Почему скорость передачи данных между зонами LAN1/LAN2/DMZ на ZyWALL USG ниже, чем в одной зоне?

Почему на аппаратном шлюзе серии ZyWALL USG скорость передачи данных между зонами LAN1/LAN2/DMZ ниже, чем в одной зоне?


Причина кроется в работе модуля UTM, который состоит из потокового антивируса, системы обнаружения и предотвращения вторжений (IDP), системы обнаружения аномалий (ADP) и Firewall.

Потоковый антивирус, основанный на современных технологиях ZyXEL и Лаборатории Касперского, сканирует в реальном времени интернет-трафик, препятствуя проникновению вредоносных программ в корпоративную сеть. Благодаря регулярному автоматическому обновлению баз сигнатур антивирус способен обнаруживать и уничтожать самые новые вирусы.

Система обнаружения и предотвращения вторжений IDP (Intrusion Detection&Prevention) работает на 7-м уровне модели OSI и предназначена для нейтрализации сетевых червей, троянов и прочих угроз, использующих известные уязвимости операционных систем и прикладных программ. Использует автоматически обновляемые базы сигнатур.

Система обнаружения аномалий ADP (Anomaly Detection and Prevention) анализирует проходящие через аппаратный шлюз сетевые пакеты на 2-м и 3-м уровнях модели OSI, выявляя аномалии (несоответствия с RFC) протоколов HTTP, TCP, UDP и ICMP, а так же позволяет обнаружить аномалии трафика. Обнаружение аномалий трафика направлено на противодействие разведывательным действиям и атакам различного рода.

По умолчанию при включении Anti-Virus, IDP и ADP данные механизмы проверяют весь трафик, проходящий в направлении WAN –> локальная сеть, а также между зонами LAN1, LAN2 и DMZ, созданными на шлюзе безопасности ZyWALL USG. Трафик внутри одной зоны не проверяется.

Однако наибольшая угроза безопасности для корпоративной сети исходит обычно именно извне, т.е. из Интернета. Обычно считается, что внутренняя корпоративная сеть находится под контролем системного администратора, поэтому при должном контроле проверка трафика в локальном сегменте требуется далеко не всегда. При этом следует помнить, что ZyWALL USG – это первый рубеж защиты корпоративной сети и установленное антивирусное ПО на пользовательских компьютерах – вещь тоже очень нужная.

Официально заявленная пропускная способность модуля UTM (AV+IDP/ADP+Firewall) присутствует в характеристиках каждой модели; чем производительнее платформа, тем она, соответственно, выше.
Рассмотрим влияние работы модуля UTM на примере одной из младших моделей - ZyWALL USG 50, где заявленная пропускная способность модуля составляет 30 Мбит/с.

Здесь необходимо отметить важный нюанс: указанная пропускная способность актуальна в условиях многопотоковой передачи данных (т.е. в условиях работы корпоративной сети), так как Dual-Core архитектура ZyWALL USG 50 оптимизирована именно под обработку большого количества пользовательских сессий одновременно. В случае однопотоковой передачи данных между зонами (например, простая передача файла по FTP или NetBIOS) скорость обработки UTM может быть ниже.

Проведенные исследования показали, что наиболее существенное влияние на пропускную способность между зонами на ZyWALL USG 50 оказывает включение IDP, так как данный модуль обрабатывает пакеты на 7-м уровне модели OSI. При его включении, пропускная способность между сегментами локальной сети ограничивается максимальной пропускной способностью модуля UTM. Чтобы увеличить скорость работы корпоративной сети, не отключая IDP совсем, можно изменить настройки в IDP > Policies так, чтобы модуль не обрабатывал трафик между сегментами локальной сети, а проверял его только из зоны WAN, т.е. из Интернета.


Включение ADP оказывает существенно меньшее влияние на пропускную способность между зонами, так как работает на 2-м и 3-м уровнях модели OSI. Но для повышения скорость сети можно также изменить настройки в ADP > Policies так, чтобы модуль не обрабатывал трафик между сегментами локальной сети.


Включение антивируса не оказывает существенного влияния на пропускную способность между зонами, поэтому нет необходимости изменять правила направлений работы антивируса. Можно оставить настройки по умолчанию, предоставив ему проверять весь трафик, который проходит через шлюз безопасности ZyWALL USG.

 
Внимание! В меню веб-интерфейса устройств новой линейки шлюзов безопасности ZyWALL 110/310/1100 и USG 40/40W/60/60W/1900 присутствуют изменения по сравнению с меню предыдущей линейки аппаратных шлюзов ZyWALL USG 20/20W/50/100/300/2000.
Разработчики переименовали некоторые пункты меню и разделы, а какие-то пункты были перенесены в другой раздел. Дополнительную информацию об изменениях в веб-интерфейсе новых устройств вы можете найти в статье: «Основные изменения пунктов меню веб-интерфейса новой линейки шлюзов безопасности серии ZyWALL/USG по сравнению с предыдущей линейкой ZyWALL USG»
 
 

KB-3407

Была ли эта статья полезной?
Пользователи, считающие этот материал полезным: 0 из 0

Комментарии

0 комментариев