En realidad, estos dispositivos aún no han comenzado a venderse activamente porque estos firewalls tienen un nuevo sistema operativo y la funcionalidad que existe en las líneas actuales no está completamente implementada.
Las características de la nueva serie USG FLEX H son un nuevo sistema operativo y la flexibilidad de los puertos en todos los modelos, todos los puertos son configurables, cualquier puerto se puede configurar como LAN o WAN, algunos modelos, a partir del 200, admiten Gbit. Algunos modelos admiten PoE.
El rendimiento ha aumentado aproximadamente 3 veces en comparación con modelos similares, USG FLEX solo tiene monitoreo sin administración, aún no hemos decidido "en qué dirección ir", ya sea hacerlo como en la serie USG FLEX, es decir, dos modos de operación: ya sea un modo de configuración completa con una interfaz web reducida, o un modo de monitoreo, donde la interfaz web permanece completa.
Luego, un nuevo cliente VPN: "dos en uno", porque ahora admite no solo IPsec, sino también SSL-VPN.
En la diapositiva se presentan 4 modelos de firewalls, en total hay 6, también hay modelos USG FLEX 100H/100HP y USG FLEX 200H/200HP, con soporte para PoE. Los modelos quinientos y setecientos ya admiten PoE. En la diapositiva se puede ver el rendimiento y el número de puertos de estos dispositivos. A partir del modelo 200 aparecen dos puertos multigigabit de 2,5 Gbit, en el modelo 500 hay 4 puertos de este tipo, y lo que hay en el modelo 700 se puede ver en la diapositiva.
En la siguiente diapositiva se muestra el modelo superior.
Los dos primeros puertos son de 2,5 Gbit, los puertos 3 y 4 son de 10 Gbit con soporte para PoE, luego vienen los puertos gigabit, y luego otros dos puertos en SFP+ 10 G.
Para esta serie hay una licencia Gold Security Pack y una licencia separada para Nebula Pro Pack. En Gold Security Pack también se incluyen Nebula Pro Pack y todos los demás servicios UTM: sandbox, filtro de reputación, filtrado de contenido, antivirus, etc. Secure Wi-Fi aún no está incluido, ya que aún no hay soporte para él, aparecerá más tarde. Y el filtrado de contenido actualmente no admite el trabajo en Rusia y Bielorrusia.
En la diapositiva superior se muestran los servicios que proporciona UTM.
La principal característica distintiva es el nuevo sistema operativo: uOS. Está diseñado para mejorar la seguridad, minimizar el tiempo de respuesta del sistema, aplicar cambios instantáneamente y optimizar la administración de la configuración gracias a un nuevo diseño intuitivo.
En el panel del sistema extendido hay navegación, en la parte superior está disponible la jerarquía de la estructura del menú, se pueden seleccionar diferentes niveles allí, hay soporte para la función "favoritos", allí se pueden agregar las secciones del menú necesarias que se usan con más frecuencia, hay búsqueda en el menú, búsqueda de objetos, búsqueda por palabras clave. La arquitectura DPDK permite lograr el máximo rendimiento gracias a la tecnología FastPath, la transición a otras plataformas de hardware se ha vuelto más fácil en comparación con la versión anterior. La nueva interfaz gráfica permite proporcionar una mejor visión general para el monitoreo y las estadísticas.
La arquitectura DPDK se puede utilizar posteriormente en otras plataformas de hardware.
A continuación, compararemos el sistema operativo actual uOS con ZLD. Esta comparación se puede ver en la siguiente tabla. En resumen, el controlador de puntos de acceso, el cambio automático de su potencia, así como la detección de puntos de acceso ajenos y la agregación de puertos, todo esto aparecerá solo a finales de 2024.
Y la configuración del ancho de banda de las interfaces externas estará disponible a finales del segundo trimestre de 2024.
El nuevo sistema operativo uOS (USG Operating System) es una arquitectura DPDK con soporte para la tecnología FastPath (o bypass del núcleo). Aquí todos los modelos son multinúcleo y parte de los núcleos del procesador se reservarán solo para el procesamiento del tráfico, y los núcleos restantes para otros fines.
Al recibir paquetes entrantes, si el tráfico pasa por alto el núcleo y el procesamiento de paquetes pasa por alto el núcleo, esto aumenta el rendimiento, y el núcleo en este momento se encarga del cálculo de estadísticas, la apertura inicial de sesiones y el funcionamiento de la interfaz web.
El modo de operación con la línea de comandos es diferente y para ingresar al modo de configuración (hostname running соnfig) se necesita el comando edit running, que es necesario para cambiar la configuración. Para salir de este estado, puede ingresar el comando exit o presionar las teclas CTRL-D.
La configuración en la CLI también es diferente, y existe una configuración intermedia (staging) que se modifica localmente en la CLI y aún no está activa en el dispositivo. La configuración actual (running) es la que está activa en el dispositivo en este momento. La configuración de inicio (startup) se utilizará en el próximo reinicio.
Introduzca el comando commit para guardar la configuración intermedia en la actual, e introduzca el comando copy running startup para guardar la configuración actual.
Esto no se puede lograr a través de la interfaz web.
Indicadores y botones
Apareció el botón REBOOT, que se puede utilizar para reiniciar el dispositivo. El botón RESET sirve para restablecer la configuración.
Hay indicadores PoE para los modelos que tienen este soporte. También hay otro indicador USER, que se puede utilizar para sus propios eventos. Este indicador está preconfigurado y se puede activar para que se ilumine en verde cuando un administrador inicia sesión, se ilumine en color ámbar, por ejemplo, si uno de los usuarios está bloqueado por haber introducido contraseñas incorrectas, o parpadee en verde si la licencia ha caducado o hay una nueva versión de firmware disponible.
El botón para restablecer la configuración: si se pulsa y se mantiene pulsado durante 7 segundos, la puerta de enlace se restablecerá a la configuración predeterminada, y si se mantiene pulsado durante 30 segundos, la configuración volverá al estado de fábrica.
Trabajo con Nebula
El sistema funcionará con Nebula, y actualmente será análogo al modo de supervisión de las líneas actuales, por lo que las funciones que se ven en la diapositiva son las actuales.
Este es el estado del dispositivo (en línea/fuera de línea), reinicio, acceso remoto a la CLI (SSH) y acceso remoto a la línea de comandos y a la interfaz web, actualización del firmware, copia de seguridad de la configuración (incluso de forma programada) y carga en la puerta de enlace, gestión de licencias. Incluso si ha bloqueado el puerto 443, el 70 y el 23 por motivos de seguridad, podrá acceder a Nebula.
Actualización del firmware, copia de seguridad de la configuración, incluso de forma programada y aplicación en la puerta de enlace, y gestión de licencias. Es decir, en la línea actual se gestionan principalmente a través del portal myZyxel. Allí es donde se registra la licencia. Aunque también se puede hacer a través de Nebula. Es decir, Nebula sustituirá completamente al portal myZyxel en un futuro próximo. Tanto la adición de dispositivos como el registro de la licencia y la vinculación de la licencia al dispositivo se realizarán allí. Y, si está pasando por el asistente de configuración inicial en la puerta de enlace, al hacer clic en el botón de registro se le dirigirá al portal de Nebula. Para iniciar sesión en Nebula, puede utilizar la misma cuenta que en el portal myZyxel. Después de esto, indica o selecciona una de las organizaciones y sitios. Y añade la puerta de enlace a este sitio.
Si se omite el registro del dispositivo, al acceder a la interfaz web, el estado del dispositivo se mostrará como no registrado. Y aparecerá una ventana con un código QR, que se puede utilizar para registrar Nebula mediante la aplicación móvil. Si aún no tiene instalada la aplicación móvil, el código QR le redirigirá a la tienda de aplicaciones.
La organización del sitio de Nebula con USG FLEX H también creará automáticamente las mismas organizaciones y sitios en SecuReporter durante el registro del dispositivo. Es decir, cuando la puerta de enlace se asigna a un sitio, Nebula informa inmediatamente a SecuReporter. Por lo tanto, no será necesario añadirlo por separado a SecuReporter, estará allí inmediatamente. Sin embargo, si registra la puerta de enlace en el portal myZyxel y no en Nebula, no se añadirá automáticamente a SecuReporter.
Todos los puertos de todos los modelos son configurables. Se pueden asignar tanto como LAN como WAN. Pero aun así hay ajustes predeterminados. Los dos primeros puertos son normalmente WAN, la interfaz externa. A continuación, verá que desde el tercer puerto hasta el octavo o el décimo son puertos LAN. El resto son opcionales.
Repito, cualquier puerto es configurable y se puede configurar como interfaz externa o interna. Los puertos también se pueden agrupar. Pero en algunos modelos hay puertos individuales que no se pueden añadir a los grupos. Estos puertos individuales no están conectados al chipset ni al conmutador, sino directamente al procesador. Por lo tanto, no se pueden añadir a los grupos. Pero al mismo tiempo, la velocidad de procesamiento del tráfico aumenta.
En cuanto a la configuración de los puertos. La velocidad de conexión está presente en las líneas actuales. Pero como hay modelos PoE, existe la posibilidad de activar y desactivar PoE en los puertos compatibles. Al mismo tiempo, el presupuesto total es de 30 W en todos los modelos.
Es decir, este es el presupuesto máximo y, dependiendo del modelo, hay uno o dos puertos con PoE. El estado de PoE se puede ver a través de la CLI. Como puede ver, hay 3 estados de PoE: R_GOOD, R_OPEN y R_BAD. Respectivamente, R_GOOD es cuando el dispositivo PoE está alimentado, conectado y consumiendo energía. R_OPEN es cuando no está conectado y R_BAD es cuando el propio PoE está desactivado.
Las interfaces también están presentes en las líneas actuales como internas, externas y generales. Pero las generales solo se pueden configurar a través de la CLI.
Es decir, en la interfaz web no verá la sección con interfaces generales hasta que cree al menos una interfaz general a través de la CLI. Y después de eso, aparecerán en la interfaz. E inicialmente hay interfaces externas e internas. La configuración no será diferente, excepto en el caso de que su proveedor utilice PPPoE, entonces se configurará inmediatamente en la interfaz externa.
Es decir, no es necesario crear otra interfaz como en las líneas actuales, sino que al crear la interfaz, puede especificar que utiliza PoE.
Interfaces VLAN. Su configuración también difiere de las interfaces actuales. Si ahora están vinculadas a las interfaces, ahora las interfaces VLAN están vinculadas a los puertos. Y una interfaz VLAN se puede vincular a varios puertos a la vez, independientemente de las interfaces actuales. Es decir, las interfaces VLAN ahora no están relacionadas de ninguna manera con las interfaces lógicas ge3, ge4, etc.
También hay puentes. Como recordatorio, constan de varias interfaces y funcionan como conmutadores L2. Los paquetes que se transmiten entre interfaces no cambian la dirección MAC. Al mismo tiempo, en la interfaz que agrega al puente, debe eliminar la dirección IP, es decir, puede simplemente marcar la casilla \"sin asignar dirección IP\". Y la función de enrutamiento no funcionará para ellos. El tráfico que pasa por el puente también es verificado por el firewall y los servicios UTM, como en las líneas actuales.
El puente (Bridge) como interfaz externa aún no se puede utilizar (está en desarrollo). Por ahora, solo se puede utilizar para reenviar tráfico. Y como interfaz externa junto con SNAT, aún no se puede utilizar. Este desarrollo aparecerá más adelante, en las próximas versiones de firmware. Como recordatorio, a qué zonas pertenece el tráfico a través del puente. Pertenece tanto a las zonas de interfaz como a la zona del puente. Y si, por ejemplo, la interfaz WAN y la interfaz DMZ en las zonas correspondientes se agregan a la zona Bridge, se aplicarán políticas como WAN a DMZ, Bridge a Bridge, WAN a Bridge, Bridge a DMZ. Es decir, cualquier ética de estas direcciones se aplicará. Y, en consecuencia, LAN a DMZ, LAN a Bridge también se aplicarán. Puede utilizar una u otra dirección para crear reglas para trabajar con el tráfico.
Pasemos a los objetos. Aquí no hay diferencias particulares con respecto a cómo eran y son en las líneas actuales: direcciones IP, puertos, zonas, etc. La única excepción es que las entradas FQDN aún no son compatibles. Esto aparecerá más adelante. Y ahora, al crear cualquier regla, política de enrutamiento, política de seguridad, puede operar fácilmente con objetos de inmediato. No es necesario saltar entre diferentes menús, objetos y políticas. Ahora, al crear cualquier política, tan pronto como hace clic en la fuente, inmediatamente aparece una selección de direcciones, objetos y puede agregar inmediatamente un nuevo objeto o una nueva letra. Y si necesita cambiar el objeto actual. Ahora esto se puede hacer de inmediato, sin ir a la sección con el objeto.