СЕТИ

Андрей Пировских, Тим Хиггинс,  29 апреля 2004 Страница:   1 2 3 4 5

Брандмауэр

В 2900G используется достаточно функциональный брандмауэр на основе SPI+NAT, но, мы считаем, что интерфейс можно было бы немного упростить. Нам пришлось обращаться к диску с документацией, входящему в комплект, чтобы разобраться с терминологией и понять, как использовать некоторые редко встречающиеся функции.

Примечание: Использование справки из множества файлов в формате PDF, обращение к которым происходит с одной HTML-страницы, можно оценить только за новизну, но если говорить об удобстве такого решения, то здесь не всё так гладко. Кроме этого, на диске можно обнаружить много полезной информации, которую не удастся найти в бумажном руководстве.

Перенаправление портов в 2900G можно реализовать тремя способами: перенаправление портов (Port Redirection), открытые порты (Open ports) и демилитаризованная зона (DMZ). Наиболее гибкий способ - перенаправление портов, экран настройки которого показан на Рис. 5.

Таким образом, эта функция позволяет открыть до десяти портов в брандмауэре 2900G, чтобы пользователи могли из Интернета обращаться к серверам, находящимся в вашей локальной сети. Предусмотрена также возможность переноса сервера на любой порт, отличный от стандартного. На Рис. 5 показан пример, в котором запросы, приходящие на 21 порт (FTP), перенаправляются на порт 2700 внутреннего сервера. Можно также задать и протокол: TCP или UDP, но не оба одновременно. Отметим, что работа с диапазонами портов не поддерживается.

Функция "открытые порты" позволяет работать с десятью диапазонами портов в LAN, здесь также существует ограничение по протоколу: вам придётся выбирать TCP или UDP. Отметим, что ни одна из функций не поддерживает перенаправление портов по событию, равно как и перенаправление запроса к внутреннему серверу по его внешнему IP (loopback). Функция DMZ позволяет открыть все порты на один из адресов в сегменте LAN.

Совет:: Подробнее узнать о функции "loopback" можно в нашем кратком справочнике по терминологии и функциям маршрутизаторов, расположенном здесь. В маршрутизаторе реализована поддержка UPnP, которая по умолчанию не активирована. Для контроля подключений (Connection Control) и Статуса (Status) предусмотрены раздельные пункты.

Разобравшись с входящим трафиком, обратимся к исходящему. DrayTek использует правила фильтрации, которые покажутся удобными для пользователей, работавших с мощными брандмауэрами. Всего может использоваться до двенадцати фильтров, в каждом из которых можно задать до семи правил. Пример показан на Рис. 6.

Правила могут задаваться как для входящих, так и для исходящих данных, фильтры для которых у DrayTek называются Call (вызов) и Data (данные), соответственно. Мы не будем останавливаться на их настройке, достаточно сказать, что если у вас есть необходимость использования смешанных фильтров, то 2900G должен справиться и с этим, если, конечно, вы разберётесь с настройкой.

Брандмауэр - фильтрация содержания

Пожалуй, единственное, что нельзя настроить в фильтрации IP, - это время работы. Однако, при необходимости, можно воспользоваться фильтрацией содержания (Content Filtering) (Рис. 7).

Как видно, допускается настройка почти всех возможных параметров, для которых можно указать день и время работы. Восемь пунктов предназначено для задания ключевых слов, по которым будет ограничиваться доступ к URL, в каждом пункте можно задавать несколько слов одновременно (суммарная длина не должна превышать 32 символа).

Если пользователи вашей сети достаточно сообразительны, чтобы обращаться к web-сайтам по IP-адресам, то специально для них реализована функция запрета доступа по IP. Таким образом, блокируется доступ к Web по любым IP-адресам (и по таким ссылкам) для клиентов LAN.

Маршрутизатор позволяет блокировать Web Proxy и скачивание ActiveX и Java апплетов, также можно закрыть и Cookies, что вполне традиционно для подобных продуктов. Стоит отметить достаточно интересную возможность, которая есть у 2900G, - блокирование скачивания архивных, исполняемых и мультимедийных файлов, которую мы встретили впервые. Такая функция будет весьма полезна там, где необходимо ограничить использование канала добравшимися до Интернета подростками и сотрудниками, беспрестанно скачивающими различный софт и аудио-, видео-ролики.

Недостаток здесь также есть - фильтрация применяется ко всем пользователям. Единственная функция, которую можно отключить для надёжных проверенных пользователей, - блокировка доступа по IP-адресам. Вы можете ввести четыре отдельных IP-адреса или подсети, куда можно будет обращаться по HTTP.

Эту часть нельзя считать законченной, если не упомянуть о реализованной в 2900G защите от DoS-атак (Рис. 8).

На этом экране настраиваются параметры встроенного брандмауэра, которые нацелены на предотвращение атак типа "Отказ в обслуживании" (Denial of Service). По умолчанию, все настройки отключёны, вероятно, для удобства большинства пользователей. Нас такая настройка всегда удивляла в отношении домашних брандмауэров/маршрутизаторов. Ведь любая DoS-атака способна перегрузить широкополосный канал в Интернет, независимо от того, что будет предпринимать брандмауэр/маршрутизатор. Но, определение сканирования портов, которое мы решили проверить, сработало чётко, отправив несколько сообщений на syslog-сервер (о котором расскажем позже), как только мы начали сканирование.

Тест оповещения по электронной почте (Email Alert) ничего не показал, ни одно письмо не пришло, несмотря на все наши попытки сканирования портов.

feed_id: 6177 pattern_id: 2818

Страница:   1 2 3 4 5

СОДЕРЖАНИЕ |Одной страницей|Версия для печати

Введение Внутреннее устройство Настройка и администрирование Брандмауэр Брандмауэр - фильтрация содержания Ограничение скорости и виртуальные сети (VLAN) Виртуальные частные сети - VPN Сервер печати Журналирование и другие функции Производительность маршрутизации Возможности беспроводной сети Безопасность беспроводной сети Производительность беспроводной сети Заключение  Обсуждение в Клубе Экспертов THG