Hoy traemos un producto para la pequeña y mediana empresa con el objetivo de garantizar la seguridad en la red corporativa. Cada vez son mas necesarios este tipo de productos y las empresas han comprendido, quizás por una mala experiencia, lo importante que es disponer de este tipo de soluciones. Ya no basta con el router del proveedor de Internet y es muchos casos es necesario aumentar la seguridad con un producto como el ZyXEL USG Flex 100. Además de Firewall este dispositivo realiza tareas de Filtrado Web, Sistema de Prevención de Intrusos, Control de Aplicaciones, Anti-Malware, Filtrado de Correo… y muchas mas que iremos desgranando a lo largo del análisis
Especificaciones:
USG FLEX 100 | USG FLEX 200 | USG FLEX 500 | |
---|---|---|---|
Hardware Specifications | |||
10/100/1000 Mbps RJ-45 ports | 4 x LAN/DMZ, 1 x WAN, 1 x SFP | 4 x LAN/DMZ, 2 x WAN, 1 x SFP | 7(Configurable), 1x SFP |
USB3.0 ports | 1 | 2 | 2 |
Console port | RJ45 | DB9 | DB9 |
Rack-mountable | – | Yes | Yes |
Fanless | Yes | Yes | – |
System Capacity & Performance*1 | |||
SPI firewall throughput (Mbps)*2 | 900 | 1,800 | 2,300 |
VPN throughput (Mbps) | 270 | 450 | 810 |
IDP throughput (Mbps)*4 | 540 | 1,100 | 1,500 |
AV throughput (Mbps)*4 | 360 | 570 | 800 |
UTM throughput (AV and IDP, Mbps)*4 | 360 | 550 | 800 |
Max. TCP concurrent sessions*5 | 300,000 | 600,000 | 1,000,000 |
Max. concurrent IPsec VPN tunnels*6 | 40 | 100 | 300 |
Concurrent SSL VPN users | 30 | 60 | 150 |
VLAN interface | 8 | 16 | 64 |
Concurrent devices logins (default/max.)*7*8 | 64 | 200 | 200 / 300 |
WLAN Management | |||
Managed AP number (default/max.)*7 | 8 / 24 | 8 / 40 | 8 / 72 |
Recommend max. AP in 1 AP Group | 10 | 20 | 60 |
Security Features | |||
Anti-Malware*7 | Yes | Yes | Yes |
IPS(IDP)*7 | Yes | Yes | Yes |
Application Patrol*7 | Yes | Yes | Yes |
Email Security | Yes | Yes | Yes |
Web filtering (CF)*7*9 | Yes | Yes | Yes |
SecuReporter Premium*7 | Yes | Yes | Yes |
Key Features | |||
VPN | IKEv2, IPSec, SSL, L2TP/IPSec | IKEv2, IPSec, SSL, L2TP/IPSec | IKEv2, IPSec, SSL, L2TP/IPSec |
SSL (HTTPS) Inspection | Yes | Yes | Yes |
2-Factor Authentication | Yes | Yes | Yes |
Hotspot Management*7 | – | Yes | Yes |
Ticket printer support*10/ Support Qty (max.) | – | Yes (SP350E) / 10 | Yes (SP350E) / 10 |
Microsoft Azure | Yes | Yes | Yes |
Amazon VPC | Yes | Yes | Yes |
Device HA Pro | – | – | Yes |
Power Requirements | |||
Power input | 12V DC, 2A max. | 12V DC, 2.5A max. | 12V DC, 4.17A |
Max. power consumption (Watt Max.) | 12.5 | 13.3 | 24.1 |
Heat dissipation (BTU/hr) | 42.65 | 45.38 | 82.23 |
Physical Specifications | |||
Item | |||
Dimensions (WxDxH)(mm/in.) | 216×147.3×33/8.50×5.80×1.30 | 272x187x36/10.7×7.36×1.42 | 300x 88×44/16.93×7.4×1.73 |
Weight (kg/lb.) | 0.85/1.87 | 1.4/3.09 | 1.65 / 3.64 |
Packing | |||
Dimensions (WxDxH)(mm/in.) | 284x190x100/11.18×7.48×3.94 | 427x247x73/16.81×9.72×2.87 | 351x152x245/13.82×5.98×9.65 |
Weight (kg/lb.) | 1.40/3.09 | 2.23 (W/O breacket) 2.42 (W/ breacket) | 2.83/6.24 |
Included accessories | Power adapter RJ-45 – RS-232 cable for console connection | Power adapter Rack mounting kit (optional, by regions) | Power adapter Power cord Rack mounting kit |
Environmental Specifications | |||
Operating environment | |||
Temperature | 0°C to 40°C / 32°F to 104°F | 0°C to 40°C/ 32°F to 104°F | 0°C to 40°C/ 32°F to 104°F |
Humidity | 10% to 90% (non-condensing) | 10% to 90% (non-condensing) | 10% to 90% (non-condensing) |
Storage environment | |||
Temperature | – 30°C to 70°C / – 22°F to 158°F | – 30°C to 70°C / – 22°F to 158°F | – 30°C to 70°C / – 22°F to 158°F |
Humidity | 10% to 90% (non-condensing) | 10% to 90% (non-condensing) | 10% to 90% (non-condensing) |
MTBF (hr) | 989810.8 | 529688.2 | 529688.2 |
Acoustic noise | – | – | 24.5dBA on <25degC Operating Temperature 41.5dBA on full FAN speed. |
Certifications | |||
EMC | FCC Part 15 (Class B) CE EMC (Class B) BSMI | FCC Part 15 (Class B) CE EMC (Class B) C-Tick (Class B) BSMI | FCC Part 15 (Class A) CE EMC (Class A) C-Tick (Class A) BSMI |
Safety | LVD (EN60950-1) BSMI | LVD (EN60950-1) BSMI | LVD (EN60950-1) BSMI |
La Caja y el Contenido
Como ya hemos comentado este producto no va dirigido a usuarios domésticos y por tanto la caja es muy austera y funcional. Apenas se indica el modelo, y no aparece ninguna característica del mismo. Tan sólo un par de QRs con información comercial.
En su interior va perfectamente protegida la unidad, junto con un cable de consola COM, 4 pegatinas de goma, transformador (conector Americano y Europeo) y los Guía Rápida/Garantía/Declaración de conformidad.
Indicar que el consumo será bajo, dado que su transformador es de 24 Watios (12Voltios – 2 Amperios). Es importante indicar que este dispositivo tiene que estar funcionando en todo momento.
La unidad
Llega el momento de ver como es el ZyXEL USG Flex. Es muy similar a todos los dispositivos que cumplen esta función en un entorno de empresa pequeña. Es decir, chasis metálico con agujeros para refrigerar el equipo ya que la mayoría son pasivos.
En el lado izquierdo la unidad incorpora el sistema de anclaje Kensington, muy util en este tipo de equipos que tienen que estar fijos.
En el frontal han decidido darle un toque de color con 2 franjas rojas. De izquierda a derecha encontramos:
- Botón de Reset
- Luz de Power
- Luz de System
- Indicadores de Ethernet
- P1 – SFP
- P2 – WAN
- P3, P4, P5 y P6 LAN
- Puerto USB 3.0
En la imagen de arriba se ven los dos agujeros inferiores para colgar el unidad. Para colocar sobre una mesa, el kit incorpora 4 patas/gomas a colocar en las esquinas
En la parte trasera se localizan los conectores RJ45 y SFP. De izquierda a derecha encontramos:
- Entrada de alimentación
- Botón de encendido
- Conector SFP
- Conector RJ45 de Consola
- Conector RJ45 WAN
- 4 Conectores RJ45 LAN
Nos hubiera gustado ver un sistema de alimentación basado en USB-C con Power Delivery, algo que se va a convertir en el standard de la alimentación de dispositivos electrónicos.
Funcionalidad y Pruebas
Lo primero volver a recalcar que es una unidad pensada para pequeña/mediana empresa y que muy probablemente la gente de IT interna/externa será la encargada de configurarla.
El proceso de configuración ha sido un tanto extraño, por un lado no hemos podido configurarla con Google Chrome, debido a que no se acepta el certificado que incorpora. Este error viene por un certificado no oficial, pero que otros dispositivos son capaces de saltar las restricciones de Chrome.
La instalación se realizó desde Safari sin problemas. Mediante un Wizard (en inglés) va guiando al usuario y preguntando por la configuración de WAN, LAN…
Es necesario crear una cuenta de ZyXEL para registrar el equipo, si no lo hacemos no es posible terminar el Wizard de Configuración. Esta cuenta en ZyXEL será la que posteriormente nos permitirá registrar y asignar los servicios que deseemos para nuestro firewall.
Vamos con uno de los puntos claves y que creo debe quedar muy claro. Este firewall dispone de determinados servicios de pago para los que deberemos suscribirnos. Con la compra del dispositivo se incluye 1 Mes de prueba de todos los servicios de pago:
- Web Filtering (CF)
- Email Security (Anti-Spam)
- Application Patrol
- IPS (IDP)
- Anti-Malware
- SecuReporter
Tras es trial deberemos pagar 246,77 Euros al año si queremos seguir disfrutando de los servicios arriba listados. O bien adquirir por 150,22 Euros al año la licencia para el filtrado Web y el Anti-Spam. Personalmente creo que deberían venir incluido el primer año de subscripción, teniendo en cuenta que el equipo cuesta 387,45 Euros. Existe una opción que nos permite adquirir el hardware y 1 años de subscripción, con un coste de 492 Euros; ahorrándonos 140 Euros si lo compramos por separado.
En la página de Dashboard contamos con la información básica y también con la de los servicios principales que ofrece este router. Y obviamente desde este menú podemos ir directamente a la configuración específica de cada servicio.
El resto de las opciones del Firewall están divididas en:
- Quick Setup
- Monitor
- Configuración
- Mantenimiento
Obviamente no voy a entrar en cada uno de las sub opciones, no aportaría nada y el review sería casi infinito. Nos centraremos en destacar los puntos man interesantes bajo nuestro criterio.
Empezamos con los 4 servicios que van a proteger nuestra red: Filtrado Web, Anti-Spam, Sistema de Detección de Intrusos y Anti Malware. Los 4 son realmente completos y se actualizan cada poco tiempo, es por estas actualizaciones por las que se paga una subscripción anual.
El USG Flex permite bloquear Webs, detectar Malware en ficheros comprimidos, verificar la reputación de las web, bloquear cifrados inseguros… Como veis muy completo y de sobras para una PYME.
Vamos ahora con otro de los puntos destacables, Application Patrol. Gracias a este servicio podemos bloquear determinados protocoles y evitar que en nuestra empresa la gente descargue torrents, escuche música, bloquear proxys. Es realmente sencillo, tan solo seleccionar el protocolo y la acción a realizar. Por defecto viene ya con una serie de bloqueos a los protocolos de Proxy mas utilizados para saltar Firewalls.
Es muy sencillo agregar reglas, dado que podemos ver las estadísticas de cada tipo de paquete y si el trafico es alto para algún protocolo que no se debería utilizar, se puede bloquear fácilmente.
El último servicio es Secure Reporter, un sistema de reportes en la nube. De esta forma la información se analiza en la nube y semanalmente recibimos por email uno serie de informes de cada servicio.
Además de los servicios principales del USG destacar:
- Servidor de VPN
- Gestión de APs
- Conexión de discos externos por USB
- Control de Sesiones
- Control de Tráfico
A nivel de consumo no pasa de los 8 watios en nuestras pruebas y es completamente pasivo <-> silencio absoluto. En otras palabras, se puede tener encima de la mesa de trabajo.
Conclusiones
ZyXEL es un conocido fabricante de dispositivos de red, cada vez más diversos y potentes acorde al mercado que los demanda. El USG Flex 100 es el hermano pequeño de la gama USG Flex y pese a todo cuenta con toda la funcionalidad de los hermanos mayores. Aunque obviamente con una menor capacidad de procesamiento.
Esta gama supera ampliamente a su predecesora, formada por los modelos 40/40W/60/60w. Como muestra de la diferencia, una comparativa entre el modelo USG 40 y el USG Flex 100.
USG 40 | USG FLEX 100 | Test criteria | |
firewall throughput | 400 Mbps | 900Mbps | Maximum throughput based on RFC 2544 (1,518-byte UDP packets) |
UTM throughput(AV and IDP) | 60Mbps | 360Mbps | Industry standard HTTP performance test (1,460-byte HTTP packets). Testing done with multiple flows. |
Vista la funcionalidad que ofrece, yo creo que este modelo puede ser valido para cualquier pequeña y mediana empresa, tanto por potencia, como por los servicios que incorpora. La única pega bajo mi punto de vista es que la unidad no incluya de serie 1 año de subscripción al adquirir el equipo.
Por todo ello ha recibido una nota de 7.1 y nuestro sello de producto recomendado.