Обзор файрвола D-Link DFL-800: средний класс повышенной скорости

Технические характеристики:

Интерфейсы: 2xWAN (RJ-45) 10/100Мбит/сек, 1xDMZ (RJ-45) 10/100Мбит/сек, 7xLAN (RJ-45) 10/100Мбит/сек
Функции роутера: NAT/NAPT, DMZ, Load Balance, VPN (IPSec, PPTP, L2TP), PPPoE Client, DHCP, Static Routing, RIP/OSPF Routing, 802.1Q VLAN Tagging
Функции файрвола: SPI, 802.1x Authentication, RADIUS Client, Packet Filter, Script Filter, HTTP Filter, IDP/IPS
Управление: Web-based, Console (RS-232), SNMP
Цена, $:500

Организация безопасного выхода во внешнюю сеть является очень важной проблемой для системных администраторов небольших сетей и сетей масштаба предприятия. Связь удаленных офисов и филиалов – еще одна насущная задача, решаемая за счет использования защищенных VPN-роутеров. Благо на рынке присутствует довольно много решений, из которых можно выбрать наиболее подходящее по функциональности и цене. Сегодня мы рассмотрим один из таких продуктов, а именно - файрвол D-Link DFL-800.

Внешний вид

Файрвол выполнен в серебристо-черном корпусе. На лицевой стороне располагаются индикаторы питания и состояния устройства, 2 порта WAN, порт демилитаризованной зоны DMZ, 7 портов LAN, а также разъем для подключения консольного кабеля. С тыльной стороны находится кнопка сброса на заводские установки и разъем питания. В комплект поставки входят «уши», что позволяет закреплять файрвол в монтажном шкафу.

Аппаратная начинка

Сердцем роутера является RISC-процессор Intel FWIXP425BD, работающий на частоте 533 МГц. Установлены 4 микросхемы оперативной памяти Hynix HY57V561620CT-H объемом 32 Мб каждая, работающие на частоте 133 МГц. В качестве ПЗУ используется чип Intel JS28F320 объемом 4 Мб. Имеется также встроенный кардридер формата CF, в который уже установлена карта на 128 Мб памяти. Интегрированный коммутатор построен на базе одночипного кристалла Realtek 8309B (9-ти портовый свитч с поддержкой функций QoS, VLAN и выделенным DMZ-интерфейсом). Для каждого WAN-порта распаяно по отдельному Fast Ethernet контроллеру Realtek RTL8100B. На плате также распаян Ultra ATA/133/PCI – ATA/ATAPI контроллер Promise PDC20275 и имеется неиспользуемый слот для mini-PCI карт.

Функциональные возможности

Главной изюминкой модельной линейки файрволов D-Link DFL является очень удачный подход к реализации web-управления. В основе лежит принцип создания глобальных объектов-переменных, которые становятся доступными во всех разделах меню. То есть, к примеру, мы задаем IP-адрес на WAN1-интерфейсе и это значение сразу сохраняется как wan1_ip, после чего его можно использоваться для создания правил фильтрации или политик маршрутизации. Это довольно сильно экономит время и делает процесс настройки роутера более наглядным.

Данный файрвол обладает богатой функциональностью. Наличие двух WAN-интерфейсов позволяет подключать сразу два канала во внешний мир, используя их одновременно в режиме load-balance или же поочередно в качестве link-backup. Интерфейс DMZ также конфигурируется независимо от LAN-сегмента. Из средств VPN доступно создание IPSec/PPTP/L2TP туннелей, а также есть PPPoE-клиент. Поддерживается динамическая маршрутизация с использованием протокола OSPF. Корректная настройка встроенного VPN-клиента позволяет использовать данный файрвол совместно с любыми интернет-провайдерами, что зачастую невозможно с более дешевыми роутерами SOHO-класса из-за особенностей организации пользовательского доступа с использованием протоколов PPTP/L2TP.

Функции безопасности усилены благодаря использованию механизма обнаружения и предотвращения вторжений (IDP/IPS). Обновление базы сигнатур может производиться как вручную, так и в автоматическом режиме. Присутствует тут и возможность ограничения полосы пропускания Traffic Shaping. Также в данном файрволе реализована фирменная технология ZoneDefence, которая при совместном использовании с коммутаторами серии xStack позволяет обнаруживать в сети станции, генерирующие потенциально опасный трафик и автоматически изолировать их.

Методика тестирования

Для тестирования проводного сегмента использовался программный продукт NetIQ Chariot и скрипт Throughput с передачей пакетов максимального размера. На двух станциях устанавливались так называемые endpoint-программы, затем в консоли NetIQ Chariot запускался скрипт генерации трафика. Все тесты проводились при использовании прошивки версии 2.11.

1. При тестировании пропускной способности WAN-LAN одна из станций подключалась к одному из портов свитча (интерфейс LAN), а вторая - к WAN-порту. Таким образом, мы получали пиковую пропускную способность для WAN-интерфейса (также ее можно называть скоростью NAT). Скорость тестировалась как в режиме однонаправленной передачи (направления LAN-WAN и WAN-LAN), так и в режиме полного дуплекса (fdx).

2. Поскольку файрвол может выступать в качестве PPTP-сервера, мы также измерили пропускную способность в этом режиме. Для подключения к серверу использовался встроенный в Windows XP клиент. Скоростные показатели снимались в режиме без применения компрессии и шифрования данных.

3. Так как в маршрутизаторе реализована поддержка работы с VPN-туннелями по протоколу IPSec, мы решили измерить его пропускную способность при активации данного режима. Для этого мы настроили IPSec-туннель между двумя одинаковыми D-Link DFL-800, а к LAN-портам каждого из них подсоединили рабочие станции. Применялся алгоритм шифрации трафика 3DES/MD5. Использование двух одинаковых роутеров для теста обусловлено минимизацией возможного влияния внешних факторов. Все измерения по-прежнему проводились с помощью NetIQ Chariot.

4. В качестве дополнительного исследования мы проверили D-Link DFL-800 на уязвимости со стороны WAN-интерфейса с помощью программного продукта Tenable Nessus.

Результаты тестов

Пропускная способность NAT находится на стабильно высоком уровне. В направлении LAN-WAN она составляет 73,09 Мбит/сек, в сторону WAN-LAN - 88,35 Мбит/сек, а при полнодуплексной передаче - 94,14 Мбит/сек. Производительность PPTP-сервера также находится на весьма высоком уровне. Однако смущает, что при передаче из сегмента LAN в WAN скорость вдвое меньше, чем в обратную сторону. В направлении LAN-WAN она составляет 35,16 Мбит/сек, в сторону WAN-LAN - 71,78 Мбит/сек, а при полнодуплексной передаче - 75,21 Мбит/сек. Что касается скорости IPSec-туннеля, то мы ожидали больших результатов. При передаче LAN-WAN скорость составляет 19,26 Мбит/сек, в обратную сторону - 22,61 Мбит/сек, при одновременной передаче в оба направления - 23,06 Мбит/сек. Примерно такие же показатели были и у младшей модели – D-Link DFL-210. Tenable Nessus не выявил серьезных уязвимостей у роутера со стороны WAN-интерфейса, что говорит о его сравнительно хороший защищенности.

Конкуренты

ZyXEL ZyWALL 35 EE

Очень близкий по функциональности аналог от компании ZyXEL, также оснащенный двумя WAN- и четырьмя LAN-портами. Сам производитель заявляет о пропускной способности IPSec-туннеля в 30 Мбит/сек. Как и у D-Link DFL-800, в этом файрволе присутствуют системы обнаружения вторжений IDP и антивирусная защита, причем сигнатуры обновляются совместно с Лабораторией Касперского. Цена на устройство составляет 650-700$.

NETGEAR ProSafe VPN Firewall 200 FVX538

Топовый продукт от компании NETGEAR. В наличии также 2 WAN, 8 LAN и в дополнение к этому еще 1 гигабитный LAN-порт. Файрвол построен на полностью идентичном процессоре Intel IXP425, а вот оперативной памяти вдвое меньше – 64 Мбайта. В документации к устройству фигурируют следующие значения пропускной способности: 91 Мбит/сек для NAT и 60 Мбит/сек для IPSec с использованием 3DES-шифрования. И это при цене порядка 400-450$.

Выводы

Итак, мы познакомились с файрволом D-Link DFL-800. Можно с уверенностью сказать, что его главный плюс кроется в богатой функциональности и довольно простом, понятном и логичном процессе настройки. Скоростные характеристики также находятся на хорошем уровне, однако не бьют рекордов и вполне типичны для устройств подобного класса. Что касается ценового фактора, то D-Link DFL-800 и здесь чувствует себя вполне уверенно. Подытоживая все сказанное, можно смело рекомендовать данный файрвол к применению в небольших компаниях для организации защищенного соединения с внешним миром или удаленными офисами.

Обсуждение статьи

Guest guest@gameland.ru Отправлено: 18.12.2008 21:14:26

RE: Обзор файрвола D-Link DFL-800: средний класс повышенной скорости
Все хорошо, только в обзоре не упомянуто, что и как настраивается, да и как работает... Тотже Хухель имеет дырдочку в FW в виде отсутствия сборки прикладных пакетов для определения атаки или обнаружения вирусов... В D-Link не верю, ничего путнего пока не выпустили, кроме полусырых продуктов, в которых много заявлено, но реализовано неправильно, так что лучше бы и не вставляли. Возьмите на тестирование FVX538 или даже 124 и посмотрите, чем отличается. А то по спецификации - написано много, а как работает не проверяем. Да еще одна болезнь D-Link`ов - ка реагирует на краткосрочные провалы питания... Рекомендую проводить очные сравнения оборудования - более информативные и объективные показаели получаем, да и поглубже нужно копать, а то только вопросами производительности такие машины нельзя сравнивать... Спасибо

Guest guest@gameland.ru Отправлено: 19.12.2008 22:38:58

RE: Обзор файрвола D-Link DFL-800: средний класс повышенной скорости
Вы считаете, что NETGEAR FVX538 можно ставить в пример D-Link'у?

Guest guest@gameland.ru Отправлено: 28.01.2009 17:59:34

RE: Обзор файрвола D-Link DFL-800: средний класс повышенной скорости
Классная железка использую DFL-800 и DFL-210. Практически нет косяков(что странно для продукции Dlink :) ) и постоянно расширяемый функционал. Очень много функций, удобное управление. Аналогов по цене и функционалу НЕТ.

Guest guest@gameland.ru Отправлено: 16.04.2009 16:12:08

RE: Обзор файрвола D-Link DFL-800: средний класс повышенной скорости
Геморойная хреновина - пришлось самому писать под нее софтину по подсчёту трафика, а резать трафик она так и не умеет

Guest guest@gameland.ru Отправлено: 02.05.2009 19:26:47

RE: Обзор файрвола D-Link DFL-800: средний класс повышенной скорости
Хорошие аппараты. Гибкие и продуманные.
Не сочтите за рекламу, но трафик с них вполне считается - http://www.raresoftware.ru/products/lan/dfltc

Guest guest@gameland.ru Отправлено: 16.03.2010 1:56:23

RE: Обзор файрвола D-Link DFL-800: средний класс повышенной скорости
а что по поводу не импользуемого mini-pci слота? может его все таки можно использовать?

Guest guest@gameland.ru Отправлено: 16.04.2010 12:48:03

RE: Обзор файрвола D-Link DFL-800: средний класс повышенной скорости
скачиваем последнюю прошивку и весь заявленые функционал появляется.если не получается настроить - курим маны.софтина по подсчету трафика написана и её можно приобрести

Guest guest@gameland.ru Отправлено: 29.09.2010 11:06:31

RE: Обзор файрвола D-Link DFL-800: средний класс повышенной скорости
As you know, Puma shoes and jerseys are word -class international brands, the quality of puma is guaranteed, with the develop of puma company technology, more and more series puma shoes and jersey was come on market,, Zapatillas puma, calzoncillos calvin klein are all popular in the market.feiduhuilan

Naruto, Sailor Moon and Velvet are all well-known in Asia,a lot od young poeple are crazy on this cartoon and playing cosplay.,naruto costumes, sailor moon costume, velvet cloak became the most popular costume among the youth.

Aidehadi (ed hardy clothing) designis known bold street fashion trend : the back pocket of jeans is decorated with full-color embroidery or crystal, tiger, or a rose pattern printed on sexy swimsuits and even children's clothing clothes rack have butterflies, bulldog tattoo designs. Aidehadi (ed hardy t) is not only popular among most young people,but also was loved by Hollywood . Britney Spears, Paris Hilton, David Beckham, Ewan McGregor, Usher ...... in (Ed Hardy) store through the wall of a collection of many Aidehadi (Ed Hardy) Hollywood stars photo, singer Madonna is still the largest (Madonna) photos. 2008, Aidehadi (Ed Hardy) invited King of Pop Michael Jackson (Michael Jackson) co new fashion, which caused a sensation.

Guest guest@gameland.ru Отправлено: 11.10.2010 5:00:06