコントローラー機能を使用すると、単一のユーザーインターフェイスを使用して複数のアクセスポイントを集中管理できます。 この機能により、企業のWiFiネットワークの展開と保守が簡単になります。
• サイト間IPSec VPN接続。
• 高可用性VPN接続用のIPSec VPN HAフェールオーバークラスター（負荷分散とフェールオーバー）。
• SSL、IPSec、L2TP over IPSec VPNを使用した内部リソースへの安全なアクセスの組織。
• IPSec VPNを介したMicrosoft AzureとのUSG / ZyWALL接続により、さまざまなクラウドアプリケーションに安全にアクセスできます。

大規模な組織では、より強力なハードウェアを備え、より多くの接続をサポートできるUSG110 / 210/310など、より強力なゲートウェイが適しています。



このデバイスが「私はすべてを持ち歩いている」という原則に基づいて機能することは注目に値します。 ここで、VPN、および適切なレベルの保護、および帯域幅制限。



ただし、特にセキュリティ機能に集中する必要がある場合は、Zyxel Cloudクラウドサービスに直面してサポートされているZyxel ZyWALL ATPシリーズゲートウェイを使用することをお勧めします。

Zyxel ZyWall ATPシリーズ

推奨される使用-マルウェア保護とアプリケーションの最適化の強化



このセキュアゲートウェイファミリの主な特徴は、クラウドリソースを引き付けて保護レベルを上げることです。



最も強力なゲートウェイであっても、1つのリソースでは、多くの入ってくる脅威を分析および診断するには不十分です。



したがって、安全な暗号化アクセスのフレームワーク内で追加のクラウドリソースを引き付けることは、非常に正当化されたステップのようです。



注意！ Zyxel Cloudは、セキュアゲートウェイと外部アクセスの間の情報交換には関与していません。 つまり、トラフィックは通過しません。 クラウドリソースは、主に脆弱性に関する情報の迅速な交換、およびサンドボックス（サンドボックス）の一部としての疑わしいオブジェクトの追加検証の結果に使用されます。



一般に、Zyxel ZyWall ATPファミリーの機能は、前述のZyxel USGバージョンと類似していますが、クラウドメカニズムのサポートにより、常にリソースが不足しているウイルス対策などのサービスが大幅に強化されます。









図4. ATP200ネットワークを保護するクラウド対応ゲートウェイ。



以下は、このシリーズのゲートウェイに固有の特徴的な機能です-Zyxel ZyWall ATP。



Zyxel Cloud Machine Learning

Zyxel Cloudは、すべてのATPファイアウォール上の未知のファイルを識別し、結果をデータベースに収集し、すべてのATPファミリゲートウェイに毎日更新を送信します。 これにより、新しい脅威に関する知識を収集し、機械学習を使用してシステムを開発できます。 したがって、クラウド環境は新しい学習に耐えるように「学習」します。



サンドボックス-サンドボックス

これはクラウドベースの隔離された環境であり、疑わしいファイルが配置されて、起動方法を含む新しいタイプの悪意のあるコードを識別します。 ストリーミングウイルス対策ソフトウェアが検出できないものは、サンドボックスに現れます。

おわりに

もちろん、1つの小さな記事では、最新のZyxelセキュリティゲートウェイで利用可能な幅広い可能性をすべて記述することは不可能です。

詳細については、Habraのブログ、Zyxel Webサイトの資料、そしてもちろん製品ドキュメントをお読みください。

ソース

[1] 小規模企業向けの拡張されたウイルス対策システムの構築。 パート1.戦略とソリューションの選択。

[2] 中小企業向けの拡張されたウイルス対策システムの構築。 パート2. ZyxelのZyWall USG40Wウイルス対策ゲートウェイ。

[3] 小規模企業向けの拡張されたウイルス対策システムの構築。 パート3

[4] 朝食を自分で食べ、仕事をクラウドと共有します。

[5] ファイアウォール専用の公式Zyxel Webサイトのページ。