VPN маршрутизатор LevelOne FBR-1411TX с DMZ портом

Введение

Сегодня мы рассмотрим 4-портовый VPN роутер для малых офисов от компании Level One. Этот маршрутизатор может стать незаменимым сетевым устройством для компаний, которым надо дать защищённый доступ для клиентов к своим сетевым ресурсам, но в то же время обеспечить свободный доступ всех желающих к выделенному серверу. Допустим, имеется компания, торгующая через интернет, и ей необходимо дать доступ к своей базе данных партнёрам в других городах, используя надёжное VPN-соединение. В то же время, собственный web-сервер должен быть доступен любому желающему, но защищён от атак хакеров. Роутер Level One FBR-1411TX способен выделять более 40 VPN-тоннелей, он имеет встроенный брэндмауэр, DHCP-сервер и один порт DMZ для так называемой "демилитаризованной зоны".

 

 

Рассмотрим возможности маршрутизатора более подробно.

Характеристики LevelOne FBR-1411TX

VPN-роутер Level 1 FBR-1411TX

*

Стандарт IEEE802.3, IEEE802.3u, IEEE802.3x
*

Порты
o

4 RJ45 порта 10/100Mbps (Auto-MDI/MDIX)
o

1 RJ45 порт WAN 10/100Mbps (Auto-MDI/MDIX)
o

1 RJ45 порт DMZ 10/100Mbps (Auto-MDI/MDIX)
+

Поддержка до 10 глобальных IP адресов для зоны DMZ
*

Аппаратная часть
o

RISC-процессор Brecis BPS 2100
o

4 Мб флэш-памяти
o

32 Мб DRAM
*

Основные протоколы
o

IP протокол: TCP/IP v4
o

DHCP сервер
o

Proxy DNS сервер
o

Управление через SNMP и Web-интерфейс
*

WAN
o

Статический и динамический IP-адрес
o

PPP over Ethernet
o

Unnumbered PPPoE
o

Multi-session PPPoE
*

Аппаратный брэндмауэр (FireWall)
o

NAT и SPI брэндмауэр
o

Class C One-to-Many NAT
o

Максимум 253 пользователя
o

Виртуальный сервер с 12 установками
o

Блокировка URL-ов
o

Фильтрация пакетов с 8 настройками
o

Ведение лога атак хакеров
o

Пропускная способность при доступе по FTP - 80 Мбит/с.
*

VPN
o

Сквозной VPN PPTP, L2PT и IPSec
o

VPN клиент и сервер: PPTP, L2TP и IPSec
o

Аутентификация PAP, CHAP, MS-CHAP (PPTP, L2TP); MD-5, SHA1 (IPSec)
o

Шифрование DES, 3DES и AES
o

Режим инкапсуляции: Tunnel and Transport Protocol, ключи AH и ESP IKE, ручной ввод ключа.
o

Максимальное количество туннелей - 40
o

Пропускная способность 3DES - 20 Мбит/c
*

Питание - внешний БП 110-220В, 50/60 Гц

Повышение безопасности с помощью DMZ

Практически на любом предприятии или в небольшой организации есть ресурсы, которые должны быть доступны из внешней сети и ресурсы, доступ к которым извне недопустим. Общедоступные ресурсы могут отказаться работать через брэндмауэры, и таким приложениям, как сервер видеоконференций, почтовый сервер или web-сервер приходится давать открытый доступ в глобальную сеть. В случае, если подобный сервер находится в основной локальной сети, его взлом влечёт за собой получение доступа к машинам, расположенным во всей внутренней сети. Поэтому для обеспечения дополнительной безопасности для общедоступных серверов создаётся отдельная зона, DMZ (Demilitarized Zone). В этой зоне изолируются компьютеры, имеющие прямое соединение с интернетом от компьютеров внутренней сети. Выглядит это так, словно компьютеры в DMZ находятся до брэндмауэра. Для использования зоны DMZ необходимо общедоступные компьютеры подключать к маршрутизатору, имеющему DMZ порт.

Выделение общедоступных компьютеров в отдельную зону имеет ещё одно преимущество - экономия внутрисетевого траффика. Но случается, что общедоступный компьютер должен получить доступ, например, к базе данных, располагающейся на сервере внутренней сети. В этом случае администратор может в настройках роутера указать ограничения связи между внутренней сетью и DMZ зоной на основе запрашиваемых портов, IP-адресов и т.д.

Для защиты внутренней сети используется аппаратный межсетевой экран с проверкой содержимого пакетов данных, SPI (Stateful Packet Inspection). Он является наиболее надёжным средством защиты компьютеров компании от атак извне, так как позволяет избежать проникновения в вашу сеть пакетов, содержащих вредоносные коды.

Фильтрация доменов - обычная функция для роутера, снабжённого брэндмауэром, в модели FBR-1411TX позволяет вести лог доступа к избранным ресурсам. Например, вы можете запретить в настройках какой-нибудь сайт вроде ebay.com и роутер будет записывать, с каких компьютеров в вашей сети пытались выйти на этот сайт. Удобно, чтобы устраивать нагоняй в конце рабочей недели. Так же вы можете блокировать целый ряд URL-ов по ключевому слову. Например, все адреса, содержащие слова "sex", "erotica" и "mp3".

Внешний вид Level One FBR-1411TX

VPN-роутер Level One FBR-1411TX выполнен в том же форм-факторе, что и большинство сетевого оборудования для офисов от этой немецкой компании. Красивый дизайн, стандартные размеры и прямоугольная форма легко позволят установить друг на друга несколько роутеров, коммутатор и, скажем, точку доступа.

VPN-роутер Level 1 FBR-1411TX

На лицевой панели, спереди, установлены индикаторы соединения и активности на каждый из портов, в том числе на WAN и на DMZ, а так же индикатор питания и статуса маршрутизатора.

VPN-роутер Level 1 FBR-1411TX

С обратной стороны в ряд установлены четыре RJ45 порта для внутренней сети, WAN порт для подсоединения к локальной сети (ADSL модему или другому роутеру) и DMZ порт. Каждый из портов может использоваться для соединения с коммутатором или другим роутером для агрегатирования устройств, так как поддерживает Auto MDI/MDIX. Питается маршрутизатор от внешнего БП, подключаемого в гнездо с правой стороны корпуса.

Конфигурация

Настройка маршрутизатора осуществляется через удобный Web-интерфейс с любого браузера, совместимого с Internet Explorer.

Настройки VPN роутера Level One FBR-1411TX

В маршрутизаторе предусмотрен мастер настройки, который поможет быстро установить основные параметры устройства для обеспечения работы сети "здесь и сейчас". Более углублённо настроить правила маршрутизации, ограничения по доступу, запись логов, внутренний MAC-адрес, установки серверов и т.д, администратор сможет, руководствуясь электронным мануалом, в котором каждый пункт конфигурации рассматривается на понятных примерах.

Заключение

VNP маршрутизатор Level One FBR-1411TX - явный пример того, как одно устройство может обеспечить работу небольшой офисной сети, с выделением безопасных VPN каналов для связи с партнёрами, обеспечения свободного доступа к онлайн-ресурсам для клиентов и защиты внутренней сети от недоброжелателей с помощью встроенного брэндмауэра. Развитие технологий производства приводит к тому, что сегодня FBR-1411TX стоит всего около 115$. Для небольшого интернет-магазина, или офиса частного предпринимателя это не много, а безопасная, хорошо настроенная сеть, без лишних ограничений, но защищённая от недоброжелателей, стоит ничуть не меньше, чем конфиденциальная информация, хранящаяся в этой сети.

Мы благодарим компанию "SVEGA Computer", официального дистрибьютора Level One в России за предоставленное оборудование.

LIKE OFF
24/01.2006