合勤現有的無線網路控制器可以分為2款產品,一種是iThome先前曾經介紹過的「Hybrid AP」(NWA-3166),也就是賦與Thin AP管理周圍24臺同款裝置的功能,另外也可以做為Fat AP使用,就其性質而言,十分適合中、小型企業導入;其次,則是新推出的NXC5200單一功能設備,它在出廠時便已經內建48臺Thin AP的管理授權,另外還可以另購授權,以48臺為單位的方式逐次擴充,最多能到達240臺的規模,屬於一款可以部署在大型企業的設備。

很特別的是,合勤從自家相當成熟的ZyWALL,移植了一部分重要的防護功能到NXC5200,使得這款設備可以提供防火牆、IPS、防毒,及應用程式控管等功能,同樣可於myZyXEL網站申請30天的試用,因此無線網路的流量,不再需要轉送到閘道端UTM,或者其他的資安產品做過濾,能降低單一設備的效能負擔,其防火牆效能最大可以到達4Gbps,不僅如此,透過這樣的設計,也使得流量的傳輸路徑得以縮短。

搭配的基地臺產品可採監控模式 收集周圍的無線網路狀態

NXC5200採用的韌體,同樣為大多數合勤新款網路設備所使用的ZLD。這款設備需同時搭配NWA5160N基地臺部署,後者為一款純粹的Thin AP,能透過外接電源,或者企業較常使用的PoE傳送所需電力;而在無線網路的部分,NWA5160N能以2發3收的天線架構在2.4GHz,及5GHz的其中一種頻帶收、送訊號,合勤預計在今年6月推出NWA5560N的新款設備,屆時就可以在2種不同的頻帶環境下運作。

NXC5200與NWA5160N之間,是透過近年成為IEEE標準的CAPWAP協定(Control And Provisioning of Wireless Access Points)做連線。Thin AP可以透過網路廣播,及透過DHCP所傳送的Option 138設定等多種方式,找到內部網路當中的無線網路控制器連線,並且受其管理。

除了基地臺的存取模式之外,NWA5160N本身也具備收集周圍網路收態的監控模式(2者之間需擇一使用),這能讓管理者能夠快速發現具有危險性的Rogue AP,提供類似於WIPS的防護功能。

開啟此一功能的NWA5160N會將收集到的周圍基地臺匯整成一份清單,我們僅需要選取想要限制存取的基地臺,接著按下網頁上方的「標示成惡意AP」鍵,該裝置就會歸類成Rogue AP,並在網頁上出現註記,這時Rogue AP的連線會受到干預,所有人都無法與之連線。

可採多種架構 管理無線網路的流量傳輸

NXC5200的網路介面包含4組GbE埠,以便分散Thin AP傳送到設備的流量,但它無法像ZyWALL一樣具備頻寬聚集的功能,將多個網路介面在形式上,合併為1組網路埠。另外,機身正面還有1組擴充插槽,用以安裝模組,提供額外的4組GbE埠,或者是SFP埠。

NXC5200的第1組網路埠,預設的IP位址為192.168.1.1,透過此埠,我們可以採HTTPS的方式登入,而這款設備的網頁介面可以切換正體中文等其他多種語系,降低設備操作的難度。

我們最多可以透過1臺NWA5160N傳送多達8組的SSID,SSID的設定可以採預設的通道模式,透過無線網路控制器轉送流量,或者以橋接模式做分散式的部署。

以部署這款設備的企業規模來說,由於內部網路當中經常會有NAC等資安產品,提供用戶端裝置的狀態,及帳號驗證,一般來說,內部員工的用戶端裝置較訪客的裝置來得安全,因此管理上可採橋接模式,不需要重複檢測。

而在用戶端裝置的連線管理方面,NXC5200主要是透過防火牆控管使用者存取網路的權限,因此在網路的規畫上,需將各個SSID分置於不同網段,如此才能以連線的來源,及目的地為根據完成設定。

提得一提的是,NXC5200也有提供Remote AP的應用模式,與Thin AP之間的連線方式和在企業內部一樣,同樣是透過CAPWAP的通道,以加密的型式連線到無線網路控制器,在設定上,我們需要連接NWA5160N的RS232埠,轉換設備模式,同時將企業內部網路的對外IP位址設定到基地臺,這些工作可由管理者提供設備前先行完成。

當做為Remote AP的NWA5160N連上外地的網路之後,設備會透過所設定的企業閘道端實體IP,連線到NXC5200更新設定,隨後會傳送使用者在企業內部所使用的相同SSID。

而除了提供使用者外攜到其他地點使用之外,Remote AP也可以視做一種較為容易的VPN建置方式,在沒有VPN閘道器的分支辦公室,使用者還是可以很輕易地連接總公司,或者其他外部據點,存取工作所需要的資料。

能透過多種方式防護流量

內建在NXC5200的防護功能主要是採流向方式提供控管,其中防毒有2種防毒引擎可供選擇,分別是付費性質的Kaspersky,或者合勤自行維護病毒碼的免費模組,設定上,需在網頁介面的Anti-X項目中設定封包流向的過濾規則,防護對象包含 Mai1(SMTP、POP3,及IMAP4)、FTP,及HTTP等3種型式的網路傳輸。

NXC5200未來可以直接整合微軟的NAP,檢查用戶端裝置的狀態,決定是否給予使用網路的權限。而對於傳送到無線網路控制器的流量,設備能透過多種方式深度檢測,其中防毒是較常使用的一種,這時可以透過付費性質的Kaspersky模組,或者合勤自行維護病毒碼的免費模組掃描流量。

 

可切換為監控模式

透過NWA5160N的監控模式,可以偵測周圍的無線網路訊號,找出可能存在的Rogue AP。

 

驗證伺服器

設備可同時採用多種驗證伺服器,檢查使用者身份的真實性。

 

資安功能

NXC 5200提供Kaspersky等2種掃毒模組,用於檢測使用者透過無線網路傳輸的流量。

 

網頁驗證頁面

管理者可客製化無線網路的驗證頁面,操作上十分簡單。

 

產品資訊

合勤 NXC5200

建議售價464,000元

原廠合勤科技

原廠網址www.zyxel.com.tw

原廠電話(02)2739-9889

經銷商展碁、群環科技

網路埠GbE×4

受管基地臺最大授權數240臺

●無線網路管理功能防火牆、ACL,及Remote AP等

【註:規格與價格由廠商提供,因時有異動,正確資訊請洽廠商。】

 


相關報導請參考「無線網路控制器採購大特輯」

 

報名台灣唯一超規格資安盛會

 

熱門新聞


Advertisement