СЕТИ

Андрей Пировских, Тим Хиггинс,  12 сентября 2004 Страница:   1 2 3

Возможности брандмауэра

Брандмауэр 9000VPN позволяет логически помещать серверы LAN в сегмент WAN (виртуальные серверы/Virtual Server), а также задавать правила для входящего и исходящего трафика (фильтрация портов). На Рис. 12 показаны параметры настройки виртуальных серверов, некоторые из которых достаточно специфичны.

Параметр IP Sharing может использоваться для отключения NAT, благодаря чему 9000VPN будет работать как обыкновенный маршрутизатор. NAT Loopback позволяет пользователям сегмента LAN обращаться к локальным серверам, доступным из Интернета, по их внешним адресам или именам. Эта функция есть на многих конкурирующих продуктах, но на 9000VPN мы впервые увидели возможность для её настройки.

Параметр Forwarding to VPN Server не описан в документации OvisLink, однако, судя по всему, он нужен для создания VPN-сервера в сегменте LAN, вместо встроенного в маршрутизатор. Функция UPnP по умолчанию отключена. Кроме того, можно отключить функцию NAT Traversal, которая позволяет UPnP автоматически открывать "дыры" в брандмауэре.

Виртуальные серверы и брандмауэр имеют готовые списки служб (Рис. 13), к которым вы можете добавлять и свои. При этом можно задавать отдельные порты или диапазоны для протоколов TCP и UDP. Отметим, что редактировать уже заданные службы нельзя, зато их можно удалять.

На Рис. 14 показано правило, которое мы создали для блокирования доступа к web-серверам. Здесь как нельзя лучше можно иллюстрировать "профессиональный" подход OvisLink. Он справедлив для специалистов, однако для продукта SOHO можно было бы разработать интерфейс и проще, учитывая, что документация довольно скудная.

Что касается настройки брандмауэра, то задать правило для списка IP-адресов невозможно - необходимо добавлять правила для каждого адреса по отдельности.

Отметим, что ни виртуальные серверы, ни правила брандмауэра не могут работать по расписанию, то есть включаться в определённый день и в нужное время. Также нет возможности блокирования брандмауэром cookies, Java, Active X или Web Proxies.

Фильтрация содержания

9000VPN содержит наиболее широкий набор фильтров содержания из тех, что мы встречали ранее. Хотя большинство фильтров URL в домашних/офисных маршрутизаторах можно легко обойти, указав IP-адрес вместо символьного имени, но здесь такой трюк не пройдёт.

Фильтрация по ключевым словам обычно просматривает только URL сайтов, но в случае 9000VPN (Рис. 15) анализируется всё содержание страниц! Среди прочих возможностей стоит отметить возможность работы фильтров с запакованными в gzip страницами, а также игнорирование регистра.

Примечание. Всего можно задать до 20 записей для URL и ключевых слов. Если фильтр срабатывает, то браузер пользователя никакого специального сообщения не выдаёт.

Если некоторым пользователям нужен полный доступ в Интернет, можно указать доверенные IP-адреса и диапазоны портов, фильтрация содержания к которым применяться не будет. На странице "Content Filter Port Checking" можно указать дополнительные порты кроме стандартного 80/HTTP, к которым будет применяться фильтрация содержания.

Журналирование и прочие функции

В журнал заносится много нужных событий (Рис. 16). Можно просматривать события как все вместе, так и по группам: Все/All, Системные/System, Входящий/Incoming, Исходящий/Outgoing, Брандмауэр/Firewall и Фильтрация содержания/Content Filter. Web-трафик заносится в журнал "Исходящий". К сожалению, обратное разрешение DNS не поддерживается, поэтому придётся заниматься преобразованием IP-адресов в имена самостоятельно.

К сожалению, оповещения по электронной почте и периодическая рассылка журналов не поддерживаются, а новые события добавляются в нижнюю часть журнала. Поэтому, чтобы просмотреть последние события, приходится пролистывать множество страниц. На Рис. 16 видна поддержка сервера syslog, однако она не работает, поскольку нельзя указать IP-адрес сервера.

На страницах административного интерфейса можно встретить множество других функций, часть из которых перечислена ниже.

• Функция мониторинга почты (Mail Monitoring) позволяет задать до шести групп по шесть пользователей, для которых можно задать по шесть защищённых или незащищённых серверов POP3 и IMAP. Индикаторы на передней панели 9000VPN можно настроить, чтобы они включались, выключались или мигали, когда для указанного пользователя приходит почта.
• Просмотр статистики трафика LAN и WAN.
• Поддержка Dynamic DNS для DynDNS.org и ODS.org.
• Встроенный сервер DHCP позволяет задавать срок аренды адреса, устанавливать привязку IP-адреса к MAC-адресу, а также указывать загрузочные файлы и IP-адрес сервера TFTP.
• Можно просмотреть статические маршруты, таблицы ARP и Host Name, а также добавить записи в любую из них
• Встроенные утилиты ping и traceroute.
• На странице информации об устройствах USB можно узнать серийный номер, скорость, версию USB, ID производителя, ID продукта, версию и тип устройства.

Производительность маршрутизации

Хотя производительность VPN не особо высока, скорость маршрутизации оказалась достаточно хороша - между 24 и 26 Мбит/с. Что касается времени отклика и скорости потока UDP, то здесь жаловаться тоже не на что.

Примечание. Все тесты проводились при настройке портов TCP и UDP 10113 - 10117 в качестве виртуальных серверов для Qcheck.

Производительность маршрутизации Версия прошивки: 1.01.039
Описание теста	Скорость передачи (Мбит/с)	Время отклика (мс)	Поток UDP [10S@500Kbps] (Актуальная пропускная способность - кбит/с)	Поток UDP [10S@500Kbps] (Потерянных данных- %)
WAN-LAN	24,6	1 (сред.) 1 (макс.)	500	0
LAN-WAN	26,7	1 (сред.) 2 (макс.)	500	0 %

Заключение

Судя по всему, во встроенную флэш-память 9000VPN производитель сумел затолкать столько, что она едва не "лопнула". FTP-сервер, сервер печати и фильтрация содержания - достаточно серьёзные преимущества, хотя многим может показаться, что 20 ключевых слов для фильтрации будет недостаточно.

Слабой стороной является поддержка VPN. Она больше нацелена на связь двух 9000VPN, чем на какую-то серьёзную сеть туннелей. При этом туннель IPsec будет весьма медленным. Туннели PPTP работают быстрее, но трафик там не шифруется. К сожалению, управление полосой пропускания обеспечивается только для исходящего трафика.

При относительно высокой стоимости и указанных недостатках MU-9000VPN и беспроводная версия WMU-9000VPN будут привлекательны лишь для небольшой группы пользователей, которым нужны предлагаемые возможности. Ну, а мы продолжаем поиск идеального маршрутизатора класса SOHO с хорошими функциями по управлению полосой пропускания.

Итоговая информация о продукте
Итог	Многофункциональный маршрутизатор с поддержкой сервера IPsec и PPTP, имеющий 4 порта USB. Встроенная поддержка web-камер, наличие сервера FTP и печати (до 4 принтеров с интерфейсами USB).
Преимущества	- Множество неожиданных для подобных устройств функций -Управление полосой пропускания по приложению/порту или адресу
Недостатки	- Может многое, но не всё - хорошо - Низкая пропускная способность туннелей IPSec - Ограничение скорости распространяется только на исходящий трафик
Розничная цена	$198 (США)

feed_id: 6177 pattern_id: 2818

Другие статьи

СОДЕРЖАНИЕ |Одной страницей|Версия для печати

Введение Основные характеристики Внутреннее устройство Настройка и администрирование Сервер видео Сервер FTP Сервер печати QoS / Управление полосой пропускания VPN Возможности брандмауэра Фильтрация содержания Журналирование и прочие функции Производительность маршрутизации Заключение  Обсуждение в Клубе Экспертов THG