ZyXEL P662-HW EE: полезные возможности

Роутер роутеру рознь. Простые устройства, как правило, выполняют только свои основные фунции, то есть роутят, но более ничего. Однако устройства продвинутые — такие как ZyXEL P662-HW, о котором мы рассказывали в одной из наших статей — предоставляют пользователю массу других возможностей, касающихся как защиты сети, так и довольно серьезного администрирования прямо на уровне роутера. В данной статье, на примере ZyXEL P662-HW, мы и покажем вам, что это за возможности.

Файрвол

Файрвол (брандмауэр) в этом устройстве решает следующие задачи:

• фильтрация пакетов;
• контроль состояния протокола (SPI);
• защита от DoS-атак;
• правила доступа к управлению.

Файрвол здесь достаточно продвинутый и позволяет весьма гибко задавать различные правила прохождения или блокирования пакетов. Впрочем, настройка файрвола требует весьма серьезного понимания того, что именно происходит в вашей сети, поэтому, если вы не обладаете подобными знаниями, просто включите в Advanced Setup — Firewall — Default Policy опцию Enable Firewall, и далее обо всем позаботится само устройство.

Если же вы собираетесь вручную задавать какие-то правила, то нет проблем, вызывайте Advanced Setup — Firewall — Rule Summary — New Rule и задавайте все что нужно:

Файрвол поддерживает все возможные виды маршрутизации пакетов, разделяя их на следующие категории:

Напоминаю, что DMZ — это специальный защищенный порт для подключения доступных извне сервисов, например веб-сайта.

Фильтр содержимого

Еще одна экзотическая возможность, доступная в этом устройстве, — Content Filter. Работает он просто, но со вкусом. Advanced Setup — Content Filter — Keyword — здесь можно ввести ключевые слова, по наличию которых будут блокироваться веб-сайты:

К сожалению, в данной версии прошивки русские слова фильтр не понимает, поэтому заблокировать термины пиписка, группа «Отпетые мошенники» и Киркоров не удастся, так что нежные детские души будут ранить себя по полной программе.

Фильтр дополнительно снабжен расписанием действия: дни недели и временной период.

Также можно задать доверительный интервал IP-адресов, которые в зону действия фильтра не попадут.

Контроль видов доступа

Это значительно более мощное средство разделения доступа, которое может быть действительно очень полезным, особенно если устройство работает как точка доступа для нескольких квартир или для офиса. Но и даже в пределах одной отдельно взятой семьи этот сервис может хоть как-то ограничить шаловливые ручки юного хакера, которому мало рабочего пространства его собственного компьютера и который хочет распространить свое влияние на компьютеры всех членов семьи.

Advanced Setup — Content Access Control. Там сначала выбираете General и задаете в табличке названия групп, а также виды доступа для них:

В разделе Time можно задавать или временной диапазон, или дни недели (например, кроме выходных), или дни недели и временной диапазон для каждого дня:

Уже удобно, между прочим, потому что таким образом вы можете ограничить юному хакеру хотя бы временной диапазон доступа в сеть.

Раздел Service позволяет производить тончайшую настройку доступа группы к практически всем видам сетевых сервисов:

Ну и раздел Web Browsing позволяет очень гибко настраивать доступ группы к сайтам по их категориям:

Там же можно настраивать блокировку сайтов по ключевым словам для каждой группы.

Интересная возможность. Я не уверен в том, что это реально будет хорошо фильтровать, однако родители, твердой рукой отметив сайты Gay/Lesbian, Pornography и Illegal Drugs, получат хоть какое-то моральное удовлетворение.

После того как мы настроили группы, настраиваем профили пользователей: Advanced Setup — Content Access Control — User Profiles. Там задаем для пользователей логины/пароли и определяем их принадлежность к определенной группе.

Вот и все. Для администраторского контроля ситуации на вверенной вам локальной сети служит пункт меню Online Status. Там показывается, какие именно пользователи тех или иных групп в настоящий момент находятся на линии (подключены к данному роутеру).

Встроенный антивирус

Да-да, эта модель (точнее, прошивка Q4 этой модели) имеет аж встроенный антивирус. Advanced Setup — Anti Virus — Packet Scan:

Как видите, он умеет различать почту, FTP и HTTP. Но антивирус без ежедневных обновлений — это, разумеется, всего лишь игрушка, поэтому в системе предусмотрены регистрация на соответствующем антивирусном сервисе, активация сервиса и получение обновлений в автоматическом (хоть каждый час) и ручном режиме.

То есть ZyXEL P662-HW будет не только сам проверять на вирусы все интернетовское содержимое, но и самостоятельно через Сеть начнет производить обновления своих антивирусных баз. Впрочем, нужно заметить, что обновления антивирусных баз — небесплатные. Чтобы пользоваться этим сервисом, нужно приобретать специальные карточки оплаты.

Резервный канал

Достаточно уникальная возможность для устройства такого класса: в случае падения ADSL P662 может автоматически (самостоятельно) поднять резервный канал (например, обычный диалап), и для всех компьютеров в сети по-прежнему будут доступны все интернетовские сервисы. (Правда, понятно, что если компьютеров — пара десятков, то на одном обычном диалапе они особо не разгуляются; впрочем, в качестве резервного канала можно подключать и другой DSL, если он есть...)

Действует это следующим образом. На задней панели P662 есть специальный разъем для подключения RS-232:

Не пугайтесь, внешне он действительно выглядит вовсе не как RS-232 (COM-порт), а как RJ-45 (Ethernet-порт), но в комплекте с роутером идет специальный переходник, к которому подключается обычный 9-пиновый COM-кабель RS-232.

Берете обычный внешний модем (желательно ZyXEL, хотя это и не обязательно), подключаете его к линии и через COM-кабель к переходнику от роутера. Далее вызываете пункт Advanced Setup — WAN — WAN Backup Setup и там настраиваете параметры перехода на резервный канал:

Backup Type — выбирается DSL или ICMP (для диалапа).

Check WAN IP Address 1 — сюда следует вписать адрес наиболее устойчивого сервера в Сети (обычно это адрес вашего интернет-провайдера), который роутер будет пинговать, чтобы определить наличие или отсутствие соединения. У меня прописан адрес MTU-Intel (она же "Точка.ру", она же «Стрим»).

Fail Tolerance — количество попыток достучаться до указанного адреса.

Recovery Interval — интервал, через который P662 будет пытаться проверить, не восстановилось ли основное соединение, чтобы снова вернуться на него.

Timeout — количество секунд, в течение которых устройство будет ждать ответа от адресов, указанных в Check WAN IP Address. Если по истечении указанного срока ответа не будет, P662 включает резервный канал.

Traffic Redirect — при включении этой опции роутер будет автоматически перенаправлять интернетовский трафик с основного канала на резервный.

Dial Backup — здесь как раз и настраиваются параметры диалапа: скорость порта, имя пользователя, пароль и телефон (у меня вписаны параметры диалапа той же "Точки.ру").

Причем если в настройках диалапа нажать Advanced Setup, то вы сможете настроить различные дополнительные параметры диалапа, включая строку инициализации модема, опции TCP/IP, PPP, соединения и бюджета:

Также в разделе Advanced Modem Setup настраиваются совсем тонкие параметры модема, если это необходимо:

Вот и все. Теперь, если ADSL-соединение по каким-то причинам упадет (на «Стриме» это бывает крайне редко, но все-таки происходит), ZyXEL самостоятельно наберет номер диалапового провайдера, соединится, введет идентификационные данные и поднимет резервный интернетовский канал. Все это вполне реально работает, я проверял.

Единственная известная проблема с резервным каналом — в данной прошивке есть определенные проблемы при работе с USR-модемами, поэтому их лучше не использовать. Однако эту проблему также обещают исправить в следующей прошивке.

Остальные возможности

И это еще не все! ZyXEL P662-HW поддерживает также:

1. Dynamic DNS

Как известно, большинство ADSL-провайдеров предоставляют пользователям не статические, а динамические IP-адреса. Для обычных пользователей это никаких особых неудобств не создает — особенно при использовании роутеров вроде этого, которые умеют делать трансляцию адресов (NAT), — однако статический (постоянный) IP-адрес требуется при использовании или предоставлении некоторых интернетовских сервисов. Поддержка динамического DNS позволяет пользователю получить постоянное имя хоста на динамическом IP. Существуют различные сервисы, которые предоставляют такую возможность (например, www.DynDNS.org). P662 может автоматически подключаться к подобному сервису и идентифицировать пользователя.

2. VPN

Поддержка виртуальной частной сети (Virtual Private Network). Если говорить кратко, то VPN — это специальный зашифрованный канал поверх общедоступной сети, обеспечивающий высокую защиту передаваемой по этому каналу информации за счет применения специальных алгоритмов шифрования. VPN часто используют, когда нужно обеспечить, например, безопасный выход с домашнего компьютера в офисную корпоративную сеть или, наоборот, доступ извне в вашу домашнюю сеть. ZyXEL P662-HW позволяет организовывать VPN-туннели с аппаратным шифрованием по протоколам DES и 3DES.

3. Удаленный менеджмент

ZyXEL P-662 HW можно настраивать удаленно — телнетом, по FTP или через Web. При этом, разумеется, обеспечивается должный уровень безопасности: по каждому из видов доступа настраиваются статусы (запрещено, все виды, только LAN, только WAN), номер порта и IP-адрес.

4. UPnP

Встроенная поддержка универсальных устройств Plug and Play. Если включить эту поддержку, то сетевые UPnP-устройства, подключаемые, например, через один из компьютеров локальной сети, будут автоматически получать доступ к сетевым и интернетовским сервисам.

5. Отчеты (логи)

ZyXEL P662-HW ведет подробное протоколирование функционирования устройств в сети, работы файрвола, антивируса и прочих сервисов. Вы можете настроить вид лога, отсылку сообщений о критических ситуациях на e-mail, виды алертов, вид информации в логе и так далее.

6. Media Bandwidth Management

Система менеджмента полосы пропускания. Зачем это нужно? Для того чтобы обеспечить минимальную задержку для трафика определенного типа, где эти задержки могут привести к значительным искажениям (например, голосовая телефония через IP).

7. PPPoE Pass Through

ZyXEL P662-HW позволяет компьютерам в сети (не более десяти) использовать собственные PPPoE-клиенты для подключения через роутер по своим собственным аккаунтам. Каждый такой компьютер при этом получает собственный адрес WAN IP и работает через свой аккаунт.

Ссылки по теме

• Настройка роутера ZyXEL P662-HW EE для Stream
• Настройка роутера ZyXEL OMNI для Stream
• Настройка роутера AusLinx AL-2007 для Stream