Netgear ProSafe Quad WAN SRX5308 | Введение
Проводные межсетевые экраны VPN корпоративного класса Netgear ProSafe обеспечивают полный сетевой доступ между главным офисом, удаленными офисами и пользователями. Эти универсальные устройства объединяют межсетевой экран Stateful Packet Inspection (SPI), обнаружение/предотвращение попыток проникновения в виртуальную частную сеть, Network Address Translation (NAT), шифрование AES и 3DES, защиту от атак Denial of Service (DoS), защиту от спама (некоторые модели), фильтрацию контента и многое другое.
Netgear ProSafe Quad WAN SRX5308 представляет собой межсетевой экран бизнес-класса, обеспечивающий защиту сети, а также поддерживающий виртуальные сети и балансировку нагрузки.
Netgear ProSafe Quad WAN SRX5308 | Технические характеристики
Производительность | |
Пропускная способность LAN-to-WAN, Мбит/сек | 924 |
Пропускная способность IPsec VPN (3DES), Мбит/сек | 180 |
Пропускная способность SSL VPN, Мбит/сек | 21 |
Максимальное число одновременных соединений | 200 000 |
Максимальное число VLAN-ов | 254 |
Выделенные туннели IPsec VPN | 125 |
Выделенные туннели SSL VPN | 50 |
Функциональность межсетевого экрана | |
Stateful Packet Inspection (SPI) | Блокирование портов/сервисов, защита от атак Denial-of-service (DoS), Stealth Mode, блокирование TCP Flood, блокирование UDP Flood, контроль ответов на WAN/LAN Ping |
Функции межсетевого экрана | Перенаправление на диапазон портов, Port Triggering, DNS proxy, клонирование/spoofing MAC-адресов, поддержка NTP, UPnP, Auto-Uplink на портах коммутатора Ports, L3 Quality of Service (QoS), LAN-to-WAN и WAN-to-LAN(ToS), профили полосы пропускания |
Фильтрация контента | Компоненты Web (Proxy, Java, ActiveX, Cookies), блокирование контента Web по ключевым словам, Trusted Domains |
Аутентификация пользователей для VPN | Active Directory, LDAP, Radius, WIKID, MIAS, домен NT, база данных локальных пользователей |
Список совместимости | VoIP SIP ALG |
VPN Pass Through | IPsec, PPTP, L2TP |
VPN | |
Шифрование/аутентификация IPsec | 56-bit DES, 168-bit 3DES, AES(128, 192, 256 bit)/SHA-1, MD5 |
Обмен ключами | IKE, Manual Key, Pre-shared Key, PKI, X.509 v3 |
Режим доступа IPsec | Client-to-site, Site-to-site |
Поддерживаемые версии SSL | SSLv3, TLS1.0 |
Поддержка шифрования SSL | DES, 3DES, ARC4, AES(ECB, CBC, XCBC, CNTR)128, 256 bit |
Целостность сообщений SSL | MD5, SHA-1, MAC-MD5/SHA-1, HMAC-MD5/SHA-1 |
Поддерживаемые платформы SSL VPN | Windows 2000/XP/Vista/Windows 7 (32, 64 bit), MAC OS X 10.4+ |
Управление | |
Опции интерфейса управления | HTTP/HTTPS, SNMP v2c, Telnet |
Регистрация событий | Принятые пакеты, потерянные пакеты, система, фильтр Source MAC, ограничения для сеанса, ограничение по полосе пропускания, SSl VPN, IPsec VPN |
Диагностика | Ping, DNS Lookup, Trace Route |
Аппаратная часть | |
Гигабитные порты RJ45 WAN/LAN | 4/4 |
Интерфейсы DMZ (конфигурируемые) | 1 |
Флэш-памть/RAM, Мбайт | 64 /512 |
Встроенный блок питания | 100-240 В, 50/60 Гц универсальный, на выходе постоянный ток 5 В/5 А |
Размеры (Ш x В x Г), см | 33 x 4,3 x 20,9 |
Вес, кг | 2,1 |
Комплект поставки | Межсетевой экран ProSafe Quad WAN Gigabit Firewall (SRX5308), кабель Ethernet, силовой кабель, набор для монтажа в стойке, резиновые ножки, руководство по подготовке к эксплуатации, гарантийный талон с информацией о поддержке, Resource CD с лицензией на одного пользователя ProSafe VPN Client Software |
Гарантия | Пожизненная |
Полезные ссылки | Описание Netgear ProSafe Quad WAN SRX5308 на сайте производителя Цены Netgear ProSafe Quad WAN SRX5308 на Yandex.Market Цены Netgear ProSafe Quad WAN SRX5308 на Price.ru |
Netgear ProSafe Quad WAN SRX5308 | Внешний вид и аппаратная платформа
Брандмауэр Netgear ProSafe Quad WAN SRX5308 выполнен в стальном сером корпусе, габаритные размеры которого составляют 330х43х209 мм.
На верхней панели расположено объёмное название фирмы-производителя, а днище содержит наклейку с информацией о настройках Netgear ProSafe Quad WAN SRX5308 по умолчанию и соответствию нормативным требованиям. Кроме того, здесь имеются места для резиновых ножек.
На лицевой панели Netgear ProSafe Quad WAN SRX5308 располагаются четыре LAN и четыре WAN порта Gigabit Ethernet, а также три группы световых индикаторов. Индикаторы Power и Test отображают общее состояние устройства, другие — состояние работы LAN и WAN портов. Кроме указанного, на лицевой панели размещено название модели устройства и фирмы-производителя.
Задняя панель Netgear ProSafe Quad WAN SRX5308 содержит порт DB-9 для управления посредством консоли, кнопку Factory Defaults как аналог Reset, замок кенсингтон, разъём для подключения питания и выключатель.
Одна боковая стенка Netgear ProSafe Quad WAN SRX5308 содержит вентиляционные отверстия, а за другой располагается вентилятор.
Брандмауэр Netgear ProSafe Quad WAN SRX5308 удобен для размещения как на столе, так и в стойке, монтажный комплект которой в виде двух кронштейнов (“ушей”) и четырех винтов также предоставляется потребителю.
Аппаратная платформа Netgear ProSafe Quad WAN SRX5308 представлена тремя текстолитовыми платами.
На основной плате расположен одноядерный чип OCTEON Plus CN5010-700BG564-SCP-G с частотой 700 МГц, который выполняет функции центрального процессора.
Блок-схема данного чипа представлена ниже.
Оперативная память объёмом 512 Мбайт представлена четырьмя DDR2 модулями Samsung K4T1G164QE-HCE6. Флеш память объёмом 64 Мбайта представлена модулем Spansion S29GL512P11TFI01.
С обратной стороны основной платы расположена интегральная микросхема NXP LVC373A.
Функции коммутатора выполняет Broadcom BCM53118KQLEG с девятью гигабитными портами, блок-схема работы которого представлена ниже.
Из данной блок-схемы следует, что для Netgear ProSafe Quad WAN SRX5308 при дуплексной передаче 1 Гбит/с – максимальная суммарная скорость передачи в обоих направлениях.
Вторая плата выполняет функции блока питания.
Третья плата обеспечивает функционирование световых индикаторов на передней панели брандмауэра.
Теперь перейдём к рассмотрению возможностей веб-интерфейса брандмауэра Netgear ProSafe Quad WAN SRX5308.
Netgear ProSafe Quad WAN SRX5308 | Обзор веб-интерфейса
Для доступа к веб-интерфейсу Netgear ProSafe Quad WAN SRX5308 необходимо в адресной строке браузера обратиться к адресу 192.168.1.1, затем ввести логин и пароль, по умолчанию это “admin” и “password” соответственно.
После ввода корректных учетных данных пользователь попадает на стартовую страницу, а именно на вкладку Router Status-Router Status пункта Monitoring меню веб-интерфейса, где представлена краткая информация об основной и вторичной версиях прошивки, LAN и WAN-портах устройства, IPv4 и IPv6-адресах, а также о статусе DHCP-сервера демилитаризованной зоны.
Ознакомимся с основными возможностями меню веб-интерфейса Netgear ProSafe Quad WAN SRX5308.
Вкладка WAN Mode подпункта WAN Settings меню Network Configuration позволяет включать/отключать NAT, выбирать режим маршрутизации и предлагает настройки балансировки нагрузки в случае использования нескольких WAN-портов. Выполнение балансировки невозможно при использовании IPv6.
Начиная с четвёртой версии микропрограммного обеспечения пользователю стали доступны две новые вкладки подпункта WAN Settings: 6 to 4 Tunneling и ISATAP Tunnels, где предлагается возможность автоматической адресации туннелей для передачи пакетов в IPv6-сетях с использованием IPv4-адресации посредством протокола ISATAP.
В подпункте SIIT может быть указан SIIT-адрес (Stateless IP/ICMP Translator) устройства, используемый для поддержания работы протоколов без установления соединения в сетях IPv4/IPv6.
Для настройки балансировки на основе типа трафика необходимо обратиться к подпункту Protocol Binding.
Вкладки подпункта Dynamic DNS представляют собой сервисы для регистрации каждого из WAN-интерфейсов брандмауэра на серверах динамических DNS.
Управление виртуальными сетями, подключенными к LAN-портам узлами или их группами может быть осуществлено посредством обращения к вкладкам подпункта LAN Settings.
В целях безопасности определенный узел может быть размещен в демилитаризованной зоне, для всех таких DMZ-узлов можно назначить DHCP-сервер и разрешить/запретить DNS Proxy.
Подпункт QoS предоставляет возможность выбрать тип качества обслуживания: контроль скорости или приоритет для любого интерфейса и произвести требуемые настройки.
Вкладка Static Routing подпункта Routing представляет вниманию пользователя таблицу статической маршрутизации брандмауэра. Причём для IPv4 здесь же можно произвести настройку работы протокола динамической маршрутизации RIP.
Меню Security содержит восемь подпунктов, рассмотрим наиболее интересные из них.
Для определения предоставляемых услуг, профилей качества обслуживания и назначения групп IP-адресов следует воспользоваться вкладками подпункта Services.
Указанные выше сервисы могут предоставляться пользователю по трём составленным расписаниям, что позволяет осуществить каждая из вкладок подпункта Schedule.
Вкладки LAN WAN Rules, DMZ WAN Rules и LAN DMZ Rules подпункта Firewall определяют правила доступа к соответствующим узлам сети.
Вкладка Attack Checks позволяет выбрать параметры обнаружения возможных атак, протоколы транспортного уровня, поддерживаемые VPN.
Вкладки Session Limit и Advanced предлагают дополнительные опции ограничения сессий.
Для осуществления фильтрации на основе MAC-адресов следует обратиться к вкладке Source MAC Filter подпункта Address Filter, другая вкладка, IP/MAC Binding, содержит настройки статической привязки IP и MAC-адресов.
Вкладка UPnP предлагает пользователю параметры автоматической настройки устройства согласно протоколам UPnP.
Для создания списка профилей для ограничения пропускной способности брандмауэра необходимо воспользоваться опциями, предлагаемыми подпунктом Bandwidth Profile.
Создание правил контентной фильтрации представлено во вкладке Block Sites подпункта Content Filtering.
Пункт VPN меню веб-интерфейса делает возможным создание IPSec и SSL туннелей, а также содержит настройки конфигурации PPTP и L2TP сервера. Для IPSec туннелей брандмауэр поддерживает как режим клиента, так и Site-to-site подключения. Возможно обращение к удалённому RADIUS-серверу для аутентификации пользователей.
Для управления пользователями и группами пользователей предназначены вкладки пункта меню Users.
Меню Administration содержит подпункт Remote Management, определяющий параметры доступа к брандмауэру по протоколам HTTP (HTTPS) и telnet, подпункт SNMP, где предлагаются настройки конфигурации доступа пользователей по одноимённому протоколу.
Вкладка Settings Backup and Firmware Upgrade подпункта Settings Backup & Upgrade позволяет сменить прошивку Netgear ProSafe Quad WAN SRX5308, данный процесс более подробно описан в следующем разделе. Подпункт Time Zone помогает установить на устройство время и дату, а также выбрать NTP-серверы для синхронизации.
Подробная информация о каждом из физических портов брандмауэра структурированно представлена вкладкой Detailed Status подпункта Router Status меню Monitoring.
Вкладка VLAN Status отображает информацию об интерфейсах существующих виртуальных сетей.
В обновленной версии прошивки Netgear ProSafe Quad WAN SRX5308 также появилась вкладка Tunnel Status, где представлена информация об именах и IPv4/IPv6 адресах (в зависимости от выбранного режима маршрутизации в разделе WAN Settings-WAN Mode меню Network Configuration) существующих туннелей.
Подпункт Traffic Meter предоставляет пользователю возможность установить ограничительный лимит на трафик, обрабатываемый устройством за месяц, а также вести учет трафика для каждого из WAN-портов.
Для настройки отправки лог-файлов о работе файрвола по электронной почте требуется обратиться к подпункту Firewall Logs & E-mail, который также разрешает назначить определенный день и время отправки.
Подпункт VPN Logs отображает историю статусов функционирования IPSec и SSL тунелей.
Пункт Меню Web Support представляет вниманию пользователя доступ к дополнительным сведениям и документации о продукте.
На этом знакомство с веб-интерфейсом устройства закончено, далее кратко рассмотрим процесс обновления прошивки Netgear ProSafe Quad WAN SRX5308.
Netgear ProSafe Quad WAN SRX5308 | Обновление прошивки
Для обновления прошивки брандмауэра Netgear ProSafe Quad WAN SRX5308 следует обратиться к подпункту Settings Backup & Upgrade меню Administration веб-интерфейса.
Раздел Backup / Restore Settings предоставляет возможность сохранить текущие настройки, восстановить ранее сохраненные или вернуть заводские настройки по умолчанию. Раздел Router Upgrade позволяет сменить прошивку брандмауэра Netgear ProSafe Quad WAN SRX5308. Для этого необходимо выбрать файл с обновленной версией микропрограммного обеспечения устройства и в подтверждение нажать кнопку Upgrade.
В разделе Firmware Reboot осуществляется выбор основной или вторичной версии исходной прошивки.
Для обновления прошивки требуется приблизительно четыре минуты.
Netgear ProSafe Quad WAN SRX5308 | Тестирование
Первый тест – определение времени загрузки (интервал времени с момента подачи питания на устройство до получения первого эхо-ответа по протоколу ICMP). Netgear ProSafe Quad WAN SRX5308 загружается за 45 секунд. Мы считаем такой результат приемлемым.
Второй тест – проверка защищённости маршрутизатора, для чего использовалась утилита Positive Technologies XSpider 7.7 (Demo build 3100) при подключении к одному из LAN-портов. Всего было обнаружено пять открытых портов: TCP-23 (Telnet), UDP-53 (DNS), TCP-80 (HTTP), UDP-123 (NTP), TCP-443 (HTTP SSL). Обнаруженные сведения представлены ниже.
Третий тест – измерение практических скоростей передачи с использованием утилиты JPerf версии 2.0.2. Так как теоретически Netgear ProSafe Quad WAN SRX5308 не может продемонстрировать скорости маршрутизации более 1 Гбит/с, что связано с особенностями аппаратной платформы, то для тестирования было использовано по одному подключению к LAN и WAN портам брандмауэра. Также необходимо принять во внимание, что в обновленной версии микропрограммного обеспечения SRX5308 в дополнение к маршрутизации с использованием протокола IPv4 появилась поддержка версии IPv6. Результаты измерений скоростей передачи для одного, пяти и пятнадцати одновременных TCP-потоков мы представили в виде диаграммы.
В ходе тестирования выяснилось, что скорости передачи данных с использованием PPTP очень низкие, о чём мы, естественно, сообщили производителю. Кроме этого, полученные показатели для IPv6-маршрутизации также достаточно малы, при этом увеличение количества одновременных TCP-потоков не влияет на суммарную скорость.
Состав и конфигурация тестовых стендов:
Компонент | ПК | Ноутбук |
Материнская плата | ASUS Maximus IV Extreme-Z | ASUS M60J |
Процессор | Intel Core i7 2600K 3,4 ГГц | Intel Core i7 720QM 1,6 ГГц |
Оперативная память | DDR3 PC3-10700 Corsair 16 Гбайт | DDR3 PC3-10700 Kingston 8 Гбайт |
Сетевая карта | Intel 82579V/82583V D-Link DWA-160 |
Atheros AR8131 Atheros AR9285 |
Операционная система | Windows 7 x64 SP1 Rus | Windows 7 x64 SP1 Rus |
В продолжение данного теста были измерены скорости доступа удалённых пользователей к защищаемой локальной сети с использованием SSL-VPN, IPSec (режим маршрутизации IPv4) и PPTP протоколов. Результаты измерений скоростей передачи для одного, пяти и пятнадцати одновременных потоков представлены в виде диаграммы ниже. Здесь же хотелось бы отметить, что выбор WAN Mode (NAT/Classical Routing) приводит к тому, что PPTP-клиент видится либо со своим настоящим PPTP-адресом, либо как 192.168.1.1, то есть с адреса LAN-интерфейса Netgear ProSafe Quad WAN SRX5308. Мы считаем такую “особенность” работы PPTP-сервера неправильной, так как при использовании NAT для обычного трафика не позволит идентифицировать PPTP-клиентов по их IP-адресам. Более того, SRX5308 не позволяет подключаться PPTP-клиентам без использования MPPE, что может существенно сказываться на производительности.
На этом мы завершаем раздел тестирования и переходим к подведению итогов.
Netgear ProSafe Quad WAN SRX5308 | Заключение
Результаты, полученные в ходе тестирования Netgear ProSafe Quad WAN SRX5308, производят приятное впечатление, но, тем не менее, нами выявлены некоторые недостатки устройства:
- Веб-интерфейс доступен только на английском языке
- Поддержка единственного протокола динамической маршрутизации – RIP
- Отсутствие документации на командную строку
- Невысокие скорости SSL-VPN, IPv6-маршрутизации и неприемлемо низкие скорости PPTP
- Выбор режима работы WAN-порта (NAT/Routing) влияет также на трансляцию для PPTP-клиентов
Увеличение количества одновременных TCP-потоков (IPv6-маршрутизация) не приводит к увеличению скорости передачи.
Обратим внимание на сильные стороны брандмауэра:
- Гибкость настройк
- Простота конфигурации
- Устойчивость к сетевым атакам
- Возможность организации балансировки по WAN-каналам (только для IPv4)
- Поддержка SSL-VPN и сервера PPTP
- Поддержка IPv6-маршрутизации
- Хорошие скорости IPSec-VPN и маршрутизации
- Поддержка виртуальных сетей
- Приемлемая цена
Несмотря на то, что Netgear ProSafe Quad WAN SRX5308 не может продемонстрировать скорости маршрутизации, большие 1 Гбит/с, в некоторых тестах мы приблизились к этому значению. Рассматриваемое сетевое устройство является хорошим решением для защиты сети средних размеров, обеспечения отказоустойчивого доступа в глобальную сеть с учетом, что “догигабитных” скоростей будет достаточно.
На момент написания статьи средняя цена на Netgear ProSafe Quad WAN SRX5308 в интернет-магазинах Москвы составляла 16000 рублей.