Connect with us

technokrata

Teszteltük a D-Link DFL-260 szélessávú útválasztót

Dotkom

Teszteltük a D-Link DFL-260 szélessávú útválasztót

Cikkünk szerzője megvizsgálta a D-Link DFL-260 szélessávú útválasztóval egybeépített vállalati tűzfalat. A készülék biztonságosan és szabályozottan engedi ki a vállalkozás gépeit a világhálóra, ahogy ez elvárható a márkás gyártó készülékétől.

A D-Link DFL-260 szélessávú útválasztó az internetszolgáltatótól kapott nyilvános ip-n keresztül végez címfordítást (NAT) a belső hálózat számára, erős tűzfalfunkciókkal kiegészítve mindezt. Támogatja az összes jellemző szélessávú kapcsolódási módot (adsl, kábel), a belső hálózat irányába pedig tartalmaz egy dedikált DMZ-portot a kívülről is elérhető gépek számára, valamint található még rajta négy lan-kapu. Jogos a kérdés, hogy miért van szükség négyre, mivel általában az ilyen jellegű tűzfalakon a belső hálózatnak egyetlen portot használnak. A válasz az, hogy az eszköz minden kaput önálló vlan-ként tud kezelni, amelyek között az átjárás szabályozható.

A menedzselhetőség területén az eszköz a szokásosat nyújtja: jól kezelhető webfelület áll rendelkezésre, ezenkívül a soros porton vagy az SSH-protokollon keresztül lehet a szöveges terminált elérni. A berendezés képes a beállított eseményekről e-mailben riasztást küldeni, a mindenre kiterjedő rendszernapló ma már alapszolgáltatás. A főnökség elkápráztatására színes-szagos online-statisztikák kérhetők az eszköz állapotáról, terheltségéről, a használt sávszélességről és az egyes gépekről, illetve a felhasználók által nyitott internetkapcsolatokról is. Ez a legtöbb esetben elegendő a hálózat karbantartásához. Az eszköz rengeteg biztonsági szolgáltatással rendelkezik, és a fejlesztők nem feledkeztek meg a felhasználó-, sávszélesség- és hozzáférés-szabályozásról sem.

A szokásos, külső Radius hitelesítő kiszolgáló használata mellett az eszköznek van egy saját, legfeljebb 150 felhasználót kezelő helyi adatbázisa is. A felhasználókat csoportokba szervezve az egyes csoportokhoz különböző korlátozások és engedmények rendelhetők. A lehetőségek az egyszerű ip-korlátozástól kezdve a webes hozzáférés szabályozásáig terjednek. Megoldható például a manapság inkább már csak korlátozásokhoz használt proxykiszolgáló kiváltása is: a készülék képes a http-portokon áthaladó forgalom autentikációjára, azaz név és jelszó megadásához köthető az internetezés. Erre egyébként más protokollok esetén is van lehetőség. Minekutána az eszköz pontosan tudja, hogy melyik felhasználó használja a netet, személyre szabható módon korlátozható a weblapok elérhetősége.

A webes tartalomszűrés is segít megakadályozni a nem kívánt oldalak elérését. A D-Link DFL-260 esetében a hagyományos, url alapú korlátozás helyett az oldalak kategorizálásával működik: az eszköz minden kimenő url esetén a weben található tartalomelemző kiszolgálókhoz fordul, amelyek megmondják, hogy az adott url milyen típusú (játék, hír, kereső, szex és a többi). Az egyes hozzáférési szabályoknál megadható, hogy milyen tartalomtípusra legyenek érvényesek, amivel a komplett weblapok tiltása és a tiltólista naprakészen tartása helyett egy dinamikus tartalomszabályozó rendszerrel szabályozható az alkalmazottak netezése.

A fentieken kívül alkalmazhatók a hagyományos tűzfalszabályok is, amelyekkel tcp/ip szinten szabályozható a forgalom: azaz hogy melyik alhálózat, melyik gép, milyen kapcsolaton keresztül milyen más hálózatokat érhet el. Szabályozható a porttovábbítás is, megtalálható a hagyományos url-szűrő, egyszóval minden, ami a korábbi D-Link-modelleknél és más gyártóknál is megszokott. Lehetőség van a DHCP-továbbítás (relay) beállítására is, amelynek az a lényege, hogy az eszköz DHCP-kiszolgálóként viselkedik, de másik külső vagy belső DHCP-szervertől veszi át az adatokat.

Az eszközt úgy is be lehet állítani, hogy a demilitarizált zóna (DMZ) tartalék portként működjön. Ennek segítségével hibatűrő topológia alakítható ki két tűzfal alkalmazásával: mindkét tűzfal csatlakozik a belső hálózathoz és az internethez is, alapesetben a forgalom az elsődleges tűzfalon keresztül halad át, ám ha az valamiért leáll, a másodlagos átveszi a helyét. A két tűzfal beállításai szinkronban dolgoznak a dmz-porton keresztül, és folyamatosan monitorozzák egymást, az esetleges kiesést tizedmásodperces nagyságrendben érzékelik és ennyi idő alatt át tudják venni egymás szerepét.

A vlan-ok olyan alhálózatok, amelyek az egyetlen közös fizikai hálózatot logikailag bontják fel, azaz az összekapcsoló eszköz határozza meg, hogy a hálózati adatforgalom merre haladhat. A hálózat egyes részlegeit tehát úgy tudjuk szétválasztani egymástól, hogy bizonyos gépek bizonyos jogosultsággal mégis látják más „hálózatok” gépeit. Ebben különbözik a fizikailag szétválasztott alhálózatoktól – azok messze nem ilyen rugalmasak.



Szólj hozzá!

További Dotkom

Technokrata a Face-en

Tesztek