|
Настройка NAT, DDNS, времени и даты
Трансляция сетевых адресов (Network Address Translation) используется для подмены IP-адресов. Скажем, если провайдер выдал вам один реальный IP-адрес (что бывает в большинстве случаев), а вам нужно обеспечить выход нескольких локальных компьютеров в Интернет, то без NAT никак не обойтись. Эта технология будет подменять "левые" адреса LAN при выходе в Интернет на реальный IP-адрес. И наоборот. Маршрутизатор позволяет использовать как вариант с одним внешним адресом - SUA (Single User Account), так и вариант с несколькими внешними адресами.
Поддерживаются следующие типы преобразования адресов:
- один к одному - один локальный адрес транслируется в один глобальный, номера портов при этом не затрагиваются;
- много к одному - несколько локальных адресов транслируются в один глобальный;
- много к много с превышением - несколько локальных адресов транслируются в общие глобальные;
- много к много без превышения - каждый локальный адрес сопоставляется с одним глобальным;
- сервер - позволяет установить внутри сети серверы, которые будут доступны снаружи.
Динамическая DNS
Напомним: поддержка DDNS, позволяет обращаться к сервисам LAN по имени, а не по IP-адресу (например ftp.bigfileserver.com) даже в том случае, если реальный IP-адрес назначается динамически - то есть каждый раз меняется. DDNS поддерживается маршрутизатором, хотя выбор сильно ограничен - предлагается только провайдер DynDNS.ORG. По умолчанию, поддержка DDNS неактивна.
За DDNS следует пункт "Time and Date", где задаются все параметры, отвечающие за время на устройстве, - используемый для синхронизации протокол, адрес сервера, часовой пояс, текущая дата и время и ещё некоторые параметры.
Настройка межсетевого экрана
Несомненно, одним из самых важных компонентов такого маршрутизатора можно считать встроенный межсетевой экран. В P-662HW EE реализован межсетевой экран SPI, имеющий средства защиты от атак типа отказа в обслуживании (DOS), подмены адресов и т.д. Настройки по умолчанию разрешают устанавливать соединения из внутреннего сегмента сети во внешний, и запрещают из внешнего во внутренний. Для настройки межсетевого экрана выделено четыре подраздела, отвечающие за различные параметры. Так, первый подраздел предназначен для включения брандмауэра, а также для задания политики, действующей по умолчанию. В нём определяется, откуда и куда пакеты могут проходить, и откуда куда не могут. Например, из WAN в DMZ могут, а в LAN - нет.
Второй раздел отображает и позволяет задать правила, которые будут обрабатываться брандмауэром. При этом следует указать направление пакетов, на которое это правило будет распространяться, а также адреса источника и приёмника, протокол, действие и время, когда правило будет применяться. Мы рады отметить, что можно задать не только время, но и день недели, что бывает нужно на практике достаточно часто. К сожалению, нет возможности задавать время на каждый день недели отдельно, но не слишком ли много мы требуем от такого устройства? Здесь же можно включить журналирование событий.
Третий подраздел позволяет сделать вашу сеть невидимой снаружи, то есть маршрутизатор не будет отвечать на поступающие эхо-запросы. Причём, можно задать интерфейс, для которого этот режим будет работать.
И, наконец, последний подраздел посвящён защите от DOS-атак. Здесь задаётся максимальное количество открытых сеансов. Причём, можно определить как скорость нарастания сеансов, то есть их число в минуту, так и общее количество. На тот случай, когда лимит достигнут, есть возможность определить действие, которое будет автоматически выполняться маршрутизатором. Например, отключить старые или подождать какое-то время.
Межсетевой экран - блокирование содержания
Настройка блокирования адресов сайтов показалась нам достаточно простой. Всё что нужно, чтобы запретить доступ, - указать в списке URL сайт, или часть, после чего на все страницы, которые будут попадать под установленное ограничение, доступ будет закрыт.
Приятно, что ограничение может быть не постоянным, а действующим по расписанию. Можно задать день недели и время, когда правило будет работать.
Если вы желаете, чтобы доступ в Интернет с некоторых компьютеров не подвергался контролю содержания, можете задать диапазон адресов, с которых пользователи получат неограниченный доступ в Интернет.
Конечно, функцию блокирования нельзя назвать надёжной, её можно обойти, используя IP-адрес сайта вместо имени. Вряд ли многие об этом знают, но, всё же, опасаться есть чего.
Ещё один пункт со схожим названием - "Контроль доступа" ("Content Access Control") - предназначен для разграничения прав доступа на группы пользователей. Так, предусмотрено четыре стандартных группы, для каждой из которых можно задать доступ как при помощи категорий, так и при помощи ключевых слов. Ограничения по службам или портам также присутствуют в списке возможностей. Кроме того, можно задавать ограничения по времени суток, но что нам особенно понравилось - по продолжительности времени в сети, то есть можно разрешить пользоваться Интернетом только два часа в сутки и ни минутой больше. И маршрутизатор непременно проконтролирует и исполнит это. Причём, для каждого из дней недели настройки могут отличаться!
Во втором разделе задаются учётные записи пользователей. Изначально отображается всего десять полей, но при необходимости список пользователей можно расширить до 32. Всё до предела просто - нужно указать имя пользователя, его пароль и выбрать группу, которой он принадлежит.
Последний пункт здесь отображает статус пользователей, в том числе, пользуются ли они Интернетом, и сколько времени им осталось.
Антивирус
Мы не можем не отметить ещё одну функцию, относящуюся непосредственно к безопасности, - антивирусную защиту. Можно включить проверку различного трафика: почтового, FTP и HTTP. Настройки позволяют автоматически проверять наличие обновлений антивирусных баз каждый час, 12 часов или 24 часа, так что защиту от вирусов можно считать выполненной успешно. Отметим, что обновление антивирусных баз является платным и осуществляется через подписку на сервере