ZyXEL HS-100W: беспроводной маршрутизатор с фильтрацией содержания – THG.RU

Введение

Маршрутизатор ZyXEL HS-100W HomeSafe Parental Control Gateway был создан с расчётом на широкие возможности управления доступом к домашнему широкополосному каналу в Интернет. В нём эффективно реализованы функции ограничения содержания, которые позволяют фильтровать не только наполнение сайтов, но и время доступа.

HS-100W имеет ряд удобных встроенных функций: межсетевой экран для предотвращения попыток взлома, возможности шифрования беспроводных подключений 11b/g, фильтрацию содержания, управление временем доступа, журналирование и оповещение в режиме реального времени. Кроме того, если вы решите сэкономить немного денег, то можете заказать модель HS-100, которая отличается от HS-100W отсутствием поддержки беспроводной сети.

Хотя HS-100W не является рекордсменом по скорости, он обеспечивает стабильную производительность, которая удовлетворяет потребности домашних пользователей, а также нужды небольших офисов.

HS-100W поставляется полностью готовым к установке. В коробке вы найдёте краткую инструкцию по быстрой установке, а также компакт-диск с подробным руководством пользователя в формате .PDF. Web-интерфейс достаточно интуитивен, и часто заглядывать в руководство вам вряд ли придётся. В комплекте есть также блок питания 9VAC и очень короткий кабель CAT5 Ethernet.

Маршрутизатор упрятан в серебристый корпус, и внешний вид HS-100W привлекает своей простотой. На задней стороне устройства расположены: антенна, порт 10/100 WAN и четыре порта 10/100 LAN, клавиша сброса настроек и разъём питания. На передней панели можно увидеть индикаторы устройства: “Питание/Power”, а также “Соединение/Активность” (“Link/Activity”) для всех портов LAN, WAN и беспроводной сети. Индикаторы “Соединение/Активность” позволяют наглядно оценить состояние устройства.

Рис. 1. Плата HS-100W.

На Рис. 1 показана фотография платы HS-100W. Как видно, радиомодуль установлен в виде отдельной платы mini-PCI. Здесь используется модель Conexant PRISM ZCom XG-601, к которой подключена несъёмная антенна. В HS-100W используется процессор Infineion-ADMTek ADM5120 Home Gateway Controller, который можно встретить и в недавней модели от SMC – Barricade High-Powered 2.4GHz 54Mbps Wireless Broadband Router.

Настройка и администрирование

Доступ к весьма скромному web-интерфейсу администрирования (Рис. 2) осуществляется по адресу 192.168.1.1. ZyXEL реализовала два Мастера: для общей настройки (Setup) и для контроля доступа (Parental Contol). При первом обращении к web-интерфейсу вам будет предложено воспользоваться Мастерами. Нам понравилось, что сначала Мастер настройки предложит создать имя пользователя и пароль административного интерфейса. Что касается системы онлайновой поддержки, то она также оказалась весьма полезной.

Рис. 2. Web-интерфейс администрирования.

Мастер настройки позволяет выполнить пошаговую настройку за семь этапов, в течение которых можно просто и последовательно настроить HS-100W для использования в вашей сети. Здесь настраивается подключение WAN, а также беспроводная связь. Если вы желаете настроить эти параметры вручную, то перейдите к экрану настройки WAN (Рис. 3).

Рис. 3. Настройка WAN.

HS-100W поддерживает множество типов подключений, включая варианты со статическим и с динамическим IP, PPPoE и PPTP, а также некоторые менее распространённые протоколы аутентификации, такие, как Telstra, RR (RoadRunner) Manager, RR Toshiba и Telia. Можно также задать MAC-адрес для порта WAN на тот случай, если провайдер использует его для аутентификации, однако нам не удалось указать домен или имя хоста. Кроме того, маршрутизатор имеет интересную возможность перенаправления трафика на другой маршрутизатор в случае отказа соединения WAN.

Мастер настройки ограничения содержания (Parental Control Wizard) позволяет создать и настроить до десяти профилей пользователей. Каждый профиль включает имя пользователя и пароль, которые необходимо ввести для получения доступа в Интернет, фильтры содержания, которые определяют, какие сайты пользователю можно посещать, а какие – нет, а также службы, которым разрешён доступ к Интернету, типа пейджера или электронной почты. Для каждого профиля можно задать время, когда разрешён доступ, а также общее время, которое пользователю разрешается проводить в Интернете. Позже мы рассмотрим все эти функции более подробно.

Функциональность брандмауэра

Рис. 4. Настройки брандмауэра.

Встроенный брандмауэр SPI у HS-100W по умолчанию отключён, а экран настройки, показанный на Рис. 4, имеет две закладки: для настройки основных параметров (Settings) и для блокирования служб (Service Blocking). Поскольку функции SPI лишь дополняют основные возможности брандмауэра маршрутизатора HS-100W NAT, то можно без опасений оставить флажок “Enable firewall” пустым, причём различие будет трудно заметить. Но если вы открываете порты для каких-либо серверов внутри сети, то есть все основания использовать функции SPI.

Нас порадовало наличие журналирования брандмауэра, что может помочь в обнаружении попыток взлома. Функция Triangle Route Bypass позволяет отклонить соответствующие атаки DoS, если для вас это актуально.

Хотя блокирование служб в этом разделе схоже с ограничением доступа (Parental Control), брандмауэр будет запрещать службы для всех пользователей.

Рис. 5. Настройки брандмауэра.

Хотя брандмауэры обычно отслеживают входящий трафик, функция блокирования служб (Рис. 5) позволяет также ограничивать доступ к некоторым службам Интернета и пользователям LAN, то есть контролировать исходящий трафик. Вы можете определить любые службы по портам, или выбрать из заранее определённых, к примеру, FTP, ICQ и IRC.

Можно также запретить использование определённых служб по дням недели, просто отметив флажками соответствующие пункты. Эти функции особенно пригодятся в том случае, если вы решили не использовать ограничение доступа (Parental Controls), но при этом вам нужно запретить использование определённых служб.

Перенаправление портов

Рис. 6. Перенаправление портов.

Что касается перенаправления портов (Рис. 6) на HS-100W, то здесь маршрутизатор практически не отличается от других моделей NAT. Для отдельных пользователей можно задать диапазон перенаправляемых портов, а также настроить динамические порты (Trigger Ports).

Если же вам нужно сделать что-то серьёзное, например настроить несколько серверов Web, Mail или FTP в локальной сети, то ZyXEL на этот случай включила возможность привязки адресов (Address Mapping или multi-NAT). Функция позволяет создать до десяти наборов привязок внешних IP-адресов к внутренним. Напомним, что привязка адресов окажется полезной только в том случае, если провайдер выделил вам более одного внешнего адреса.

Журналирование и прочие функции

Рис. 7. Журналирование.

Хотя большинству домашних пользователей функции журналирования HS-100W мало интересны (Рис. 7), нам всё же хотелось бы увидеть ещё ряд возможностей. Например, вывод отчётов web по каждому из пользователей. Из положительных особенностей отметим, что ZyXEL реализовала в HS-100W возможность отправлять журналы по электронной почте через заданные интервалы времени. Журналы хорошо организованы и прекрасно читаются. Кроме того, на закладке настроек (Log Settings) (Рис. 8) можно задать множество опций.

Мы включили журналирование атак (Attacks) с еженедельной отправкой журналов по электронной почте. К сожалению, подробное журналирование трафика невозможно, но, по крайней мере, можно заносить в журнал заблокированные сайты, что может пролить свет на то, чем интересуются ваши дети. Помимо этого, поддерживается отправка журналов на сервер Syslog, но поддержки SNMP Trap мы не обнаружили.

Рис. 8. Настройки журналирования.

На самом деле HS-100W имеет гораздо больше функций маршрутизации, которые позволяют использовать его в любой сети. Среди них можно выделить следующие:

• поддержку статических маршрутов и динамической маршрутизации (RIP);
• поддержку UPnP с независимым включением пропускания NAT Traversal и UPnP;
• функцию Any IP, которая позволяет клиентам подключаться без необходимости изменения настроек IP;
• псевдонимы IP, позволяющие настроить до трёх внутренних подсетей;
• сервер DHCP с возможностью привязки IP-адресов к MAC-адресам;
• поддержку динамической DNS dyndns.org;
• удалённое управление по HTTP, Telnet или SNMP.

Работа беспроводной сети

Настройка параметров беспроводной сети (Рис. 9) в HS-100W реализована достаточно логично и последовательно.

Рис. 9. Настройка беспроводной сети.

Примечательно, что в настройках по умолчанию можно ничего не менять, кроме ESSID и метода шифрования. Если HS-100W будет конфликтовать с другим вашим домашним беспроводным оборудованием, например с беспроводным джойстиком PlayStation, и изменение канала не решит проблему, то вы всегда сможете выключить беспроводной модуль, для чего достаточно снять флажок “Enable Wireless LAN”. (Отметим, что индикатор WLAN погаснет при отключении поддержки беспроводной сети).

В нашем случае мы добились самых лучших результатов при переключении на 11 канал, при этом мы выбрали максимальный уровень шифрования WPA-PSK. Как у других беспроводных маршрутизаторов, подключения можно ограничивать по MAC-адресам. Кроме всего перечисленного, ZyXEL реализовала поддержку аутентификации средствами сервера RADIUS, но мы сомневаемся, что домашние пользователи используют подобные серверы или хотя бы знают, что это такое.

Локальная база пользователей

Рис. 10. Настройка пользователей.

Помимо настройки шифрования радиопередачи данных от клиента к точке доступа HS-100W, вы можете использовать аутентификацию беспроводного доступа по имени пользователя и паролю, для чего служит локальная база пользователей (Рис. 10), в которой может быть до 21 записи. Отметим, что пользователи, заданные в ограничении доступа, никак не соотносятся с этими пользователями. Другими словами, в маршрутизаторе имеется свой миниатюрный сервер RADIUS.

Ограничение доступа

Поскольку основной целью создания HS-100W была реализация ограничения содержания, то на ней мы остановимся подробнее. Как мы уже упоминали ранее, Мастер настройки ограничений доступа (Parental Control Wizard) проведёт вас через несколько шагов, позволяющих создать профиль для каждого пользователя. Шаги достаточно просты и интуитивны, но если вы запутаетесь, то всегда сможете нажать кнопку “Назад/Back” или полностью перезапустить мастер.

Рис. 11. Создание нового профиля.

По умолчанию не задано ни одного профиля. Мы создали три: один основной, для автора, один для воображаемой любимицы-дочки Джил и один – для её брата-тинейджера Джека. После ввода имени пользователя и пароля (Рис. 11) предлагается выбрать группу, которой будет принадлежать пользователь (Рис. 12).

Вы можете выбрать следующие группы: “Дети/Kids”, “Подростки/Young Teen”, “Старшие подростки/ Mature Teen” и “Взрослые/Adult”. (В помощи указано, какое содержание разрешается для каждой группы. Кстати, группы можно полностью настраивать, если нужно).

Рис. 12. Выбираем группу.

После выбора группы можно настраивать разрешённое время (Рис. 13). Поскольку мы не хотели ограничивать собственный доступ в Интернет, то мы сняли все галочки.

Рис. 13. Разрешения по времени.

Как любому здравомыслящему родителю, нам захотелось, чтобы наши дети имели максимально ограниченный доступ в Интернет, поэтому мы разрешили им доступ только по субботам и воскресеньям с 6 до 8 часов вечера в течение, максимум, 30 минут.

После того, как вы определились со временем и разрешениями, можете обратиться к функции блокирования приложений (Application Blocking), показанной на Рис. 14, для ограничения используемых служб.

Рис. 14. Блокирование приложений.

Здесь мы видим короткий список служб, причём ограничения могут налагаться на любую из них как по рабочим, так и по выходным дням. Кстати, ZyXEL заявила, что в следующем выпуске прошивки будет реализовано непосредственное редактирование и добавление новых сервисов. Однако пока что вам нужно перейти в профиль пользователя и уже там добавлять службы, которые не указаны в списке (загляните на закладку “Доступные сервисы/Available Services” и используйте опцию редактирования (Edit Customized Services)). К примеру, мы заблокировали для Джека и Джил доступ к IRC, как показано на Рис. 14.

На последнем шаге вы сможете просмотреть итоговые параметры профиля для пользователя. После этого можно нажать “Закончить/finish”, либо начать создавать новый или редактировать уже существующий профиль. Если вы запускаете Мастера впервые, то вам будет предложено активировать подписку на фильтрацию содержания, которая использует Content Control от Blue Coat (ранее Cerberian). К сожалению, сервис является платным, годовая подписка стоит $34,95. Впрочем, ZyXEL предлагает бесплатное тестовое использование в течение 15-дней, так что вы сможете оценить фильтрацию без затрат.

Примечание. Фильтрация содержания HS-100W работает только с Blue Coat. Без подписки фильтрацию осуществлять не получится.

Ограничение доступа – в работе

Когда профили HS-100W будут созданы, для получения доступа к web и другим службам Интернета придётся авторизоваться. Функция работает, как ей и следует: службы блокируются, содержание фильтруется. В ходе нашего тестирования сайты с порнографическим и другим “взрослым” содержанием блокировались достаточно эффективно. Сервис ограничения Blue Coat уникален тем, что он не только блокирует “опасные” URL, хранимые в базе, но и анализирует всё содержание страницы. Хотя мы вряд ли работали со всеми возможными службами фильтрации содержания, но, как мы думаем, HS-100W показал себя прекрасно.

В то же время, здесь может появиться “подводный камень”. Сначала мы авторизовались под тестовой записью “Jack”, а затем нам захотелось войти под записью “Jill”, но никакого окна завершения сеанса мы не обнаружили. Как мы позднее узнали, окно завершения сеанса всё же предусмотрено (Рис. 15), и эта кнопка находится во всплывающем окне (popup), которое в нашем браузере было заблокировано. Когда мы сообщили об этой проблеме ZyXEL, нас заверили, что в следующей версии прошивки для завершения сеанса будет достаточно набрать в строке браузера logout.

Рис. 15. Всплывающее окно завершения сеанса.

С учётом всего сказанного, становится ясно, почему функции ограничения содержания являются одной из самых сильных сторон HS-100W. С таким уровнем контроля маршрутизатор сможет оказаться полезным не только для домашнего использования, но и для организации доступа в Интернет в сети небольшой компании или даже простейшего хот-спота.

Примечание. Функции ограничения доступа HS-100W можно использовать для раздачи доступа в Интернет – точно так же, как в публичных сетях отелей и хот-спотов. Другими словами, весь интернет-трафик блокируется, пока пользователь не запустит браузер и не укажет данные учётной записи. В данном случае авторизацию можно обойти для 10 пользователей, указав их MAC-адреса в списке пропуска контроля доступа (Parental Control Bypass).

Производительность маршрутизации

Для тестирования производительности HS-100W, мы воспользовались Qcheck. Показанная скорость 7 – 10 Мбит/с позволяет использовать маршрутизатор для большинства широкополосных подключений, не боясь, что он станет “узким местом” при доступе в Интернет.

Примечание. Для тестирования использовались компьютеры следующих конфигураций:

LAN и беспроводная сеть – ноутбук HP Pavillion ze4300 на базе AMD Mobile 2600, 500 Мбайт DDR 2100 RAM под управлением Windows XP;

WAN – DELL PowerEdge 2650 на базе Intel XEON 3,2 ГГц, 1 Гбайт DDR RAM под управлением Windows XP.

Тестирование беспроводной сети

С Qcheck у нас возникли некоторые проблемы, поэтому для измерения скорости работы беспроводной сети мы решили воспользоваться тестом с открытым исходным кодом IPERF и его графической оболочкой JPERF. Результаты показаны в следующей таблице.

Условия тестирования:

• шифрование WPA-PSK включено;
• пропускная способность измерялась при настройках IPERF по умолчанию (размер файла 8 Кбайт) в течение 120 секунд, данные замерялись ежесекундно и усреднялись;
• для измерения времени отклика и потока UDP использовался Qcheck (500 Кбит/с);
• условие 1: точка доступа и клиент находятся в одной комнате, на расстоянии около двух метров друг от друга;
• условие 2: точка доступа и клиент находятся в разных комнатах, разделённых одной стеной, на расстоянии около 4 метров друг от друга;
• условие 3: точка доступа и клиент находятся в разных комнатах, разделённых двумя стенами, на расстоянии около 5 метров друг от друга.

Хотя графики, генерируемые JPERF, не так детальны, как у IxChariot, но JPERF полностью удовлетворяет нашим требованиям и, кроме того, программа бесплатна! На Рис. 16 показан график тестирования в первом условии.

Рис. 16. Условие 1.

По результатам чётко видно, что HS-100W/ZyAir G-220 обеспечивают надёжное соединение через одну и две стены, без особого снижения скорости.

Заключение

Если вы подумываете о приобретении простого и удобного маршрутизатора, обеспечивающего фильтрацию содержания, то HS-100W станет прекрасным решением, если вы желаете ограничить доступ детей в Интернет. Отметим простую установку и логичную настройку HS-100W.

Кроме того, HS-100W пригодится для управления и контроля доступа в Интернет в небольших организациях в местах общественного доступа.