DFL 700 – hlídací pes vaší sítě

19. 6. 2005

Sdílet

V současné době je již trvalé připojení lokální sítě nebo i domácího počítače k internetu běžnou záležitostí. Bohužel ne každý si uvědomuje, jakému nebezpečí svůj počítač vystavuje. A to nejen vzhledem ke stále se objevujícím chybám v nejrozšířenějším operačním systému nejmenovaného významného producenta softwaru. Roste také počet úmyslných napadení počítačů. Zkrátka bez zabezpečení komunikace představuje připojení k internetu velké riziko.

Řešení pro malé a střední firmy nabízí společnost D-link a její DFL 700. Tento
„hlídací pes“ nabízí mnoho důležitých funkcí, které sníží možnost napadení sítě
na minimum. Jeho úkolem je zajistit přesná pravidla komunikace mezi interní sítí
a internetem. Dále zajišťuje služby vzdáleného přístupu do sítě (VPN), provádí
hodnocení a kontrolu obsahu na internetu a v neposlední řadě dokáže řídit šířku
komunikačního pásma vyhrazeného jednotlivým službám. Podívejme se tedy na
jednotlivé funkce blíže.
Hlavní práce firewallu je nastavit pevná pravidla pro komunikaci mezi počítačem
ve vnitřní síti a internetem. Jednotlivé programy a služby počítače komunikují
na různých portech. Takových portů jsou stovky a pokud není počítač za
firewallem, jsou volně dostupné komukoliv na internetu. Když se objeví chyba v
některém z programů nebo v operačním systému, neštěstí je hotovo. Výsledkem je
pak například proniknutí a spuštění nebezpečného kódu, který může na počítači
vykonat cokoliv. Tomu se snaží firewall zabránit. Pro komunikaci se mohou
nastavit pravidla, která uzavřou všechny porty a povolí komunikaci jen na těch
vybraných. Například prohlížení webových stránek, které pracuje na portu 80,
nebo stahování a odesílání pošty na portech 110 a 25. DFL 700 je vybaven třemi
rozhraními. První pro lokální síť s označením LAN, druhé (DMZ) pro připojení
serverů a třetí (WAN) pro připojení k internetu. Obecně platí, že standardně by
mělo být vše zakázáno. Teprve až se objeví pro danou službu potřeba, měla by být
po zvážení povolena.
Konfigurace pravidel se provádí v prostředí webového prohlížeče z vnitřní sítě.
Mimo to je možné využít i sériový port a prostředí Telnetu. Po nastavení
rozhraní WAN a informací o TCPIP parametrech je potřeba určit podmínky
komunikace mezi jednotlivými zónami. Při ní může docházet k překladu adres NAT,
nebo vše funguje bez ní a jde o čisté routování. Firewall provádí s
procházejícími pakety tři základní operace. Jde o zahození paketu bez další
akce, následuje odmítnutí – což je vlastně zahození s tím, že počítač, který
požadavek vyslal, je o zahození informován. Poslední akcí je propuštění paketu.
O tom, co se s paketem stane, rozhodují nastavená pravidla. Ta sledují jak
počítač, na který požadavek směřuje, tak službu, pro kterou je komunikace
určena. Pokud pravidla říkají, že daný počítač nemá komunikaci na daném portu
povolenu, jsou pakety zahozeny anebo odmítnuty. Počítače v LAN i DMZ jsou
chráněny, ale pravidla se liší. V podstatě se dá říci, že DMZ je zóna, ve které
by měly být počítače, jež aktivně poskytují nějaké služby, například www nebo
poštovní servery, LAN by pak měla být určena počítačům běžných uživatelů.
DFL 700 je vybaven funkcí ověřování identity uživatelů pomocí služby RADIUS. To
znamená, že uživatel se na počítači musí nejprve autorizovat, než je mu
komunikace povolena. Další velmi praktickou funkcí je nastavení pracovního času.
Firewall potom může například v pracovní době zakázat komunikaci na servery,
které slouží pro zábavu. Naopak po pracovní době může tuto komunikaci povolit.
Obsah komunikace může být kontrolován i podle druhu obsahu. Například je možné
zakázat určité typy souborů, aby se předešlo infiltraci nebezpečných kódů. Velmi
dobře je zpracována funkcionalita VPN pro zajištění bezpečné komunikace buď mezi
dvěma sítěmi LAN, nebo vzdáleným uživatelem a sítí. Šifrování probíhá protokolem
DES, 3DES a AES a firewall zvládne až 200 tunelů současně při celkové
propustnosti 20Mb/sekundu.
Mezi další funkce patří integrovaný DHCP server přidělující adresy počítačům a
DNS relay, které zaručuje přeposílání DNS požadavků z vnitřní sítě do internetu.
Samozřejmostí je možnost zálohovat konfiguraci celého zařízení do souboru a její
opětovné obnovení. K monitorování provozu slouží jak integrované statistiky pro
jednotlivé zóny, tak výstup do log souboru, který zaznamenává veškeré události.
Firewall D-link DFL 700 je zařízení vybavené mnoha funkcemi a poslouží jak pro
připojení firemní sítě, tak pro zajištění bezpečné komunikace mezi firemními
pobočkami nebo cestujícími uživateli. Pro zkušenějšího administrátora není
problém v přehledném a příjemném prostředí webového klienta požadované služby
nastavit. Co se výkonu týče, maximum 10 000 současných spojení je dostatečné i
pro velmi aktivní komunikaci firmy využívající odhadem až 150 počítačů. Při ceně
14 450 Kč bez DPH jde o zajímavý produkt, který lze jen doporučit.

Firewall DFL 700

+ přehledná konfigurace
+ podpora VPN
+ filtrování obsahu
- pouze jedno rozhraní DMZ

K recenzi poskytla firma:
D-LINK, Klimentská 46, Praha 1
www.dlink.com
Cena: 14 450 Kč (bez DPH)

Autor článku