Оснащенный двумя внешними гигабитными интерфейсами (WAN и OPT) и USB-портом для подключения модемов 3G/4G центр безопасности USG 40 позволяет одновременно использовать три широкополосных канала Интернета от разных провайдеров, тем самым обеспечивая отказоустойчивость и увеличивая суммарную пропускную способность подключения. Это гарантирует постоянную доступность Интернет-сервисов необходимых для ведения бизнеса и надежную связь с удаленными подразделениями.

Многофункциональный VPN-шлюз центра безопасности USG 40 предназначен для объединения географически распределеных подразделений в единую информационную инфраструктуру, а так же для создания мобильных и удаленных рабочих мест для сотрудников на базе смартфонов, планшетов и ноутбуков.

USG 40 располагает эффективными средствами приоритезации трафика и распределения полосы пропускания, отвечая потребностям бизнеса в использовании современных бизнес-приложений, чувствительных к задержкам и потерям передаваемых данных. С использованием USG 40, IP-телефония, видеоконференции, а так же совместный централизованный доступ к документам и базам данных в центральном офисе становятся доступными сотрудникам удаленных подразделений.

Встроенные сервисы сетевой безопасности UTM, такие как потоковый антивирус, система обнаружения и предотвращение вторжений, контентная фильтрация, защита от спама и патруль приложений способны обеспечить высокий уровень сетевой безопасности, защищая всю сетевую инфраструктуру от угроз из Интернета, оптимизируя ее работу и повышая продуктивность работы предприятия.

При всех своих широких функциональных возможностях, центр безопасности USG 40 является надежным и простым в эксплуатации устройством с привлекательным соотношением цены и качества, внедрение и эксплуатация которого не требует существенных финансовых и трудовых затрат. Объектно-ориентированная модель управления наряду с интуитивно понятным пользовательским веб-интерфейсом, перекрестной системой навигации, встроенным контекстным справочником и графическим мониторингом состояния позволяют максимально упростить настройку даже в сложных сетях.

Технология IPSec VPN реализованная в центре безопасности USG 40 является идеальным решением для создания постоянных подключений типа сеть-сеть между удаленными подразделениями. Обеспечение бесперебойной работы VPN достигается путем создания VPN через резервный канал Интернета в случае отказа основного канала. Кроме того, имеется  возможность объединять VPN-туннели созданные через разные каналы Интернета в транк с балансировкой нагрузки, тем самым, увеличивая суммарную пропускную способность VPN-соединения между удаленными подразделениями.

Наряду с IKEv1 (RFC 2407, 2408, 2409, 4109, 4995) в устройстве USG 40 реализована поддержка протокола IKEv2 (RFC5996) с аутентификацией EAP. Использование новой версии протокола IKEv2 обеспечивает более быстрое и безопасное согласование ассоциаций безопасности IKE SA /IPSec SA и генерацию ключей шифрования безопасности, а так же надежную защиту от DoS-атак. Кроме того, IKEv2 и EAP штатно поддерживаются операционными системами Windows 7/8, что позволяет использовать эти технологии для организации удаленных рабочих мест для сотрудников предприятия.

Появление на рынке недорогих функциональных мобильных компьютерных устройств  с постоянным подключением к Интернету и поддержкой VPN способствует мобильности бизнеса. Технология L2TP over IPSec VPN реализованная в USG 40 и поддерживаемая операционными системами iPhone iOS, Android и MS Windows позволяет компаниям создавать мобильные рабочие места для своих выездных сотрудников на базе таких устройств, предоставляя им защищенный удаленный доступ к бизнес-приложениям в корпоративной сети. Благодаря USG 40 каждый сотрудник компании, имеющий при себе смартфон или планшет, может в любой момент подключиться к корпоративной сети и оперативно решить многие рабочие вопросы вне офиса, что значительно ускоряет бизнес-процессы.

Кроме того, USG 40 поддерживает технологию SSL VPN, которая так же является эффективным решением для предоставления сотрудникам безопасного удаленного доступа к ресурсам корпоративной сети. Используя эту технологию, межсетевой экран USG 40 способен обеспечить простой, не связанный с настройкой клиентского оборудования или установкой программных клиентов способ доступа к почтовому серверу, файлам и приложениям, веб-серверам и другим ресурсам корпоративной сети. Для создания SSL-подключения на стороне клиента требуется  только наличие стандартного компьютера с веб-браузером и подключением к Интернету, что позволяет создавать подключение из любой точки мира с любого компьютера. Безопасность подключения обеспечивается современными методами шифрования, применением цифровых сертификатов, а так же, при необходимости,системой двухфакторной аутентификации. Доступ к ресурсам сети осуществляется через настраиваемый веб-портал. Функциональность веб-портала может быть расширена при помощи тонкого клиента SecuExtender устанавливаемого определенным пользователям для обеспечения дополнительных возможностей доступа к сети.

Технологии VPN весьма эффективны для создания мобильных и удаленных рабочих мест для сотрудников предприятия. Но настройка VPN-подключения на устройствах сотрудников может стать непростой задачей, как для самих сотрудников, так и для IT-персонала. В дополнение к упомянутым выше технологиям VPN для создания мобильных рабочих мест, межсетевой экран USG 40 предоставляет возможность удаленного подключения пользователей с программой ZyWALL IPSec VPN Client. Преимуществом данного решения является автоматическое конфигурирование VPN-соединения на стороне удаленного сотрудника. Благодаря использованию технологии Easy VPN, для конфигурирования VPN-соединения пользователю требуется только ввести IP-адрес удаленного USG 40 и свои учетные данные (имя пользователя и пароль). При этом конфигурация VPN, предварительно подготовленная IT-персоналом для пользователя, в считанные секунды загружается в программу и все готово для создания VPN-соединения с удаленным USG 40.

USG 40 позволяет создать эффективную комплексную защиту сети предприятия от угроз из Интернета благодаря встроенным сервисам сетевой безопасности (Unified Threat Management, UTM), таким как антивирус, защита от вторжения, патруль приложений, контентная фильтрация и антиспам. Эти сервисы можно активировать на устройстве с помощью специальных карт подключения, которые можно приобрести отдельно. В ознакомительных целях, каждый из перечисленных сервисов можно однократно активировать и бесплатно использовать в течение 30 дней

Шлюзовый антивирус SafeStream II Лаборатории Касперского сканирует в реальном времени Интернет-трафик, препятствуя проникновению вредоносных программ в корпоративную сеть. Благодаря регулярному автоматическому обновлению баз сигнатур антивирус способен обнаружить и уничтожить более 650 000 вирусов, включая самые новые вирусы.
Для обновления сигнатур антивируса требуется приобрести и активировать специальную карту подключения.

Система обнаружения и предотвращения вторжений (Intrusion Detection&Prevention, IDP) нейтрализует сетевых червей, трояны, бэкдоры, атаки DoS и DDoS и эксплойты, использующие известные уязвимости операционных систем и прикладных программ. Благодаря автоматически обновляемой базе из 8 000 сигнатур система IDP позволяет эффективно бороться с новыми угрозами.
Система обнаружения аномалий (Anomaly Detection and Prevention) анализирует проходящие через шлюз пакеты на 2 и 3 уровнях OSI, выявляя аномалии (несоответствия с RFC) протоколов HTTP, TCP, UDP и ICMP, а так же позволяет обнаружить аномалии трафика. Обнаружение аномалий трафика направлено на противодействие разведывательным действиям и атакам, использующим сканирование и флуд, таким как ICMP Flood Attack, Smurf, TCP SYN Flood Attack, LAND Attack, UDP Flood Attack, Port Scanning, Decoy Port Scans, Distributed Port Scans, Port Sweeps. Обнаружение аномалий протоколов позволяет нейтрализовать 32 типа атак, способных привести к краху сетевых приложений и несанкционированному доступу злоумышленников к ресурсам сети.
Для обновления сигнатур IDP требуется приобрести и активировать специальную карту подключения.

Сервис патруль приложений (Application Patrol) от компании TREND Micro способен идентифицировать и взять под контроль трафик более чем 3 000 популярных сетевых приложений принадлежащих к следующим категориям:

Для идентификации трафика приложений используется контроль трафика на 4-7 уровнях OSI  с использованием автоматически обновляемой базы сигнатур. Патруль приложений позволяет запрещать и разрешать сетевой трафик определенных приложений, ограничивать полосу пропускания и собирать статистику для определенных пользователей/групп пользователей/хостов/диапазонов IP-адресов/подсетей. Такие возможности позволяют ограничить трафик нежелательных, небезопасных и не имеющих отношения к рабочему процессу приложений, и одновременно с этим обеспечить гарантированную полосу пропускания для полезных приложений, повышая тем самым безопасность корпоративной сети и продуктивность рабочего процесса.

Сервис фильтрации спама Anti-Spam способен оградить сотрудников предприятия от лавины бесполезных и потенциально опасных сообщений e-mail рассылаемых с целью распространения рекламы, вредоносных программ и хищения ценной информации. Использование облачных технологий компании СYREN – ведущего в отрасли производителя решений для защиты корпоративных ресурсов в Интернете – позволяет обнаружить и остановить до 99% спама во входящем трафике SMTP и POP3, а так же уничтожить вредоносные файлы во вложениях, беспрепятственно пропуская полезную корреспонденцию.
Для подключения сервиса Anti-Spam требуется приобрести и активировать специальную карту подключения.

Контентная фильтрация (Content Filter, CF) основанная на технологиях компаний СYREN позволяет исключить доступ сотрудников к потенциально опасным интернет-сайтам, а так же ограничить доступ к сайтам, не имеющим отношения к решению рабочих вопросов.  Использование контентной фильтрации повышает уровень сетевой безопасности, сокращает бесполезный интернет-трафик и увеличивает продуктивность работы сотрудников.
Для подключения сервиса CF требуется приобрести и активировать специальную карту подключения.

При выполнении повседневных операций бизнеса недоступность каналов подключения к Интернету негативно отражается на работе организации. Межсетевой экран USG 40 позволяет решить эту проблему. Благодаря множественным портам WAN, он позволяет использовать одновременно несколько каналов Интернета от разных Интернет-провайдеров. Балансировка нагрузки каналов, автоматическое переключение на резервный канал в случае отказа основных, возврат на основной канал при возобновлении его функционирования и использование 3G/4G-модема в качестве резервного канала – все эти функции могут обеспечить бесперебойный доступ в Интернет 24 часа в сутки.

USG 40 поддерживает технологии виртуализации L3: VLAN и виртуальные интерфейсы-псевдонимы. Сегмент сети может содержать набор из нескольких интерфейсов, что позволяет с легкостью управлять уровнем безопасности различных подразделений, назначать гранулированные политики контроля и вести наблюдение за активностью в сетях различного уровня сложности.

Механизм аутентификации пользователей Single Sign-on (SSO) реализованный в устройстве USG 40 обеспечивает прозрачную аутентификацию пользователей MSAD на устройстве USG 40. Это достигается использованием специальной программы SSO Agent (опубликована в разделе Поддержка), которую можно установить на одном сервере с контроллером домена или отдельно стоящем сервере. SSO Agent осуществляет взаимодействие между контроллером домена и устройством USG 40, передавая на устройство данные о пользователе при входе в домен и выходе из домена. С прозрачной аутентификацией SSO пользователю домена не требуется дополнительно вводить свой логин и пароль для аутентификации на USG 40. Будучи авторизованным контроллером домена, он будет автоматически авторизован и устройством USG 40 с применением соответствующих политик безопасности сконфигурированными IT-персоналом предприятия.

Интеллектуальная система обработки правил реализованная в USG 40 принимает решение о направлении пакетов в соответствии с политиками доступа основанными на множественных критериях объектного набора, в том числе, таких как пользователь/группа пользователей, IP-адрес источника/получателя, тип сервиса и время активации/деактивации правила. Подобные политики действуют для правил межсетевого экрана, маршрутизации и управления полосой пропускания.

Инструментарий управления полосой пропускания BWM позволяет вводить приоритеты передачи трафика, гарантируя либо ограничивая использование доступной емкости подключения для трафика определенного пользователя/групы пользователей/IP-адреса отправителя/групп IP-адресов отправителей/IP-адресов получателей/с определенным тегом DSCP в т.ч. по расписанию. Это позволяет обеспечивать наилучшее качество обслуживания для трафика бизнес-приложений чувствительных к задержкам и потерям передаваемых данных, например, таким как IP-телефония и видеоконференцсвязь. Интеграция BWM с сервисом Патруль Приложений позволяет взять под контроль в т.ч. клиенты пириногвых сетей, программы мгновенного обмена сообщениями и т.п.

Интегрированный в USG 40 контроллер точек доступа Wi-Fi с поддержкой протокола CAPWAP позволяет централизованно управлять двумя точками доступа ZyXEL серии NWA. При необходимости количество управляемых точек доступа можно расширить до 18 путем активации специальных лицензий. Поддерживаются следующие точки доступа: NWA3160-N, NWA3560-N, NWA3550-N, NWA5160N, NWA5560-N, NWA5550-N, NWA5121-NI, NWA5121-N, NWA5123-NI.

Центр безопасности USG 40 поддерживает протокол IPv6 (Internet Protocol version 6), что подтверждают результаты испытаний по программе сертификации IPv6 Gold Logo Phase 1 и Phase2, проводимой по инициативе консорциума IPv6 Forum. Поддержка IPv6, включая двойной стек IPv4/IPv6 и IPv6 IPSec, позволит компаниям избежать затрат на новое IPv6-совместимое оборудование в процессе миграции корпоративных сетей к инфраструктуре IPv6, сохраняя высокий уровень сетевой безопасности и оправдывая инвестиции в USG 40.

USG 40 имеет встроенную систему отчетности, которая включает в себя целый ряд отчетов реального времени и исторических отчетов, в том числе о работе межсетевого экрана, антивируса, системы обнаружения и предотвращения вторжений,  использовании пропускной способности интерфейсов устройства, активности пользователей и посещаемых ими интернет-сайтах. Для исследования работы сети имеется возможность захвата и сохранения в файл дампов трафика на любых интерфейсах устройства. Кроме того, имеется возможность использования современного инструмента централизованного мониторинга и создания отчетов Vantage Report. Использование этих возможностей позволит IT-персоналу получать все необходимые данные о работе сети.

Порт USB может быть использован для подключения 3G/4G-модемов и FLASH-накопителей, используемых для записи системного лога и дампов трафика.

Металлический корпус центра безопасности USG 40 эффективно рассеивает тепло процессора без использования вентиляторов. Благодаря этому USG 40 не создает при работе никакого шума, что способствует комфорту в помещении, где он установлен.

• Пропускная способность МСЭ, Мбит/с *1: 400
• Пропускная способность VPN IPSec (AES) *2, Мбит/с: 100
• Пропускная способность UTM (AV и IDP) *3, Мбит/с: 50
• Максимальное количество пользовательских сессий *4: 20 000 (3 000 сессий в секунду)
• Максимальное количество одновременных туннелей VPN IPSec: 10
• Одновременных пользователей SSL VPN: 7
• MAC-адреса: 4
• Физические порты: 5xRJ45 GbE
• Группы портов L2: 1xWAN, 1xOPT, 4xLAN1/LAN2/DMZ

• DHCP-сервер/клиент/relay
• Стандартные опции DHCP: 2,4,42,66,67,120,124,125,138,150
• Поддержка пользовательских опций DHCP с типом данных boolean/unit8/unit16/ip/fqdn/text/hex
• Одновременная работа в режимах моста и маршрутизатора
• Интерфейсы VLAN 802.1q: 8
• Виртуальные интерфейсы-псевдонимы (IP Alias)
• Поддержка IPv6
• Маршрутизация на основе политик, статическая, RIP и OSPF
• NAT: SNAT/DNAT
• Динамический ALG: SIP/H.323, FTP, IPSec, L2TP, PPTP, MSN и RTP  
• Встроенный DNS-сервер
• HTTP Redirect
• Встроенный контроллер беспроводных сетей Wi-Fi
• Максимальное количество управляемых точек доступа: 2 (до 10 со специальной лицензией)
• Поддержка IGMP v1/v2

Модель	Микропрограмма
Huawei E160E	11.608.06.00.00
Huawei EC1261 (CDMA)	11.102.11.00.45
	11.106.07.00.000
	TCPU_HWEC1261DT02
Huawei E372	11.113.19.20.55
Huawei E150	11.609.82.02.143
Huawei E1550	11.609.16.01.108
Huawei E230	11.104.14.00.00
Huawei E220	076.11.07.106
Huawei E169u	11.108.03.01.68
	11.126.08.02.68
Huawei E612	056.11.04.103
Huawei E1750	11.126.00.00.00
Huawei E270	11.306.04.00.00
Huawei E173	11.126.85.00.00
	11.126.83.00.00
E173 (SWISSCOM)	11.126.16.01.103
E173 (Sunrise)	11.126.16.00.00
Huawei E156G	11.609.10.00.00
Huawei E161	11.806.06.86.00
Huawei E177	11.126.85.00.00
Huawei E180	11.126.10.00.00
Sierra AC850	U1_1_29ACAP
	U1_2_40ACAP
	F1_0_0_2AP
	F1_0_0_11AP

• МСЭ с контролем состояния сессий (SPI Firewall)
• Политики управления доступом по критериям: ip-адрес источника/порт источника/пользователь/время
• Потоковый антивирус SafeStream II лаборатории Касперского для  протоколов HTTP/SMTP/POP3/IMAP4/FTP
• Защита от вторжений (Intrusion Detection&Prevention) для блокирования сетевых атак DoS/DDoS, эксплойтов, троянов, бэкдоров и т.п.
• Патруль приложений(Application Patrol)
• Фильтрация веб-контента (Contetnt Filtering) по категориям, спискам URL, ключевым словам, блокирование  Java-апплетов, cookie, Active X, веб-прокси
• Защита от спама
• Определение аномалий в протоколах HTTP/ICMP/TCP/UDP (Anomaly Detection&Prevention) для противодействия сканированию, лавинам и сетевому флуду.

• Поддержка IPSec VPN для протоколов IPv4 и IPv6
• Поддержка IKE v1 и IKE v2 с аутентификацией EAP (совместимость с Windows 7/8)
• Поддержка DES, 3DES и AES
• Аутентификация в туннеле: MD5, SHA-1 и  SHA-2
• Поддержка PSK на основе учетных данных пользователя (User-based PSK)
• Управление ключами: назначение вручную или IKE
• PKI: PKCS #7, #10 и #12
• Регистрация сертификатов: CMP, SCEP
• Упреждающая смена ключей (PFS): DH 1, 2, 5
• Аутентифицирующий заголовок (AH)
• Инкапсуляция зашифрованных данных (ESP)
• Поддержка NAT поверх IPSec и NAT Traversal
• DPD (Dead Peer Detection) и предотвращение повторного обнаружения
• VPN-концентратор (Hub and Spoke)
• Поддержка Split DNS
• SSL VPN в режимах Reverse Proxy и Full Tunnel
• L2TP over IPSec VPN (совместимость с Android v3.00 и iPhone iOS4)
• Поддержка GRE
• Поддержка GRE over IPSec

• Резервирование WAN c балансировкой нагрузки
• Резервирование VPN (Failover/Fallback)
• Подключение к нескольким провайдерам на одном внешнем интерфейсе
• Балансировка нагрузки WAN-портов при входящих соединениях
• Резервирование 3G/4G

• RADIUS, LDAP, MS Active Directory и во внутренней базе
• Поддержка Single Sign-on (прозрачная аутентификация пользователей MS Active Directory)
• Поддержка двухфакторной аутентификации (OTPv2)
• Политики правил на основе пользователей/групп

• Интуитивный веб-интерфейс (HTTP и HTTPS) со встроенным руководством пользователя
• Мастера настройки основных функций
• Панель мониторинга статуса системы
• Ролевая модель администрирования с поддержкой привилегий и одновременного доступа
• Объектно-ориентированная архитектура
• Текстовый файл конфигурации
• Поддержка Shell Script, выполнение скриптов по расписанию
• Полнофункциональный командный интерфейс: консоль/веб-консоль/ssh/telnet
• Регистрация устройства, активация сервисов и загрузка обновлений платформы ZSDN (ZyXEL Security Distribution Network) встроена в интерфейс
• Централизованная система журналирования системных событий
• Поддержка экспорта журналов  syslog (до 4 внешних серверов)
• SNMP v2/v3 с поддержкой MIB-II
• Оповещения по электронной почте
• Мониторинг сетевой активности и установленных VPN-туннелей в реальном времени
• Обновление микропрограммы: FTP, FTP-TLS, веб-интерфейс
• Поддержка отката конфигурации
• Поддержка системы централизованного мониторинга Vantage Report

• 5 Ethernet-портов 1 Гбит RJ-45 с автоопределением скорости и типа подключения
• Консольный порт RJ-45
• Светодиодная индикация: PWR, SYS, USB, PORTS
• Кнопка выключения питания
• Кнопка сброса пользовательских настроек
• 1 порт USB 2.0
• Адаптер питания ~100-240 В>12 В 2 А
• Максимальная потребляемая мощность: 14 Вт

• Настольное и настенное размещение
• Размеры: 216.0 (Ш) x 143.0(Г) x 33(В), мм
• Масса: 890 г
• Температура: от 0 ºC до 40 ºC
• Влажность: от 10% до 90% (без конденсации)

*1: Максимальная пропускная способность, измеренная в соответствии с RFC 2544 (трафик UDP, размер пакета 1,518 байт) *2: Максимальная пропускная способность VPN, измеренная в соответствии с RFC 2544 (алгоритм шифрование AES, трафик UDP, размер пакета 1,424 байт) *4: Максимальное количество сессий, измеренное с помощью программного обеспечения IXIA IxLoad