 ВведениеСегодня мы рассмотрим 4-портовый VPN роутер для малых офисов от компании Level One. Этот маршрутизатор может стать незаменимым сетевым устройством для компаний, которым надо дать защищённый доступ для клиентов к своим сетевым ресурсам, но в то же время обеспечить свободный доступ всех желающих к выделенному серверу. Допустим, имеется компания, торгующая через интернет, и ей необходимо дать доступ к своей базе данных партнёрам в других городах, используя надёжное VPN-соединение. В то же время, собственный web-сервер должен быть доступен любому желающему, но защищён от атак хакеров. Роутер Level One FBR-1411TX способен выделять более 40 VPN-тоннелей, он имеет встроенный брэндмауэр, DHCP-сервер и один порт DMZ для так называемой "демилитаризованной зоны". Рассмотрим возможности маршрутизатора более подробно. Характеристики LevelOne FBR-1411TXVPN-роутер Level 1 FBR-1411TX*Стандарт IEEE802.3, IEEE802.3u, IEEE802.3x*Портыo4 RJ45 порта 10/100Mbps (Auto-MDI/MDIX)o1 RJ45 порт WAN 10/100Mbps (Auto-MDI/MDIX)o1 RJ45 порт DMZ 10/100Mbps (Auto-MDI/MDIX)+Поддержка до 10 глобальных IP адресов для зоны DMZ*Аппаратная частьoRISC-процессор Brecis BPS 2100o4 Мб флэш-памятиo32 Мб DRAM*Основные протоколыoIP протокол: TCP/IP v4oDHCP серверoProxy DNS серверoУправление через SNMP и Web-интерфейс*WANoСтатический и динамический IP-адресoPPP over EthernetoUnnumbered PPPoEoMulti-session PPPoE*Аппаратный брэндмауэр (FireWall)oNAT и SPI брэндмауэрoClass C One-to-Many NAToМаксимум 253 пользователяoВиртуальный сервер с 12 установкамиoБлокировка URL-овoФильтрация пакетов с 8 настройкамиoВедение лога атак хакеровoПропускная способность при доступе по FTP - 80 Мбит/с.*VPNoСквозной VPN PPTP, L2PT и IPSecoVPN клиент и сервер: PPTP, L2TP и IPSecoАутентификация PAP, CHAP, MS-CHAP (PPTP, L2TP) MD-5, SHA1 (IPSec)oШифрование DES, 3DES и AESoРежим инкапсуляции: Tunnel and Transport Protocol, ключи AH и ESP IKE, ручной ввод ключа. oМаксимальное количество туннелей - 40oПропускная способность 3DES - 20 Мбит/c*Питание - внешний БП 110-220В, 50/60 ГцПовышение безопасности с помощью DMZПрактически на любом предприятии или в небольшой организации есть ресурсы, которые должны быть доступны из внешней сети и ресурсы, доступ к которым извне недопустим. Общедоступные ресурсы могут отказаться работать через брэндмауэры, и таким приложениям, как сервер видеоконференций, почтовый сервер или web-сервер приходится давать открытый доступ в глобальную сеть.
В случае, если подобный сервер находится в основной локальной сети, его взлом влечёт за собой получение доступа к машинам, расположенным во всей внутренней сети. Поэтому для обеспечения дополнительной безопасности для общедоступных серверов создаётся отдельная зона, DMZ (Demilitarized Zone). В этой зоне изолируются компьютеры, имеющие прямое соединение с интернетом от компьютеров внутренней сети. Выглядит это так, словно компьютеры в DMZ находятся до брэндмауэра. Для использования зоны DMZ необходимо общедоступные компьютеры подключать к маршрутизатору, имеющему DMZ порт. Выделение общедоступных компьютеров в отдельную зону имеет ещё одно преимущество - экономия внутрисетевого траффика. Но случается, что общедоступный компьютер должен получить доступ, например, к базе данных, располагающейся на сервере внутренней сети. В этом случае администратор может в настройках роутера указать ограничения связи между внутренней сетью и DMZ зоной на основе запрашиваемых портов, IP-адресов и т. д.Для защиты внутренней сети используется аппаратный межсетевой экран с проверкой содержимого пакетов данных, SPI (Stateful Packet Inspection). Он является наиболее надёжным средством защиты компьютеров компании от атак извне, так как позволяет избежать проникновения в вашу сеть пакетов, содержащих вредоносные коды. Фильтрация доменов - обычная функция для роутера, снабжённого брэндмауэром, в модели FBR-1411TX позволяет вести лог доступа к избранным ресурсам. Например, вы можете запретить в настройках какой-нибудь сайт вроде ebay. com и роутер будет записывать, с каких компьютеров в вашей сети пытались выйти на этот сайт. Удобно, чтобы устраивать нагоняй в конце рабочей недели. Так же вы можете блокировать целый ряд URL-ов по ключевому слову. Например, все адреса, содержащие слова "sex", "erotica" и "mp3".Внешний вид Level One FBR-1411TXVPN-роутер Level One FBR-1411TX выполнен в том же форм-факторе, что и большинство сетевого оборудования для офисов от этой немецкой компании. Красивый дизайн, стандартные размеры и прямоугольная форма легко позволят установить друг на друга несколько роутеров, коммутатор и, скажем, точку доступа. VPN-роутер Level 1 FBR-1411TXНа лицевой панели, спереди, установлены индикаторы соединения и активности на каждый из портов, в том числе на WAN и на DMZ, а так же индикатор питания и статуса маршрутизатора.
|