Лекция 9: Особенности применения межсетевых экранов и маршрутизаторов D-Link
Интернет-маршрутизаторы серии Unified Services
Сегодня, в эпоху активного развития компьютерных сетей, пользователи предпочитают высокую скорость передачи данных и хорошее качество получаемых посредством сетей услуг, и, как следствие, от современного оборудования требуется не только высокая производительность и возможность взаимодействия с себе подобными, но и совмещение в одном устройстве большого функционала, позволяющего выполнять множество задач, включая и быстрый обмен информацией, и качественную передачу медиаконтента, и защиту передаваемых данных.
Высокопроизводительные управляемые маршрутизаторы серии Unified Services DSR-250N/500/500N/1000/1000N предназначены для эффективного управления сетями и их защиты в секторах SOHO и SMB. Маршрутизаторы Unified Services совмещают быстродействие Gigabit Ethernet, функции межсетевого экрана и все преимущества использования Wi-Fi/3G-сетей.
К расширенному функционалу маршрутизаторов серии DSR относится поддержка IPv6, Dynamic DNS, IEEE 802.1Q VLAN, Multiple SSID. Управление на основе политик обеспечивает максимальную производительность устройств, расширенные функции VPN позволяют создавать защищенные каналы связи для подключения мобильных пользователей и филиалов к корпоративной сети, а возможность управления полосой пропускания гарантирует выделенную полосу для различных сервисов.
DSR-500/500N/1000/1000N поддерживают функции Route Fail-Over и Outbound Load Balancing, что гарантирует отказоустойчивость и позволяет распределять исходящий трафик между WAN-интерфейсами.
Высокая скорость в беспроводных сетях обеспечивается благодаря применению технологии MIMO. DSR-250N/500N работают в одном диапазоне частот (IEEE 802.11 b/g/n), а DSR-1000N может работать в двух диапазонах: 2,4 ГГц либо 5 ГГц (IEEE 802.11 a/b/g/n). Безопасность беспроводной сети обеспечивается поддержкой протоколов шифрования и аутентификации.
Маршрутизаторы ADSL
Маршрутизаторы ADSL D-Link разработаны для сетей малых офисов и дома. Они позволяют быстро и просто получить широкополосный доступ в Интернет и совместно использовать канал связи ADSL несколькими пользователями. Благодаря встроенному интерфейсу ADSL2/ADSL2+, поддерживающему скорость нисходящего потока до 24 Мбит/с, межсетевому экрану и QoS, данные устройства предоставляют пользователям удобный и экономичный способ создания безопасной, высокоскоростной сети.
ADSL-маршрутизаторы DSL-2500U и DSL-2540U обеспечивают защиту межсетевым экраном при помощи проверки состояния пакета SPI, ведут протокол попыток хакерских атак, таких как "отказ в обслуживании" (DoS). Управление доступом осуществляется с помощью фильтрации пакетов на основе МАС/IP-адресов источника и приемника. Маршрутизаторы поддерживают несколько очередей приоритетов для групп домашних и офисных пользователей в целях беспрерывной передачи данных без перегрузки трафика. Поддержка QoS обеспечивает более эффективную передачу данных приложений, чувствительных к задержкам. DSL-2500U оснащен портом Ethernet LAN, который можно непосредственно подключать к компьютеру или к коммутатору Ethernet, а DSL-2540U – 4 портами Ethernet LAN для предоставления пользователям возможности совместного использования широкополосной линии Интернет.
Кроме 4-х портового коммутатора 10/100 Мбит/с, ADSL-маршрутизаторы DSL-2650U и DSL-2750U оснащены беспроводным модулем (2,4 ГГц) и портом USB 2.0. Использование беспроводного модуля создает возможность передачи информации по беспроводной защищенной сети, а благодаря USB-портам, данные маршрутизаторы обеспечивают подключение принтеров, жесткого диска или flash-накопителей. Также можно получить совместный доступ к USB-накопителям в сети.
Обзор межсетевых экранов NetDefend D-Link
По мере того, как бизнес-процессы становятся все более зависимыми от сетевой инфраструктуры, решения по повышению безопасности сетей приобретают весьма актуальный характер. D-Link представляет межсетевые экраны серии NetDefend нового поколения, являющиеся комплексным решением по обеспечению безопасности сетей предприятий. Серия NetDefend учитывает растущие требования, предъявляемые к сетевой безопасности, защите от атак хакеров, вирусным угрозам и повышению конфиденциальности информации.
Устройства серии NetDefend представляют собой законченное решение в области безопасности, включающее встроенную поддержку межсетевого экрана, балансировку нагрузки, функций отказоустойчивости, механизма ZoneDefense, фильтрации содержимого, аутентификации пользователей, блокировки "мгновенных" сообщений и приложений Р2Р, защиты от атак "отказ в обслуживании" DoS. Эти устройства соответствуют требованиям предприятий к безопасности и удаленному доступу. Расширенные функции предоставляют администраторам сетей решение безопасности "все в одном".
Аппаратная спецификация межсетевых экранов NetDefend включает высокоскоростные процессоры, большие базы данных и вычислительные мощности, позволяющие обрабатывать до миллиона параллельных сессий. Устройства с портами Gigabit Ethernet, позволяют развертывать гибкие, масштабируемые и свободные от "узких" мест сети, объединяющие между собой различные рабочие группы и предприятия.
Все межсетевые экраны данной серии поддерживают удаленное управление через Web-интерфейс или выделенное соединение. Они включают набор функций для мониторинга и поддержания состояния и безопасности сети, в том числе отправку уведомлений по электронной почте, ведение журнала системных событий log и предоставление статистики в режиме реального времени. Эти функции, наряду с возможностью обновления программного обеспечения, дают возможность проведения анализа и эффективного управления сетевым трафиком.
Операционная система D-Link NetDefendOS является основным программным обеспечением, которое используется для управления межсетевыми экранами D-Link с расширенным функционалом. В отличие от продуктов, использующих стандартную операционную систему (например, Unix или Microsoft Windows), NetDefendOS обеспечивает бесшовную интеграцию всех подсистем, подробный контроль над всеми функциями и снижение риска атак. Ниже представлены основные функции системы NetDefedOS:
IP Routing (Маршрутизация). NetDefendOS обеспечивает различные опции IP-маршрутизации, включая статическую маршрутизацию, динамическую маршрутизацию, а также возможности маршрутизации multicast. Кроме того, NetDefendOS поддерживает такие функции, как Virtual LAN, мониторинг маршрутов и др.
Firewalling Policies (Политики межсетевого экрана). NetDefendOS предоставляет проверку пакетов SPI (Stateful Packet Inspection) для широкого набора протоколов, включая TCP, UDP и ICMP.
Администратор может задать подробные политики (набор правил) межсетевого экрана на основе источника/назначения сети/интерфейса, протокола, портов, учетных данных пользователя, времени дня, позволяющие определить, какой трафик будет разрешен или запрещен NetDefendOS.
Address Translation (Трансляция адресов). В целях обеспечения функционала, а также безопасности, NetDefendOS на основе политик поддерживает как динамическую трансляцию адресов (NAT), так и статическую трансляцию адресов (SAT), что обеспечивает работу в различных типах сетей.
VPN (Виртуальные частные сети). NetDefendOS поддерживает различные варианты реализации VPN (Virtual Private Network) на основе протоколов IPsec, L2TP, PPTP и может работать как сервер или клиент для этих типов VPN и позволяет настраивать индивидуальные политики безопасности для каждого VPN-туннеля.
Anti-Virus scanning (Антивирусное сканирование)*. NetDefendOS оснащена встроенным антивирусом, что позволяет просматривать файлы любого размера, используя технологию потокового сканирования. Данный метод сканирования увеличивает производительность проверки, сокращая так называемые "узкие места" в сети. Межсетевые экраны D-Link используют сигнатуры вирусов от "Лаборатории Касперского", при этом существует возможность обновления сигнатур. В результате вирусы и вредоносные программы могут быть эффективно заблокированы до того, как они достигнут конечных пользовательских устройств.
Intrusion Detection and Prevention (Система обнаружения и предотвращения вторжений). Для предотвращения атак на уровне приложений, против уязвимостей в сервисах и приложениях NetDefendOS предоставляет защиту от вторжений – Intrusion Detection and Prevention (IDP). Данный механизм работает на основе политик и позволяет выполнять высокопроизводительное сканирование и обнаружение атак и выполнять блокировку, при этом дополнительно вносить в черный список атакующие хосты.
Web Content Filtering (Фильтрация Web-контента). NetDefendOS предлагает различные механизмы фильтрации Web-контента, не соответствующего политике использования Интернета. На основе заданной категории Web-содержимое может блокироваться, а Web-сайты будут добавлены в белый или черный список в нескольких политиках.
Traffic Management (Управление трафиком)* . NetDefendOS обеспечивает удобные возможности для управления трафиком с помощью таких функций, как Traffic Shaping (Управление полосой пропускания трафика), Threshold Rules (Пороговые правила) и Server Load Balancing (Балансировка нагрузки сервера). Traffic Shaping обеспечивает ограничение и распределение полосы пропускания; Threshold Rules обеспечивают спецификацию порогов для отправки сообщений об авариях и/или ограничения сетевого трафика; Server Load Balancing позволяет устройству с NetDefendOS распределять нагрузку в сети между несколькими хостами.
ZoneDefense*. Для того чтобы минимизировать влияние аварийной ситуации на всю сеть, межсетевые экраны поддерживают специальную функцию – ZoneDefense, представляющую собой механизм, позволяющий им работать с коммутаторами локальных сетей D-Link и обеспечивающий активную сетевую безопасность. Функция ZoneDefense автоматически изолирует инфицированные компьютеры локальной сети и предотвращает распространение ими вредоносного трафика.
*Использование данной функции зависит от конкретной модели DFL.
Межсетевой экран DFL-260E
Межсетевой экран NETDEFEND DFL-260E предназначен для использования в малых сетях, например, домашних или сетях небольшого офиса. Данная модель является надежным решением по обеспечению безопасности, так как межсетевой экран объединяет систему предотвращения вторжений (IPS), проверку пакетов антивирусом, балансировку нагрузки (Load Balance), отказоустойчивость (Fault-Tolerance), аутентификацию пользователей, защиту от атак Denial of Service (DoS), а также поддерживает VPN-сети.
Межсетевой экран DFL-260E оснащен одним WAN-портом, одним настраиваемым пользователем DMZ-портом и пятью LAN-портами с 10/100/1000 Мбит/с Ethernet-интерфейсами. Поскольку DMZ-порт можно конфигурировать как WAN-интерфейс, данная модель эффективно применяется в сетях организаций для непрерывного соединения с Интернетом
Конфигурация интерфейсов DFL-260E по умолчанию:
Управление разрешено с любого LAN-интерфейса по адресу https://192.168.10.1, только LAN-интерфейс отвечает на команду "ping".
ВНИМАНИЕ: В более ранних моделях (DFL-210/260/800/860/1600/2500) управление по умолчанию осуществляется с LAN-интерфейса по адресуhttps://192.168.1.1 .
Обзор функциональных возможностей DFL-260 представлен в сравнительной таблице по межсетевым экранам серии NetDefend в приложении C.
