Огляд гігабітного шлюзу безпеки для невеликих компаній

Введення

Сьогодні все більше компаній стикаються із завданням забезпечення безпечного доступу співробітників до власних інформаційних ресурсів, а так само із забезпеченням зв’язку філій з головним офісом через захищені інтернет-канали. Індустрія пропонує таким замовникам доступні і продуктивні пристрої типу «все-в-одному», завдання яких – забезпечити безпечну роботу корпоративної мережі в режимі 24×7, а так само підвищити ефективність роботи співробітників і захистити внутрішні і зовнішні інформаційні ресурси компанії. Одне з таких пристроїв від компанії NetGear ми сьогодні і розглянемо.

Міжмережевий екран NetGear SRX5308 розроблений для компаній, вимогливих до продуктивності каналів зв’язку. Чотири WAN порту підтримують два режими балансування навантаження на рівні сеансів, а так само перемикання для підвищення відмовостійкості. І хоча можливості об’єднувати порти для збільшення пропускної здатності не передбачено, підключення на швидкості до 1 Гбіт / с на кожному з чотирьох WAN портів більш ніж достатньо для невеликих компаній, особливо в нашій країні. Знов-таки, балансування і відмовостійка конфігурація набагато важливіше. Ну і, звичайно, найважливіше для багатьох – це продуктивність внутрішньої архітектури, завдяки якій навіть в режимі фільтрації на сеансовому рівні (Stateful Packet Inspection) досягається продуктивність в 1 Гбіт / с.

NetGear SRX5308 дозволяє створити до 125 VPN тунелів при використанні стандарту IPSec або до 50 при використанні SSL. Багато це чи мало? Скажімо так, для компанії, що має десяток філій і кілька сотень співробітників цього достатньо. Але давайте спочатку подивимося на сам пристрій.

Пристрій виконаний в невеликому сталевому корпусі висотою 1U. Корпус досить компактний, але в комплекті ви знайдете куточки для кріплення його у стійку.

На лицьовій стороні рівномірно розташовуються 4 порти LAN і 4 порта WAN, а так само кілька індикаторів. Окремий індикатор показує, чи працює 4-й LAN порт в режимі DMZ чи ні, очевидно, щоб ви не підключили випадково приватний ресурс в загальнодоступну зону. Власне, і все. Ззаду розташовується RS232 порт, кнопка апаратного скидання, розетка живлення і роз’єм Kensington.

Корпус продувається одним-єдиним невеликим вентилятором зліва направо. При роботі NetGear SRX5308 дуже добре чути, так що встановлювати його краще в закритому мережевому шафі.

Відкривши кришку, бачимо досить вільно скомпоновану плату з двома радіаторами, що забезпечують пасивне охолодження процесорів. Міжмережевий екран має 512 Мб пам’яті, що дозволяє йому працювати з великим кількістю з’єднань одночасно. Нагадаємо, що їх може бути до 200 000.

Налагодження та web-інтерфейс

За замовчуванням, NetGear SRX53078 налаштований на простий доступ до інтернету з базовою фільтрацією трафіку. Установка параметрів проводиться через Web-інтерфейс, в якому, схоже, Web-дизайнери перемудрили з закладками.

Для початку вам надається можливість вибрати тип роботи трансляції внутрішніх адрес – NAT або звичайна маршрутизація. При налаштуванні WAN портів ви можете встановлювати відмовостійкі конфігурації або настроювати балансування навантаження, але на цьому можливості не закінчуються – в розширених налаштуваннях ви зможете встановити ліміт трафіку на кожному з WAN портів, що дозволить послідовно виробити наданий ліміт на кожному з чотирьох провайдерів.

Природно, що на кожен WAN порт ви можете призначити власний аккаунт DynDNS, але, на жаль, інші провайдери динамічних DNS не заведені в сервіс.

Можливість перенаправлення портів з WAN в LAN можна настроювати відразу для цілого діапазону IP-адрес, причому як глобальних, так і локальних. Це дозволить легко налаштувати роботу VOIP сервісів, месенджерів та інших мережевих додатків на рівні IP-адрес вашої системи.

Більш ефективно налаштувати конфігурацію локальної мережі можна, використовуючи віртуальні мережі VLAN, та ще й з можливістю жорсткої прив’язки VLAN до фізичних портів на міжмережевим екрані. Підтримується об’єднання портів у віртуальні мережі, а сумарно ви можете створювати до 254 VLAN-ов. Ви можете використовувати і просту угруповання LAN портів. Що цікаво, за замовчуванням LAN порти вже організовані в дефолтну VLAN мережу, так що робота з VLAN спочатку дозволить легше здійснити налаштування складною офісної мережі з потрібними параметрами безпеки.

Настройка Firewall-а, в общем-то, потужна, але не настільки, як хотілося б. Вам доступний вибір сервісів з ідентифікацією по портам, діапазону локальних і глобальних IP-адрес, а так само використання QoS. Сьогодні для пристроїв корпоративного класу вже пропонуються інтелектуальні сервіси з блокування доступу до сайтів, виходячи з їх категорії, а так само антивіруси, що працюють в реальному часі. Правда, слід розуміти, що ці фільтри в реальному часі вимагають істотних ресурсів процесора (згадайте хоча б, як антивірус впливає на ваш комп’ютер), так що NetGear залишила цей функціонал більш старшим, а отже і дорогим моделям UTM. У NetGear SRX5308 вам доступна можливість фільтрації Proxy серверів, Java додатків, ActiveX і Cookies. Так само є і захист від TCP і UDP флуду, відключення відповіді на пінг і включення невидимого режиму. Для обмеження доступу до сайтів, ви можете задати ключові слова, за якими ви можете блокувати небажані сайти. Хоча, чесно сказати, стартовий список небажаних ключових слів і трастових сайтів не завадив би.

Найважливішою функцією пристроїв такого рівня є створення VPN тунелів з високою продуктивністю для з’єднання між двома подібними пристроями або між клієнтом і шлюзом. При їх створенні ви можете задіяти до двох WAN портів в режимі відмовостійкості. Інтерфейс настільки простий, що з створенням захищеного VPN з’єднання впорається навіть непідготовлена ​​людина. Нагадаємо, що вам доступні до 125 VPN з’єднань, на швидкості до 180 Мбіт / с. А якщо у вашій організації в цілях безпеки не дозволені наскрізні VPN підключення, ви можете обмежити їх використання для IPSec, PPTP і L2TP. Для аутентифікації підтримуються Active Directory, LDAP, Radius, WIKID, MIAS, домен NT і локальна база даних користувачів

Для SSL з’єднань є функція завантаження і генерації сертифікатів. Ви можете встановлювати до 50 SSL з’єднань на швидкості до 21 Мбіт / с.

В цілому, можна сказати, що настройка зажадає від вас деякого часу на вивчення, найбільше через заплутану навігації по меню. Web-інтерфейсу не вистачає одного статусного вікна, на якому відображалася б вся інформація, як то кажуть, по-максимуму.

Перейдемо до тестування

Для тестування використовувалися два комп’ютери з гігабітними мережевими картами Intel Pro 1000/PT.

Конфігурація 1:

Конфігурація 2:

Комп’ютери з’єднувалися між собою CAT5 кабелем, після чого запускався тест IX Chariot 6.70 зі скриптом High_Performance_Throughput, в якому значення Transactions per Second було виставлено на 100.

Результати перед вами:

Максимальна швидкість LAN-LAN близька до фізичного максимуму інтерфейсу, проте вже на виході в WAN навіть при PPPoE з’єднанні швидкість падає вже в 1.5 рази. Для додатків, вимогливих до швидкості передачі, там, де шифрування проводиться на рівні додатків, це поганий знак. Але нас більше цікавить швидкість VPN-з’єднань. Тут продуктивність IPSec дозволяє вже говорити про те, що гігабітні шлюзи з VPN вже – виправдана покупка.

Ціна питання

Середня розніцная вартість Netgear SRX5308 становить 15500 рублів. Це найдоступніший гігабітний міжмережевий екран на сьогоднішній день. Як правило, подібні пристрої коштують від 30 000 рублів, і якщо подивитися мережеве обладнання на 2 і більше WAN портів, то там ціни починаються від 11 тисяч рублів, тому навіть якщо розглядати цей шлюз просто як рішення для забезпечення відмовостійкого доступу в інтернет для офісу, Netgear SRX5308 виглядає дуже вигідно.

Висновки

Подібне обладнання для організації зв’язку між офісами по захищених каналах, як правило, має високу вартість, та й істотна частина таких пристроїв – все ще 100-мегабітний. Секрет Netgear SRX5308 простий: пристрій має трохи слабкий процесор, на якому швидкість WAN падає навіть при включенні ACL фільтра, не кажучи вже про VPN. Для невеликих компаній, які не можуть оплачувати гігабітні канали доступу в інтернет, але яким треба організувати VPN-доступ до корпоративної мережі, навіть 32-мегабітні з’єднання можна вважати за щастя, а можливість суттєво економити на етапі побудови мережі має найважливіше значення.

Важливий плюс Netgear SRX5308 – це фактична закінченість пристрої. Тобто, ви отримуєте весь функціонал на все життя роботи пристрою без додаткових модулів, без плат за ліцензії. Вам не доведеться платити за кількість доступних VPN-з’єднань із зростанням бізнесу або за збільшення кількості VLAN, яких тепер досить.

До недоліків Netgear SRX5308 можна віднести:

До переваг Netgear SRX5308 ми зараховуємо:

Для невеликих компаній, що ставлять для себе завдання об’єднати декілька офісів в єдину мережу, а так само дати можливість роботи співробітникам на Outsource, Netgear SRX5308 – такий варіант, якому дуже важко знайти альтернативу. Це відмінна покупка.

Офіційний сайт Netgear – www.netgear.ru

Ми дякуємо компанії Телеком ІТ за надане обладнання.

LIKE OFF

Схожі статті:


Сподобалася стаття? Ви можете залишити відгук або підписатися на RSS , щоб автоматично отримувати інформацію про нові статтях.

Коментарів поки що немає.

Ваш отзыв

Поділ на параграфи відбувається автоматично, адреса електронної пошти ніколи не буде опублікований, допустимий HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*

*