VPN маршрутизатор Level One FBR-1411TX с DMZ портом

Введение

Сегодня мы рассмотрим 4-портовый VPN роутер для малых офисов от компании Level One. Этот маршрутизатор может стать незаменимым сетевым устройством для компаний, которым надо дать защищённый доступ для клиентов к своим сетевым ресурсам, но в то же время обеспечить свободный доступ всех желающих к выделенному серверу. Допустим, имеется компания, торгующая через интернет, и ей необходимо дать доступ к своей базе данных партнёрам в других городах, используя надёжное VPN-соединение. В то же время, собственный web-сервер должен быть доступен любому желающему, но защищён от атак хакеров. Роутер Level One FBR-1411TX способен выделять более 40 VPN-тоннелей, он имеет встроенный брэндмауэр, DHCP-сервер и один порт DMZ для так называемой "демилитаризованной зоны". Рассмотрим возможности маршрутизатора более подробно.

Характеристики LevelOne FBR-1411TX

VPN-роутер Level 1 FBR-1411TX

  • Стандарт IEEE802.3, IEEE802.3u, IEEE802.3x

  • Порты

    • 4 RJ45 порта 10/100Mbps (Auto-MDI/MDIX)

    • 1 RJ45 порт WAN 10/100Mbps (Auto-MDI/MDIX)

    • 1 RJ45 порт DMZ 10/100Mbps (Auto-MDI/MDIX)

      • Поддержка до 10 глобальных IP адресов для зоны DMZ

  • Аппаратная часть

    • RISC-процессор Brecis BPS 2100

    • 4 Мб флэш-памяти

    • 32 Мб DRAM

  • Основные протоколы

    • IP протокол: TCP/IP v4

    • DHCP сервер

    • Proxy DNS сервер

    • Управление через SNMP и Web-интерфейс

  • WAN

    • Статический и динамический IP-адрес

    • PPP over Ethernet

    • Unnumbered PPPoE

    • Multi-session PPPoE

  • Аппаратный брэндмауэр (FireWall)

    • NAT и SPI брэндмауэр

    • Class C One-to-Many NAT

    • Максимум 253 пользователя

    • Виртуальный сервер с 12 установками

    • Блокировка URL-ов

    • Фильтрация пакетов с 8 настройками

    • Ведение лога атак хакеров

    • Пропускная способность при доступе по FTP - 80 Мбит/с.

  • VPN

    • Сквозной VPN PPTP, L2PT и IPSec

    • VPN клиент и сервер: PPTP, L2TP и IPSec

    • Аутентификация PAP, CHAP, MS-CHAP (PPTP, L2TP); MD-5, SHA1 (IPSec)

    • Шифрование DES, 3DES и AES

    • Режим инкапсуляции: Tunnel and Transport Protocol, ключи AH и ESP IKE, ручной ввод ключа.

    • Максимальное количество туннелей - 40

    • Пропускная способность 3DES - 20 Мбит/c

  • Питание - внешний БП 110-220В, 50/60 Гц 

Повышение безопасности с помощью DMZ

Практически на любом предприятии или в небольшой организации есть ресурсы, которые должны быть доступны из внешней сети и ресурсы, доступ к которым извне недопустим. Общедоступные ресурсы могут отказаться работать через брэндмауэры, и таким приложениям, как сервер видеоконференций, почтовый сервер или web-сервер приходится давать открытый доступ в глобальную сеть. В случае, если подобный сервер находится в основной локальной сети, его взлом влечёт за собой получение доступа к машинам, расположенным во всей внутренней сети. Поэтому для обеспечения дополнительной безопасности для общедоступных серверов создаётся отдельная зона, DMZ (Demilitarized Zone). В этой зоне изолируются компьютеры, имеющие прямое соединение с интернетом от компьютеров внутренней сети. Выглядит это так, словно компьютеры в DMZ находятся до брэндмауэра. Для использования зоны DMZ необходимо общедоступные компьютеры подключать к маршрутизатору, имеющему DMZ порт.

Выделение общедоступных компьютеров в отдельную зону имеет ещё одно преимущество - экономия внутрисетевого траффика.  Но случается, что общедоступный компьютер должен получить доступ, например, к базе данных, располагающейся на сервере внутренней сети. В этом случае администратор может в настройках роутера указать ограничения связи между внутренней сетью и DMZ зоной на основе запрашиваемых портов, IP-адресов и т.д.

Для защиты внутренней сети используется аппаратный межсетевой экран с проверкой содержимого пакетов данных, SPI (Stateful Packet Inspection). Он является наиболее надёжным средством защиты компьютеров компании от атак извне, так как позволяет избежать проникновения в вашу сеть пакетов, содержащих вредоносные коды.

Фильтрация доменов - обычная функция для роутера, снабжённого брэндмауэром, в модели FBR-1411TX позволяет вести лог доступа к избранным ресурсам. Например, вы можете запретить в настройках какой-нибудь сайт вроде ebay.com и роутер будет записывать, с каких компьютеров в вашей сети пытались выйти на этот сайт. Удобно, чтобы устраивать нагоняй в конце рабочей недели. Так же вы можете блокировать целый ряд URL-ов по ключевому слову. Например, все адреса, содержащие слова "sex", "erotica" и "mp3".

Внешний вид Level One FBR-1411TX

VPN-роутер Level One FBR-1411TX выполнен в том же форм-факторе, что и большинство сетевого оборудования для офисов от этой немецкой компании. Красивый дизайн, стандартные размеры и прямоугольная форма легко позволят установить друг на друга несколько роутеров, коммутатор и, скажем, точку доступа.

VPN-роутер Level 1 FBR-1411TX

На лицевой панели, спереди, установлены индикаторы соединения и активности на каждый из портов, в том числе на WAN и на DMZ, а так же индикатор питания и статуса маршрутизатора.

VPN-роутер Level 1 FBR-1411TX

С обратной стороны в ряд установлены четыре RJ45 порта для внутренней сети, WAN порт для подсоединения к локальной сети (ADSL модему или другому роутеру) и DMZ порт. Каждый из портов может использоваться для соединения с коммутатором или другим роутером для агрегатирования устройств, так как поддерживает Auto MDI/MDIX. Питается маршрутизатор от внешнего БП, подключаемого в гнездо с правой стороны корпуса.

Конфигурация

Настройка маршрутизатора осуществляется через удобный Web-интерфейс с любого браузера, совместимого с Internet Explorer.

Настройки VPN роутера Level One FBR-1411TX

В маршрутизаторе предусмотрен мастер настройки, который поможет быстро установить основные параметры устройства для обеспечения работы сети "здесь и сейчас". Более углублённо настроить правила маршрутизации, ограничения по доступу, запись логов, внутренний MAC-адрес, установки серверов и т.д, администратор сможет, руководствуясь электронным мануалом, в котором каждый пункт конфигурации рассматривается на понятных примерах.

Заключение

VNP маршрутизатор Level One FBR-1411TX - явный пример того, как одно устройство может обеспечить работу небольшой офисной сети, с выделением безопасных VPN каналов для связи с партнёрами, обеспечения свободного доступа к онлайн-ресурсам для клиентов и защиты внутренней сети от недоброжелателей с помощью встроенного брэндмауэра. Развитие технологий производства приводит к тому, что сегодня FBR-1411TX стоит всего около 115$. Для небольшого интернет-магазина, или офиса частного предпринимателя это не много, а безопасная, хорошо настроенная сеть, без лишних ограничений, но защищённая от недоброжелателей, стоит ничуть не меньше, чем конфиденциальная информация, хранящаяся в этой сети.

Мы благодарим компанию "SVEGA Computer", официального дистрибьютора Level One в России за предоставленное оборудование.

Михаил Дегтярёв (aka LIKE OFF)
24/01.2006


Похожие статьи:

Решения Wi-Fi для HoReCa от компании Zyxel. Тестируем точки доступа WAC5302D-Sv2, WAC-500H и коммутатор GS2220-28HP

Да, пусть многие считают, что Wi-Fi - он и в Африке Wi-Fi, но беспроводная сеть в кафешке будет кардинальным образом отличаться от сети в каком-нибудь цеху или на складе. Прежде всего, надо понимать, что основные клиенты публич...

5 причин, почему VPN лучше, чем веб-прокси

VPN и веб-прокси являются методами для обеспечения безопасности пользователя во время посещения интернет-ресурсов. Сервисы могут быть как платными, так и бесплатными, некоторые функции можно найти в настройках компьютера или сма...

Обзор Zyxel XS1930-12HP: мультигигабитный PoE коммутатор как ядро Wi-Fi 6 сети

Переходя на Wi-Fi 6 вы надеетесь, что хотя бы кабельную структуру оставите прежней, пустив по старой витой паре 2.5GBase-T? Давайте посмотрим на примере универсального PoE свитча Zyxel, как работает мультигигабитный коммутатор, ...

Обзор PoE-коммутатора ZyXel GS2220-10HP

Гигабитные PoE-коммутаторы Zyxel хорошо зарекомендовали себя в проектах для мини-отелей и небольших бизнес-центров, и мало-помалу компания Zyxel переносит все свои бизнес-продукты в облачную систему управления, Nebula. Новинка -...

Реален ли риск атак на OT-инфраструктуру? Мнение ведущего специалиста Fortinet

Операционные технологии, или ОТ, являются критическим сегментом сети, используемым предприятиями, которые производят товары или занимаются физическими процессами. Такие отрасли, как производство, химическая, нефтегазовая, горнодобывающая промыш...