D-Link DFL-800 Aby vaše sítě nebyly děravé

2. 11. 2006

Sdílet

Společnost D-Link je známá výrobou nejrůznějších produktů které souvisejí s komunikacemi. Proto je také jedním ze segmentů bezpečnost datových přenosů. Podívali jsme se na jeden z jejích výrobků - na bezpečnostní řešení DFL-800. Je určeno pro ochranu připojení firemní sítě k internetu.

Tato kategorie produktů se označuje jako "Security Appliance", neboli bezpečnostní zařízení. Sdružuje v sobě několik funkcí a nahrazuje několik samostatných produktů.
Nejprve se podívejme na provedení DFL-800. Jde o solidně zpracovanou skříň z kovu, určenou jak pro umístění někde pod stolem, tak pro montáž do stojanu v serverovně. Je vybavena externím napájecím zdrojem a řadou konektorů. První dva jsou určeny pro připojení vnější sítě, například internetu, a jsou označeny WAN 1 a 2. Další ethernetový port je vyhrazen pro takzvanou DMZ - demilitarizovanou zónu. Do ní se umisťují zejména servery, například webový nebo poštovní. Posledních sedm portů je pro připojení počítačů v lokální síti. Posledním konektorem je sériový port RS-232, který slouží k monitoringu provozu pomocí terminálu.
Nastavení a správa je řešena v prostředí webového prohlížeče a vývojáři zaslouží velkou pochvalu. Ovládání je velmi přehledné a rychlé. Pro začínající uživatele je připraven průvodce základní konfigurací. S jeho pomocí je možné přístroj snadno nastavit a zapojit do ostrého provozu. Podívejme se nyní, jaké funkce DFL-800 nabízí.

Firewall
První a velmi důležitou funkcí je ochrana komunikace mezi jednotlivými zónami sítě. Tak se označuje vnější síť, DMZ a vnitřní síť. Firewall je odděluje a určuje pravidla, za nichž jsou data mezi jednotlivými zónami sdílena. Vývojáři D-Linku připravili pro uživatele v manuálu krátký přehled základních principů fungování firewallu. Tedy před čím firewall může chránit a co naopak přes firewall projde. Obecně rozšířený pocit totiž je, že firewall vyřeší vše. Bohužel to není pravda a jeho možnosti jsou omezené. Proto se také v současné době kombinuje více bezpečnostních řešení do jednoho zařízení. Firewall totiž pouze určuje, ze kterých adres vnější zóny na které adresy v jiných zónách se budou data přenášet. Ještě je možné stanovit, jaké komunikační porty budou použity a které jsou zakázané. Firewall provádí i překlad adres, takzvaný NAT. To se využívá pro skrytí skutečných adres počítačů vnitřní sítě.

VPN
Další funkcí je brána VPN. Slouží k vytvoření bezpečného, šifrovaného spojení mezi vzdáleným počítačem a tímto zařízením. V případě DFL-800 je podporováno vytvoření až 300 spojení, která mohou být zabezpečena šifrováním DES, 3DES, AES, Twofish, Blowfish a CAST-128. Pro autorizaci uživatelů slouží interní databáze nebo externí autorizační server RADIUS. Zařízení dokáže samo udržovat seznam až 500 autorizovaných uživatelů.

IDS
Tato funkce zajišťuje prověřování dat, která přes zařízení procházejí. Díky databázi signatur dovede odhalit a zablokovat desítky druhů útoků. Aktualizace databáze signatur je ale dostupná až po zaregistrování uživatele na webu D-Linku. Bez ní a se starými signaturami je bohužel ochrana poloviční. Ochrana umožňuje blokovat applety Javy, JavaScript, VB Scripty, cookies nebo objekty ActiveX. Co možná bude uživatel ve srovnání s jinými produkty postrádat, je antivirová ochrana. Ta by zvýšila bezpečnost počítačů ve vnitřní síti.

Řízení šířky pásma
Tato funkce dovoluje určovat, kolik z celkového přenosového pásma může uživatel nebo daná služba využít. K dispozici je možnost velmi přesného nastavení a pravidel, jak se přenosové pásmo přiděluje. Lze stanovat maxima, minima, časové závislosti nebo podmínky pro čerpání pásma. Jde o velmi užitečnou funkci, jež administrátorovi dovolí efektivně rozhodovat o použití linky a zabránit jejímu zahlcení nežádaným provozem. Uživatele je možné přidávat do skupin a definovat pro ně pravidla provozu.

Dvě rozhraní WAN
Další z funkcí, které bych rád zmínil, je přítomnost dvou rozhraní WAN. To dovoluje vytvářet velmi spolehlivá spojení pomocí jedné pracovní linky a jedné záložní. Případně mohou pracovat obě linky současně. Díky tomu, pokud dojde k výpadku jedné linky, může provoz pokračovat na druhé.

SLB
Tato funkce dovoluje rozdělit zátěž mezi několik serverů, které se pak navenek tváří jako jeden stroj. Server Load Balancing tak zajistí administrátorovi serverů nepřetržitý provoz, i když na některém ze serverů zrovna dojde k výpadku služby nebo se provádí údržba.

Závěr
Musím konstatovat že D-Link nabízí v podobě zařízení DFL-800 řešení s mnoha funkcemi, které ocení zejména zkušený administrátor. Prvky, o nichž jsme se zmínili výše, naznačují, že zařízení patří do firemního sektoru a pro náročné aplikace. Rozhodně není určeno pro domácí uživatele, pro které je příliš náročné na obsluhu i znalosti. Velmi neobvyklou funkcí v této cenové kategorii je server load balancing a řízení pásma, i VPN brána splňuje nejnáročnější požadavky. Na druhé straně mi během práce chyběla možnost administrace prostřednictvím SSH, které bych u takto vybaveného zařízení očekával. Ale webové rozhraní je velmi dobře zpracované a práce s ním je rychlá a přehledná.

Produkt
D-Link DFL-800 představuje
řešení s mnoha funkcemi, jež
v sobě sdružuje několik bezpečnostních zařízení.


D-Link DFL-800n
+ řízení šířky pásma
+ Server Load Balancing
+ VPN brána
- neobsahuje antivir ani antispam
- nemá SSH
- terminál slouží pouze ke sledování

K recenzi poskytla firma:
D-Link Česká republika, www.dlink.cz
Cena: 18 900 Kč bez DPH

Autor článku