Введение
Компания Sonicwall широко известна своими мощными, но в то же время простыми в установке устройствами с высоким уровнем безопасности, нацеленными на представителей малого и среднего бизнеса, которые могут позволить себе заплатить более высокую цену за продукты Sonicwall.
Похоже, что в своей первой попытке выйти на рынок беспроводной безопасности Sonicwall решила опустить все беспроводные стандарты – LEAP, PEAP и другие, основав TZW на проверенной и надёжной технологии IPsec VPN. По всей видимости, компания пожелала создать такое же простое в эксплуатации, надёжное и безопасное устройство, что и её проводные продукты, ориентировав TZW на пользователей беспроводных сетей 802.11b. Насколько предложенное решение можно считать успешным? Давайте посмотрим…
Функциональность и дизайн
TZW представляет собой приятную серебристо-голубую коробку, по габаритам и весу напоминающую книжку. Все индикаторы расположены спереди, они достаточно яркие и видны под широким углом. Среди индикаторов размещены Связь/ Link, 100 и Активность/ Activity для портов LAN и WAN, а также индикаторы Включено/ On, WiFiSec и Активность/ Activity для беспроводной сети. Наконец, отметим индикаторы Питание/ Power и Тест/ Test.
Все разъёмы выведены на заднюю панель, включая порты 10/100 для сетей LAN и WAN, разъём питания, последовательный порт DB-9M для консоли управления и два разъёма RP-TNC для антенн. Нас порадовала возможность установки скорости и режима для каждого порта через интерфейс администратора (по умолчанию включено автосогласование). Тем не менее, с отрицательной стороны следует отметить отсутствие возможности переключения раскладки портов Normal/Uplink, несмотря на то, что Sonicwall заботливо вложила в комплект поставки кабели UTP с обычной и перекрёстной обжимкой. Кроме того, в комплекте поставки или на сайте Sonicwall отсутствует какая-либо документация для консоли управления.
Отметим ещё два недостатка: разъёмы для подключения антенны слишком близки к гнезду питания и устройство не имеет кнопки аппаратного сброса. Впрочем, вы всегда можете сбросить TZW через интерфейс администратора.
Внутреннее строение
“Сердцем” TZW является RISC-процессор Toshiba TMPR3927, работающий на частоте 133 МГц. Хотя устройство использует собственный ASIC Sonicwall, компания утверждает, что TZW не оснащён встроенным аппаратным сопроцессором IPsec.
Рис. 1. Внутреннее устройство TZW.
На Рис. 1 показано внутреннее устройство TZW, где можно заметить радио-часть 802.11b мини-PCI Intersil PRISM, которая похожа на Senao SL-2511MP. Радио-часть имеет выводы на два разъёма RP-TNC, к которым присоединены съёмные антенны-диполи 5-dBi .
Следует отметить, что Sonicwall не предусматривает обновление радио-части TZW. Причина заключается в том, что скорость обработки IPsec соответствует пропускной способности 802.11b 5 Мбит/с в лучшем случае. Поэтому переход на 802.11a или 11g приведёт к дополнительным вычислительным нагрузкам VPN. Так что, если 802.11b – не для вас, вам следует дождаться выпуска Sonicwall модели TZW с требуемой радио-частью.
Основная информация | |
Универсальный блок питания? | Да |
Встроенный сервер печати? | Нет |
Замечания по серверу печати | Нет |
Сервер удалённого доступа? | Нет |
Поддержка UPnP? | Нет |
Замечания по UPnP | Нет |
Другие замечания | Нет информации |
Информация со стороны локальной сети | |
Число портов | 1 |
Скорость портов | 10/100 |
Коммутация? | Нет |
Режим Uplink? | Нет |
Порт HPNA? | Нет |
Беспроводная точка доступа? | Да |
Другие примечания по поводу портов | Можно устанавливать скорость Ethernet или режим автосогласования (по умолчанию) |
Установка и администрирование
TZW имеет столь много функций, что если бы мы стали все их описывать, статья превратилась бы в подобие 283-страничного руководства администратора! Поэтому давайте остановимся лишь на ключевых и уникальных особенностях.
По умолчанию у TZW установлен адрес 192.168.168.168, однако два встроенных сервера DHCP (один для проводной сети, другой – для беспроводной) выключены. Так что вам придётся выставить у компьютера IP-адрес в той же подсети, чтобы подключиться (Sonicwall рекомендует адрес 192.168.168.200). Всё это описано в инструкции по быстрой установке, поставляющейся вместе с TZW.
Совет: После завершения начальной установки, не забудьте изменить настройки клиента для соответствия выбранному методу IP-адресации. Я забыл включить на клиенте автоматическое получение адреса с DHCP после того, как инициализировал встроенный в TZW сервер DHCP. В результате у меня возникли проблемы с путешествием по Web, пока я не догадался о причинах.
Как только вы подключитесь к устройству, мастер установки проведёт вас через все необходимые шаги. Самым трудным является решение о выборе одного из трёх сценариев, но даже здесь Sonicwall обеспечивает пользователя удобными диаграммами (см Рис. 2).
Рис. 2. Сценарий установки офисного шлюза.
Установка и администрирование, продолжение
По нашему мнению, интерфейс администрирования хорошо и логично спланирован, хотя он несколько “притормаживал” при работе с медленных компьютеров. Для записи произведённых изменений требовалось порядка пяти секунд. К счастью, нам ни разу не пришлось перезапускать систему, поскольку каждая загрузка занимает около 90 секунд!
Чтобы ещё раз подтвердить ориентацию на безопасность, к интерфейсу администратора можно подключиться как по HTTP, так и по протоколу HTTPS. Для администрирования с беспроводных клиентов установлен по умолчанию протокол HTTPS. Во время администрирования ваш браузер (в зависимости от его настройки) может несколько раз выдать предупреждения о принятии сертификатов безопасности, однако если вы установите “галочку” о постоянном принятии, то предупреждения больше не будут вас беспокоить.
Удалённое управление может осуществляться по HTTP или HTTPS, причём вы можете установить номер порта для каждой службы, ограничить подключение к интерфейсу каким-либо IP-адресом или диапазоном адресов, а также оговорить время автоматического отключения интерфейса при бездействии. Также доступна опция блокировки входа после нескольких неудачных попыток.
TZW поддерживает не только статические и динамические WAN, а также PPPoE, но и не столь широко распространённые способы аутентификации PPTP и L2TP, обеспечивая для каждого статическую или динамическую IP-адресацию. К тому же поддерживается клонирование MAC-адреса и аутентификация по имени узла, однако не на основе домена.
Информация со стороны WAN | |
Интерфейс WAN | Один порт 10/100 Ethernet |
Поддержка WAN Dialup? | Нет |
Другие замечания по WAN | Можно устанавливать скорость работы Ethernet или автосогласование (по умолчанию) |
Аутентификация | |
PPPoE? | Да |
Установка имени узла? | Да |
Установка имени домена? | Нет |
Установка MAC-адреса для WAN? | Да |
Примечания по аутентификации | Поддерживает аутентификацию L2TP и PPTP WAN |
DHCP-сервер локальной сети | |
Максимальное число клиентов | 253 |
Отключение DHCP-сервера? | Да |
Примечания по DHCP-серверу | По умолчанию выключен; Использует отдельные серверы для WLAN и LAN; Можно устанавливать срок аренды, диапазон IP-адресов, шлюз, DNS; Можно насильно прекратить аренду через список клиентов |
Администрирование | |
ОС Windows? | Нет |
ОС Mac? | Нет |
ОС Linux? | Нет |
Примечания по ОС | Не зависит от ОС |
Способ администрирования | HTTP и HTTPS; поддерживается SNMP |
Примечания по администрированию | Всё администрирование осуществляется через интерфейс браузера |
Способ обновления | HTTP |
Примечания по обновлению | Обновление через браузер с помощью скачиваемого файла; Можно установить автоматическую проверку появления новых прошивок |
Управление пропускной способностью
Среди самых интересных функций TZW следует отметить возможность управления пропускной способностью, как показано на Рис. 3 и 4.
Рис. 3. Включено управление пропускной способностью.
Вы можете установить общую пропускную способность, используемую TZW, а также установить пропускную способность каждой службы, то есть FTP, HTTP и т.д. Можно также определить пропускную способность, выделенную под VPN.
Рис. 4. Установки управления пропускной способностью.
К сожалению, вы не можете контролировать пропускную способность по пользователям или по типу сети (проводная или беспроводная), причём регулировка относится только к исходящему трафику. Поскольку управление пропускной способностью в маршрутизаторах подобного класса обычно отсутствует, мы хотели бы поблагодарить Sonicwall за первые шаги в этом направлении. Будем надеяться, что управление пропускной способностью в будущем улучшится, особенно нас порадовала бы возможность управления отдельными пользователями в будущих версиях прошивки.
Функции брандмауэра
TZW использует модель программирования брандмауэра на основе правил и служб, которая сегодня достаточно хорошо известна, благодаря широкому распространению недорогих маршрутизаторов потребительского уровня. Службы определяют порты и протоколы (можно указать TCP, UDP и ICMP), которые будут поддерживаться во время перенаправления пакетов. Правила устанавливают IP-адреса источника и получателя для данной службы. В TZW уже содержатся, по умолчанию, некоторые службы и правила, причём вы можете добавить по 100 записей для обеих категорий.
Совместная работа правил и служб обеспечивает функции перенаправления портов (возможность обращаться к службам локальной сети из глобальной через TZW) и фильтрации портов/ управления доступом (возможность контролировать службы Интернета, к которым пользователь может получить доступ).
Рис 5. Правила брандмауэра.
На Рис. 5 показана часть экрана правил доступа, позволяющая в полной мере оценить гибкость настроек брандмауэра TZW. Временное отключение, редактирование и удаление правил не составляет никаких проблем, а для индикации важных функций используются значки типа опции включения учёта времени суток или использования управления пропускной способностью.
При наведении курсора мыши на значки высвечиваются подсказки, поэтому вам не придётся переходить в режим редактирования опции, чтобы узнать, для чего она нужна. Обратите внимание, что TZW позволяет изменять время жизни открытого состояния портов TCP-служб в режиме простоя (по умолчанию – пять минут), а также оговаривать возможность прохождения фрагментированных пакетов.
Пользователям маршрутизаторов потребительского уровня, пожелавшим познакомиться с TZW, следует учитывать две вещи. Во-первых, здесь, по сути, нет функции DMZ. Если вы желаете поместить компьютер снаружи брандмауэра, требуется установить правило доступа, открывающее доступ к нужным службам по IP-адресу локального компьютера. Во-вторых, TZW не поддерживает автоматическую инициализацию исходящих портов, что не позволит запускать некоторые игры и мультимедиа приложения, использующие динамическое выделение портов. Однако TZW всё же поддерживает “динамические порты” ORACLE SQL.net, Windows Messenger и приложений для организации конференций на базе H.323, типа NetMeeting.
Функции брандмауэра, продолжение
Помимо функций правил и служб, TZW имеет множество полезных возможностей, которые можно реализовывать через закладку сервисов безопасности Security Services, что видно на Рис. 6.
Рис. 6. Закладка сервисов безопасности Security Services.
К сожалению, большинство функций являются платными и предусматривают только 30-дневный бесплатный период эксплуатации. Впрочем, всё же приятно узнать, что при необходимости вы можете использовать фильтры почты и контента, а также антивирусные службы на базе McAfee.
Фильтрация содержания на базе TZW обойдётся вам более $300 за один год подписки, причём вы можете выбрать список фильтрации Sonicwall Content Filter List, или воспользоваться услугами N2H2 или Websense. Но даже если вы не желаете платить за дополнительные услуги, можете включить блокировку Web-прокси, ActiveX, Java, cookies и известных ложных центров сертификатов для защиты ваших клиентов.
Антивирусные службы (примерно $30 за одного клиента в год) работают непосредственно на клиентах и проверяют контент и электронную почту. Службы используют TZW для обновления антивирусных баз, так что защищённые клиенты всегда смогут успешно бороться с вирусами.
Функции брандмауэра | |
Тип брандмауэра | SPI |
Внешний сервер/ “DMZ” | Да |
Multi-NAT? | Да |
Узлы Multi-NAT | Поддерживается 64 трансляции NAT один-на-один |
Управление доступа (фильтрация портов)? | Да |
Примечания по управлению доступа | Управление доступа по времени – возможна установка одного временного периода на одно правило; Можно оговаривать ограничение пропускной способности, а также приоритет службы относительно исходящего трафика |
Перенаправление одного порта? | Да |
Перенаправление диапазона портов? | Да |
Привязка портов по активации? | Да |
Замечания по перенаправлению портов | Можно определить 100 служб и 100 правил; Динамические (активизируемые) порты поддерживаются только для SQLnet, Windows Messenger и H.323; Один день/ период времени на порт; Поддержка ‘DMZ’ через правила доступа |
Управление содержанием |
|
Управление содержанием? | Да |
Список содержания | |
Подписка? | Да |
Управление содержанием по времени? | Да |
Примечания по управлению содержанием | Фильтрация содержания только по оплаченной подписке, 30-дневный период свободной эксплуатации |
VPN
При таком обилии возможностей TZW легко пропустить мимо внимания полнофункциональную конечную точку VPN IPsec, которая поддерживает до десяти VPN-туннелей WAN, без ограничения числа пользователей (у TZW присутствует ограничение 25 лицензированных пользователей) на туннель. Sonicwall явно пытается уменьшить всю суматоху с лицензированием VPN, поскольку компания включила одну клиентскую лицензию, которая будет работать со стороны WAN. По крайней мере, один клиент сможет подключаться к домашней сети без траты дополнительных $45 за клиентскую лицензию Global VPN.
Рис. 7. Настройка VPN.
Конечная точка имеет практически все необходимые функции IPsec и может работать как с динамическим, так и со статическим IP-адресом в глобальной сети, до тех пор, пока TZW с динамическим адресом инициирует туннель. Пользователю предоставляется множество конфигурационных опций (Рис. 7 – это всего лишь часть айсберга), поэтому мы рекомендуем скачать руководство администратора TZW, если вам нужно полное описание. Ниже мы вкратце перечислим основные функции:
- Поддерживаются конфигурации туннелей сайт-сайт, концентратор-клиент и сетка (mesh);
- Раздельное управление предложениями фазы 1 и 2;
- Позволяет выбирать обмен ключей Diffie-Hellman Group 1,2 и 5;
- Поддерживается шифрование DES и 3DES, а также аутентификация SHA1 и MD5;
- Поддержка широковещания NetBIOS (выключена по умолчанию);
- Возможность скрывать удалённый конец туннеля за NAT и брандмауэром;
- Встроенный сервер L2TP.
Если вам этого мало, то TZW также поддерживает сквозное прохождение VPN для нескольких подключений по протоколам PPTP, IPsec и L2TP. Такая особенность будет полезна, если ваша компания использует какого-либо специфического клиента VPN или протокол, не поддерживающий конечной точкой TZW.
Клиент VPN | |
Сквозное прохождение PPTP? | Да |
Сквозное прохождение IPsec? | Да |
Сквозное прохождение L2TP? | Да |
Примечания по сквозному прохождению клиента VPN | Поддерживается несколько клиентов на удалённый шлюз |
Сервер VPN | |
Сквозное прохождение PPTP? | Да |
Сквозное прохождение IPsec? | Да |
Сквозное прохождение L2TP? | Да |
Примечания по сквозному прохождению сервера VPN | Каждый тип сервера VPN поддерживается с соответствующим набором правил |
Примечания по VPN |
|
Конечная точка? | Да |
Аппаратный сопроцессор? | Нет |
Примечания по конечной точке | Поддерживаются серверы IPsec и L2TP |
Производительность VPN
Поскольку мы получили только один экземпляр TZW, мы проводили тесты пропускной способности VPN с помощью ноутбука Dell Inspiron 4100, на котором был запущен клиент VPN Sonicwall. Порт 10/100 Ethernet ноутбука работал на скорости 100 Мбит/с в режиме полного дуплекса и был подсоединён в один из коммутируемых портов нашего главного маршрутизатора. В результате мы смогли подсоединиться с портом WAN TZW, который был подключён к другому порту маршрутизатора. Затем мы добавили новое соединение VPN с помощью мастера и провели первый сеанс связи. Результаты представлены ниже.
Версия прошивки | 1.0.0.1 | |||
Описание теста | Скорость передачи (Мбит/с) | Время отклика (мс) | Поток UDP [10S@500 кбит/с](Пропускная способность – кбит/с) |
Поток UDP [10S@500 кбит/с](Потеря данных – %) |
С локального на удалённый | 6,9 | 3 (ср.) 4 (макс.) |
499 | 0% |
С удалённого на локальный | 6,9 | 3 (ср.) 4 (макс.) |
499 | 0% |
Таблица: результаты теста производительности IPsec VPN.
Детальное описание методики тестирования можно найти здесь.
Производительность превосходна, даже лучше, чем необходимо для большинства широкополосных подключений SOHO и SME. Но поскольку та же самая конечная точка используется для шифрованных беспроводных подключений WiFiSec, Sonicwall достаточно благоразумно разработала TZW с хорошим запасом производительности VPN. Если вам потребуется более точно настроить производительность, можете использовать управление пропускной способностью VPN, чтобы сбалансировать проводную и беспроводную производительность VPN.
Журналирование
Функции журналирования TZW просты в использовании, поскольку вы действительно получаете информацию, а не набор данных. Посмотрите на Рис. 8, и вы поймёте, что мы имеем в виду.
Рис. 8. Журнал.
Если вы сравните журнал с запутанной информацией, которую обычно получаете на менее дорогих маршрутизаторах, вы поймёте, за что платили деньги. Записи в журнале столь хорошо оформлены, что любой пользователь сможет в них разобраться без поиска номера порта или аббревиатуры в Google. Вы можете очистить журнал через интерфейс администратора, выслать его по почте в любой момент времени или осуществлять регулярную отсылку ежедневно, еженедельно либо при заполнении. Пользователь также будет получать по электронной почте специальные сообщения – атаки, системные ошибки, заблокированные сайты и статус туннеля VPN.
Также можно установить отправку статистики по трафику, пример которой показан на Рис. 9.
Рис. 9. Статистика по трафику.
Статистику можно получить как по IP-адресу пользователя, так и по типу web-службы. Статистику нельзя сохранить, однако вы можете её очищать, а также включать и выключать сбор статистики.
Маршрутизация и другие функции
TZW обладает некоторыми функциями, которые будут полезны опытным пользователям. К примеру, если ваш провайдер выдал вам больше одного IP-адреса, вы можете определить 64 различные группы один-на-один NAT. В каждом определении привязывается диапазон локальных IP-адресов к одному внешнему IP-адресу. Подобная особенность, к примеру, позволяет устанавливать два различных web-сервера на порту 80, которые будут отвечать на различных внешних IP-адресах или доменах.
Кроме того, вы можете установить статические маршруты для поддержки сетей с более чем одной подсетью, а также сбросить и установить время жизни записей в ARP-таблице TZW. Однако если вы будете использовать динамическую маршрутизацию, то мы вынуждены вас огорчить – TZW не поддерживает протоколы динамической маршрутизации типа RIP.
Если в вашей сети находится прокси-сервер, можно перенести сервер в глобальную сеть и включить функцию перенаправления web-прокси. С помощью этой функции TZW будет автоматически передавать все запросы к web-прокси на прокси-сервер, что позволяет избавиться от головной боли по конфигурации настроек прокси на каждой машине вашей сети.
Чуть выше мы уже упоминали, что TZW содержит раздельные серверы DHCP для сегментов LAN и WLAN. Но мы забыли сказать, что вы можете устанавливать диапазон адресов и задавать индивидуальную выдачу IP по MAC-адресу, а также включить в список раздачи адреса шлюза, серверов DNS и WINS.
Вы можете также проводить некоторые процедуры диагностики, включая ping, отслеживание маршрута, определение имени узла (или адреса по имени), а также запустить отслеживание входящих пакетов.
Функции маршрутизации | |
Статическая маршрутизация? | Да |
Примечания по статической маршрутизации | До 128 статических маршрутов; можно просматривать таблицу маршрутизации; Можно просматривать/ сбрасывать ARP-таблицу |
Динамическая маршрутизация? | Нет |
Примечания по динамической маршрутизации | Нет |
Журналирование | |
Журналирование? | Да |
Поддержка Syslog? | Да |
Журналирование SNMP? | Нет |
Оповещения по электронной почте? | Да |
Другие примечания по журналированию | Доступно множество опций журналирования, включая отображение суммарного web-трафика, трафика по IP-адресу или по виду службы; Журнал и оповещения могут высылаться по электронной почте |
Прочие особенности | |
Часы? | Да |
Антивирусная защита? | Да |
Примечания по антивирусной защите | Только при оплате подписки; 30-дневная бесплатная эксплуатация; на основе McAfee. |
Другие примечания | Можно управлять общей пропускной способностью исходящего трафика, а также устанавливать пороги пропускной способности по определённым службам. |
Производительность маршрутизации
Результаты теста производительности представлены в следующей таблице:
Версия прошивки | 1.0.0.1 | |||
Описание теста | Скорость передачи (Мбит/с) | Время отклика (мс) [размер данных 100.000 байт] |
Поток UDP [10S@500 кбит/с](Пропускная способность – кбит/с) |
Поток UDP [10S@500 кбит/с](Потерянные данные- %) |
WAN-LAN | 10,5 | 3 (ср.) 4 (макс.) |
499 | 0% |
LAN-WAN | 13,6 | 3 (ср.) 4 (макс.) |
Нет информации | Нет информации |
[Детальное описание методики тестирования можно прочитать здесь.]
Примечание:
- Все тесты проводились с портами Qcheck TCP и UDP, открытыми со стороны WAN для клиентов LAN с запущенной консолью Qcheck.
Результаты демонстрируют высокую скорость маршрутизации в обоих направлениях, наравне с лучшими маршрутизаторами, побывавшими в нашей лаборатории.
Обратите внимание, что отсутствие результатов тестов UDP в направлении с LAN в WAN не связано с какими-либо недостатками TZW – подобная проблема прослеживается у Qcheck со многими маршрутизаторами SPI + NAT. Как мы предполагаем, актуальная производительность будет отражать результаты потока UDP в направлении с WAN в LAN.
Беспроводные функции
TZW обеспечивает широкий диапазон беспроводных функций, опций по мониторингу (Рис. 10) и, конечно, безопасность!
Рис. 10. Статус беспроводной сети.
Во всём спектре беспроводных функций TZW разобраться непросто, особенно учитывая опции по обеспечению безопасности. Здесь присутствует столь много слоёв и опций, через которые должен пройти ваш беспроводный клиент, что мы настоятельно рекомендуем использовать мастер настройки беспроводного соединения (Wireless Wizard) для начальной установки. Загляните в руководство по администрированию TZW, и вы поймёте, почему.
Что касается использования TZW SOHO, беспроводные клиенты подключаются к слою точки доступа брандмауэра. Вместо коммутации соединения напрямую на проводную сеть, беспроводный трафик проходит через слой беспроводного шлюза, где требуется аутентификация клиента на уровне пользователя.
SOHO TZW регулирует доступ к беспроводным гостевым службам (WGS) и поддерживает список фильтрации по MAC-адресам. На этом же уровне SOHO TZW может потребовать обязательное использование WiFiSec, VPN-накладки на базе IPsec для беспроводных сетей.
Как только беспроводный сетевой трафик пройдёт через описанные слои, он передаётся на уровень брандмауэра VPN-NAT, где происходит терминация WiFiSec, трансляция адресов и применяются правила доступа. Если уровень безопасности соответствует, беспроводный трафик может пройти на следующие системы распределения (DS):
- LAN;
- WAN;
- Беспроводный клиент на WLAN;
- Туннель VPN.
Всё поняли? Неплохо было бы нарисовать диаграмму, но, в принципе, у беспроводных клиентов есть выбор одного из трёх способов аутентификации с точкой доступа TZW:
- Нормальный – через аутентификацию 802.11 ESSID;
- Гостевые службы – функции типа “hotspot”, которые позволяют ассоциацию клиентов, но блокируют весь трафик до тех пор, пока пользователь не запустит браузер и введёт имя пользователя и пароль;
- WiFiSec – режим также позволяет клиентам ассоциироваться, однако он требует, чтобы клиент идентифицировал себя и шифровал весь трафик через IPsec.
Беспроводные функции, продолжение
Использование WiFiSec требует установки собственной версии клиента VPN от Sonicwall на ваш компьютер. Нет, это не означает, что Sonicwall будет раздавать свои клиенты IPsec, поскольку, хотя версия на TZW CD будет работать с любым числом беспроводных подключений, она поддерживает только один проводной туннель WAN. Хотя Sonicwall и не ограничивает максимальное число подключений WiFiSec через лицензирование, компания рекомендует подключать не больше 20-25 беспроводных клиентов для получения удовлетворительной беспроводной производительности.
Функцию можно признать мощной, а нам особенно понравилась возможность запускать WiFiSec и гостевое подключения одновременно. Обратите внимание, что по одному гостевому имени пользователя можно обеспечивать одновременную работу нескольких клиентов, так что вы можете просто повесить на стенку имя пользователя и пароль, если желаете, чтобы ваши друзья выходили в Интернет через TZW, не пропуская их, в то же время, в вашу локальную сеть. Однако вы не сможете поместить эту информацию на страницу ввода пароля, поскольку она не настраивается. TZW позволяет устанавливать время работы “гостей”, а также срок жизни самой учётной записи.
Хотя вы можете совершенно независимо друг от друга включать гостевые службы и WiFiSec, подобный шаг приведёт к отмене старой доброй аутентификации 802.11 ESSID. Впрочем, вы можете включать 64- или 128-битное шифрование WEP для всех трёх режимов, хотя вряд ли вам понадобится это шифрование вообще, учитывая другие опции по безопасности TZW. Но если вам надо – пожалуйста.
Поскольку мы говорим о безопасности 802.11, следует заметить, что ни аутентификация 802.1x, ни улучшенная безопасность WPA не поддерживаются, и вряд ли это будет в будущем. Позиция Sonicwall такова, что обеспечение безопасности на основе IPsec заменяет все остальные способы, при этом реализация IPsec подразумевает совместимость с широким спектром клиентов IPsec и различных маршрутизаторов, уже годы существующих на рынке.
Управление ассоциацией на основе MAC-адресов (фильтр MAC-адресов) позволяет дополнить приведённую выше схему аутентификации. После активации фильтр MAC-адресов предотвращает даже ассоциацию клиентов с точкой доступа TZW, пока их MAC-адрес не будет внесён в список. Функция фильтрации не слишком удобно спланирована, поскольку вы не можете сохранить или загрузить список адресов. Также система не выводит список адресов, доступных в зоне действия, что облегчило бы их добавление.
Следует отметить, что список MAC-адресов автоматически активируется при включении гостевых служб и используется для управления ассоциацией “гостей”. Однако гостевые клиенты не отображаются в списке фильтрации MAC-адресов, к тому же фильтр не деактивируется автоматически при отключении гостевых служб. Поскольку по умолчанию фильтр MAC-адресов блокирует все станции, не внесённые в список, вам необходимо помнить, что список фильтрации тоже необходимо отключать при отказе от гостевых служб – во время нашего тестирования мы не раз натыкались на этот “подводный камень”.
После аутентификации клиенты должны запустить клиента брандмауэра TZW, который по умолчанию позволяет лишь доступ в Интернет для беспроводных клиентов. Вы можете установить правила брандмауэра, разрешающие прохождение трафика между сегментами WLAN и LAN, но это правило будет игнорироваться для тех клиентов, которые были аутентифицированы через гостевые службы. По умолчанию брандмауэр запрещает связь клиентов друг с другом, но это правило можно отключить.
Беспроводные функции, продолжение
Среди беспроводных настроек интересно отметить возможность установки мощности сигнала, интервалы beacon и DTIM, а также пороги RTS и фрагментации. Вы также можете ограничить число ассоциированных клиентов (по умолчанию 32), выставить тайм-аут аутентификации и продолжительность ассоциации, а также отключить ассоциированного клиента. Отдельно можно ограничить число клиентов гостевых служб и выбрать опцию применения фильтрации брандмауэра TZW на их трафик. К счастью, здесь существует самая сильная мера по обеспечению беспроводной безопасности вообще – возможность полностью выключить точку доступа!
Основная информация | |
Стандарт | 802.11b |
Сертификация | Не сертифицирована |
Чипсет | Intersil PRISM |
Антенна | |
Тип | Сдвоенный разнесённый диполь 5dBi |
Тип разъёма | RP-TNC |
Примечания по антенне | Антенна съёмная и вращающаяся |
Функции | |
Если не указано иное, все продукты 802.11a и 802.11b позволяют устанавливать радио-канал и ESSID. |
|
Питание по Ethernet(POE)? | Нет |
Поддержка роуминга? | Да |
Поддержка управления питанием? | Нет информации |
Ассоциация по MAC-адресам? | Да |
Управление скоростью передачи? | Нет |
Общие примечания по функциональности | Множество опций обеспечения безопасности, включая поддержку шифрованных соединений на основе IPsec; Может блокировать трафик между беспроводными клиентами, а также клиентом и LAN; Может поддерживать IPsec и обычный трафик WLAN одновременно; Может заставлять клиентов без аутентификации проходить аутентификацию через web-интерфейс |
Функции беспроводного повторителя? | Нет |
Примечания по режиму | Не поддерживаются функции моста или повторителя |
Безопасность | |
40/64- битное WEP? | Да |
128-битное WEP? | Да |
Число ключей WEP | Четыре |
Формат ключей WEP | ASCII и шестнадцатеричный |
Блокировка широковещания ESSID? | Да |
Запрет ESSID “любой”? | Да |
Другие примечания по безопасности | Может использовать открытую систему, общий ключ или оба режима; Ключи никогда не отображаются в текстовом виде и не сохраняются при отключении WEP |
Функции мониторинга | |
Мониторинг сетевой статистики? | Да |
Мониторинг статуса клиентов? | Да |
Примечания по мониторингу | Список клиентов со статусом, скорость передачи Tx; Статистика кадров Tx и Rx; Отображение аутентификации и ассоциации клиентов, возможность отменять ассоциацию |
Беспроводная производительность
В следующей таблице приведены результаты теста беспроводной производительности 802.11b:
Условия тестирования
Шифрование WEP: ВЫКЛЮЧЕНО |
Версии прошивки/ драйвера
Прошивка точки доступа: 1.0.0.1 |
||||
Описание теста | Качество сигнала (%) | Скорость передачи (Мбит/с) [размер данных 1 Мбайт] |
Время отклика (мс) [10 итераций по 100 байт] |
Поток UDP [10S@500 кбит/с](Пропускная способность, кбит/с) |
Поток UDP [10S@500 кбит/с](Потерянные данные, %) |
С клиента на ТД – условие 1 | 0 | 3 [без WEP]2,9 [с WEP] | 5 (ср.) 6 (макс.) |
404 | 19% |
С клиента на ТД – условие 2 | 0 | 3 | 5 (ср.) 6 (макс.) |
404 | 19% |
С клиента на ТД – условие 3 | 0 | 3 | 5 (ср.) 6 (макс.) |
402 | 19% |
С клиента на ТД – условие 4 | 0 | 3 | 5 (ср.) 6 (макс.) |
403 | 19% |
[Детальное описание методики тестирования приведено здесь.]
Примечания:
- Мы не смогли получить значения качества сигнала;
- Режим WiFiSec был включен, а шифрование WEP – выключено;
- Тестирование проводилось с клиентской картой ORiNOCO 802.11b Gold в ноутбуке Dell Inspiron 4100 под Windows XP Home.
Мы начали с использования карты NETGEAR WAG511 a/b/g [рассмотренной нами раньше], поскольку она имеет хорошую радио-часть 11b, а мы желали получить от TZW максимально честные результаты. Однако после нескольких часов пыток с этой картой, а также с другим решением: draft-11g, мы не смогли выжать больше 1 Мбит/с или около того. Тогда вместо этого мы решили взять старую добрую карту ORiNOCO 802.11g Gold. Кстати, чуть позже мы прочитали следующее замечание в информации к прошивке 1.0.0.1 для TZW:
Некоторые беспроводные карты, в частности, Netgear и Linksys 54G, имеют проблемы совместимости при подключении к устройствам других производителей. Проблемы ещё больше усугубляются при включении WEP или при повышении интервала beaconing. Мы настоятельно рекомендуем, чтобы вы установили последнюю версию прошивки и драйвера вашей беспроводной карты с сайта производителя, особенно если у вас используется оборудование Netgear или Linksys 54G.
Мы спросили Sonicwall, в чём причины такой уверенности компании, что проблема заключается именно в картах draft-11g, а не в радио-части TZW. Ответ был прост: “draft-11g новый и нестабильный; PRISM – стабильный и проверенный опытом” (мы чуть перефразировали ответ). Но независимо от причин, мы согласны с предупреждением Sonicwall и не рекомендуем использовать карты 802.11g с TZW до ратификации 11g и обновления до прошивки, содержащей финальную версию стандарта.
Беспроводная производительность, продолжение
После выбора тестового клиента мы провели привычный тест в четырёх местоположениях. При этом мы включили режим WiFiSec без активации шифрования WEP, поскольку, как мы считаем, именно такой режим будут использовать большинство потребителей. На Рис. 11 приведены результаты.
Рис. 11. Тест пропускной способности при четырёх условиях – режим WiFiSec.
Как видите, TZW обеспечивает устойчивую пропускную способность во всех наших тестовых местоположениях, однако средняя пропускная способность оказывается примерно на уровне 3 Мбит/с – значительно ниже, чем у лучших продуктов 802.11b.
Мы связываем хорошую связь с использованием двух антенн 5 dBi и радио-частью 200 мВ, что вместе позволяет получить более сильный сигнал, чем диполи 2,2 dBi и 30 мВ радио-часть, характерные для многих потребительских точек доступа.
Низкую пропускную способность можно отнести на счёт использования WiFiSec. Поскольку на пропускную способность TZW негативное влияние оказывают как WEP, так и WiFiSec шифрование, мы решили провести дополнительные тесты для оценки каждого режима.
Рис. 12. Пропускная способность разных режимов шифрования.
На Рис. 12 показаны запуски Chariot для “Условия 1” (малое расстояние):
- без WiFiSec и WEP;
- включено шифрование WiFiSec;
- включено только 128-битное шифрование WEP;
- включено WiFiSec и WEP 128 бит.
Как видим, пропускная способность находится, в лучшем случае, примерно на уровне 4,5 Мбит/с, при этом шифрование WEP отнимает от неё примерно 20%, снижая результат до 3,7 Мбит/с. Выбор более безопасного режима WiFiSec в то же время снижает пропускную способность на треть (33%). К счастью, эффекты WEP и WiFiSec не складываются, поскольку в последнем случае мы наблюдаем то же падение на 33% как и в режиме только WiFiSec.
Мы нашли результат удивительным, особенно, если учесть, что в нашем тестировании VPN по Ethernet пропускная способность оказалась на уровне 7 Мбит/с. Вероятно, на уменьшение пропускной способности при включении WiFiSec влияют какие-либо другие сторонние факторы.
Поэтому, высоко оценивая результаты TZW в пропускной способности по отношению к расстоянию, мы, тем не менее, разочарованы слишком сильным падением производительности при включении WiFiSec. В нашем лучшем условии 802.11b (где нормой является скорость 5 Мбит/с или выше) пропускной способности едва хватит для загруженных беспроводных сетей. Некоторым сниженная пропускная способность может не подойти.
Заключение
Мы уже достаточно давно не имели дело с продуктами Sonicwall и почти забыли, насколько приятно работать с устройствами на базе SonicOS. Конечно, вряд ли имеет смысл сравнивать функциональность устройств потребительского уровня с продуктом, стоящим во много раз дороже. Однако несколько дней работы с TZW отчётливо нам напомнили, как незначительно изменились пользовательские интерфейсы потребительских продуктов за последние несколько лет. Конечно, административные экраны получили более приятный внешний вид, однако до лёгкости их использования ещё далеко. Многие продукты содержат лишь примитивные функции по журналированию и мониторингу.
С другой стороны, средний пользователь вряд ли будет счастлив, если Linksys, Netgear или другой производитель будут просить $115 за годовой сервис поддержки, без которого пользователь не сможет загрузить новые прошивки, не говоря уже о звонках или письмах в службу поддержки.
С учётом сказанного, как мы считаем, Sonicwall смогла предложить прекрасное решение для малого бизнеса и опытных пользователей. TZW обеспечивает лёгкий путь безопасного подключения нескольких клиентов и гарантирует стабильную и надёжную связь. Причём пользователю не требуется быть семи пядей во лбу, чтобы всё это настроить. Но будьте осторожны… как только вы попробуете TZW, вы никогда уже не сможете вернуться к дешёвому “железу”!
Итоговая информация | |
Производитель | Sonicwall |
Модель | Wireless Internet Security Appliance |
Заключение | Функциональное устройство-брандмауэр с высоким качеством Sonicwall. Встроенная конечная точка IPsec VPN и поддержка клиентов VPN для беспроводных соединений на базе IPsec. |
Преимущества | Одновременная поддержка IPsec VPN и обычного беспроводного трафика; Может управлять коммутацией между беспроводной и проводной сетями, а также связью между беспроводными клиентами; Стабильная беспроводная производительность и на больших расстояниях |
Недостатки | Падение пропускной способности в 33% при включении шифрования IPsec; Низкая пропускная способность с клиентами draft-11g; Требуется покупать контракт ($) для получения обновлений прошивки, а также для получения поддержки по телефону и электронной почте |
Розничная цена | $671 |