Studerus-Blog

Die neue Firewall-Serie USG FLEX von Zyxel

Geschrieben von Stefan Ziffermayer | 26.3.2021

Mit USG FLEX lanciert Zyxel eine Firewall-Familie auf der neuesten Hardware-Plattform. Präziser Schutz, ein flexibles Abonnement und Management über Nebula.

USG FLEX – Nachfolger der USG-Firewalls
Mit den USG FLEX 100, 200, 500 und 700 werden die Vorgänger USG 40, 60, 110, 210 und 310 abgelöst. Die USG FLEX basieren auf derselben Hardware-Plattform wie die ATP-Firewalls. Die drei wichtigsten Argumente für die USG FLEX sind:

  • Mehr Performance mit neuester Hardware-Plattform
  • Flexible laufende Kosten je nach Bedarf
  • Integration in Nebula 

Die VPN-Firewall-Familie VPN 50, 100, 300 und 1000 verliert mit der Lancierung der USG FLEX ihre Berechtigung. Die vergleichbaren USG-FLEX-Modelle sind preislich attraktiver und können künftig auch über Nebula verwaltet werden.

Migration auf USG FLEX
Bei einer Migration auf eine USG FLEX können die laufenden Lizenzen mit übernommen werden. Ist zum Beispiel ein Content-Filter noch für ein Jahr aktiv, wird die Laufzeit des gesamten UTM-Bundles auf der neuen USG FLEX um ein Jahr verlängert. Auch die Konfiguration lässt sich dabei ganz einfach übertragen. Damit die Lizenzen ohne Mehrkosten übernommen werden können, ist ein Wechsel auf das entsprechende Nachfolgemodell zu beachten.

Nachfolgemodell für die Lizenzübernahme

USG / ZyWALL USG FLEX
USG 40/40W USG FLEX 100
USG 60/60W USG FLEX 200
USG 110/210, ZyWALL 110 USG FLEX 500
USG 310 USG FLEX 700


Flexibles Abonnement
Fügen Sie Unified Threat Management (UTM) und Hospitality-Service im Bundle hinzu, um den Schutz und Netzwerkzugang zu erhalten, der Ihren Netzwerkanforderungen entspricht. Sie können, je nach Bedarf, auch jederzeit eine einzige Lizenz wählen, etwa Web-Filtering, Anti-Malware, SecuReporter Premium und mehr. Als wichtigster Schutz wird das Web-Filtering empfohlen, um sicherheitskritische und unerwünschte Websites zu blockieren. Die USG FLEX sind auch ohne laufende Services erhältlich. Wie bei Zyxel üblich, werden dabei die Weiterentwicklungen durch Firmware-Updates kostenlos angeboten.

McAfee als neuer Web-Content-Filter
Die USG FLEX basieren auf einem Web-Filter von McAfee, der gegenüber Cyren über 111 anstelle der 64 unterschiedlichen Kategorien an URLs verfügt. McAfee bietet unter anderem eine bessere Erkennung von Zero-Day-Attacken. Auch die Anti-Malware-Funktion basiert neu auf McAfee und erkennt neu mehr File-Typen als zuvor.

Management über Nebula
Nebula hat sich als Cloud-Managment-Plattform in erster Linie für die Verwaltung von WLAN-Installationen etabliert. Dabei werden die Access-Points und Switches einfach über eine Konsole verwaltet. Für die Sicherheit sind die NSG-Modelle als reine Nebula-Firewalls erhältlich. Sie sind komplett in Nebula integriert, verfügen aber nicht über denselben Funktionsumfang wie andere Firewalls, die über ein Web-GUI konfiguriert werden. Der Begriff FLEX steht bei USG FLEX dafür, dass sie flexibel über ein eigenes Web-GUI oder über Nebula gesteuert werden. Dieses flexible Konzept hat sich bereits bei den Switches und WLAN-Access-Points bestens bewährt. Auch die bestehenden ATP-Firewalls sollen sich ab Q3 2021 über Nebula verwalten lassen. Damit ist Nebula die ideale Konsole, um sämtliche Netzwerkkomponenten im Griff zu haben und einfach in Betrieb zu nehmen.

Positionierung der Zyxel-Firewall-Familien

Firewall-Familie Modelle erhältliche Sicherheitsfunktionen Entwicklung Management über Nebula
USG FLEX USG FLEX 100, 200, 500, 700 UTM-Services (à la carte erhältlich) neueste Firewall-Plattform möglich
bestehende USG* USG 40, 40W, 60, 60W, 110, 210, 310, 1100, 1900, 2200 UTM-Services werden durch USG FLEX abgelöst nicht möglich
ATP ATP 100, 100W, 200, 500, 700, 800 erweitertes UTM inkl. Sandbox neueste Firewall-Plattform geplant ab Q3 2021
VPN VPN 50, 100, 300, 1000 nur Content-Filter und Geo-IP werden durch USG FLEX abgelöst  nicht möglich
NSG NSG 50, 100, 200, 300 UTM-Services (als NSS-Lizenzpunkte) werden im 2021 durch USG FLEX abgelöst werden nur über Nebula verwaltet

* die USG20, 20W und VPN2S werden nicht durch die USG FLEX abgelöst


Positionierung ATP- gegen USG-FLEX-Firewalls
Die Zyxel-ATP-Firewalls bieten nach wie vor die umfangreichsten Sicherheitsfunktionen. Sie unterstützen eine Sandbox-Funktion, um das Verhalten von Daten in der Cloud zu überprüfen. Weitere Vorteile sind ein IP-Reputationsfilter und eine externe IP/URL-Blacklist. Wer höchste Sicherheit fordert, ist also mit den ATP-Firewalls weiterhin bestens bedient.

Firewall als WLAN-Controller
Der Einsatz einer Firewall als WLAN-Controller hat sich bewährt und ist auch mit den USG FLEX möglich. Ohne zusätzliche Lizenz lassen sich bereits 8 WLAN-Access-Points mit einer USG FLEX verwalten. Wer mehr APs steuern will, hat dafür unterschiedliche Optionen: Zeitlich unbeschränkt sind iCards für weitere zwei, vier oder acht Access-Points erhältlich. Für die USG FLEX 200 und 500 ist ein Hospitality-Bundle für ein oder zwei Jahre verfügbar. Dabei lässt sich mit der USG FLEX ein WLAN-Hotspot betreiben und die Anzahl managebarer AP wird auf das Maximum gesetzt.

Analytics-Bericht und verbesserte Einblicke
Das Dashboard der USG-FLEX-Serie fasst den Traffic benutzerfreundlich zusammen und visualisiert die Bedrohungsstatistiken. Nutzen Sie SecuReporter für weitere Bedrohungsanalysen mit Korrelationsmerkmalen. Damit lässt sich der Netzwerkstatus proaktiv zurückverfolgen, um das nächste Bedrohungsereignis zu verhindern. Mit der zentralisierten Sichtbarkeit der Netzwerkaktivitäten können Sie mehrere Clients einfach verwalten. 

Funktionsübersicht Zyxel-USG-FLEX-Serie

  USG FLEX 100 USG FLEX 200 USG FLEX 500 USG FLEX 700
Schnittstellen 100/1000 Mbps 4 x LAN/DMZ, 1 x WAN, 1 x SFP 4 x LAN/DMZ, 2 x WAN, 1 x SFP 7 konfigurierbar, 1 x SFP 12 konfigurierb., 2 x SFP
Ohne Ventilator Ja Ja Nein Nein
Installation in Rack Nein Ja Ja Ja
SPI-Firewall-Durchsatz 900 Mbps 1'800 Mbps 2'300 Mbps 5'400 Mbps
VPN-Durchsatz 270 Mbps 450 Mbps 810 Mbps 1'100 Mbps
UTM-Durchsatz 360 Mbps 550 Mbps 800 Mbps 1'350 Mbps
Anzahl AP als Controller (standard/max) 8 / 24 8 / 40 8 / 72 8/264
Artikel ohne Lizenzen 5160 5162 5164 5166
Preis ohne Lizenzen CHF 539.– CHF 779.– CHF 1'179.– CHF 1'919.-
Artikel mit UTM-Service-Bundle 1 Jahr 5161 5163 5165 5167
Preis mit UTM-Service-Bundle 1 Jahr CHF 689.– CHF 1'029.– CHF 1'589.– CHF 2'129.-
Web-Filter & Anti-SPAM 1 Jahr CHF 175.– CHF 369.– CHF 399.– CHF 569.-
Service-Bundle 1 Jahr CHF 279.– CHF 439.– CHF 555.– CHF 959.-


USG FLEX: Welche ist die richtige?
Gerade in der Schweiz stellen die Internet-Service-Provider zunehmend flächendeckend immer schnellere Bandbreiten zur Verfügung – entsprechend gefordert sind die Firewalls. Die neue Hardware-Plattform der USG-FLEX-Serie trägt zu performanterem Datendurchsatz bei.

Die Entwicklungen der letzten Monate haben gezeigt, dass die Anforderungen an Home-/RemoteOffice gestiegen sind: VPN-Verbindungen zum Firmen- oder Schulnetzwerk sind wegen der Verschlüsselungstechnologien sehr rechenintensiv und haben eine starke Auswirkung auf den Nettodurchsatz der Firewall.

Nebst Durchsatz wurden auch andere Kennzahlen erheblich gesteigert. Speziell zu erwähnen ist hier die Anzahl der Sessions: Pro User werden beim Zugriff auf cloudbasierte Dienste wie z. B. Office365 sofort mehrere hundert Sessions geöffnet.
Die empfohlene Anzahl User pro Modell basiert auf erhobenen Durchschnittswerten. Es ist etwas anderes, wenn an einem Standort ein paar Mitarbeiter einer Marketingagentur andauernd sehr grosse Dateien mit ihren Kunden austauschen, wie wenn das Internet mehrheitlich für Informationsbeschaffungen auf Websites genutzt wird. Dieser Sachverhalt muss bei der Empfehlung der richtigen Firewall von Fall zu Fall mit dem Endkunden geklärt werden.

Weitere Informationen: studerus.ch/usg-flex

Vergleichstabelle USG FLEX

Modell USG FLEX 100 USG FLEX 200 USG FLEX 500 USG FLEX 700
System Capacity & Performance
Firewall-Durchsatz (Mbps) 900 1'800 2'300 5'400
VPN-Durchsatz (Mbps) 270 450 810 1'100
IDP-Durchsatz (Mbps) 540 1'100 1'500 2'200
AV-Durchsatz (Mbps 360 570 800 1'450
Max. TCP concurrent sessions 300'000 600'000 1'000'000 1'600'000
Max. concurrent IPsec VPN tunnels 40 100 300 500
Concurrent SSL VPN users 30 60 150 150
VLAN interface 8 16 64 128
Concurrent devices logins (default/max.) 64 200 200 / 300 500/800
Empfohlene Anzahl User (max.) 15 30 80 100
Speed Test Performance (1 Gbps-WAN/TCP)
SPI-Firewall-Durchsatz (Mbps) 760 810x 810 840
Key Features
VPN IKEv2, IPSec, SSL, L2TP/IPSec IKEv2, IPSec, SSL, L2TP/IPSec IKEv2, IPSec, SSL, L2TP/IPSec IKEv2, IPSec, SSL, L2TP/IPSec
SSL (HTTPS) inspection Ja Ja Ja Ja