Hardwarové bezpečnostní produkty mohou být pro malé firmy a domácí kanceláře velmi výhodnou volbou. Model DFL-210 z rodiny bezpečnostních produktů NetDefend firmy D-Link, který jsme testovali, přitom nabízí zajímavé možnosti.
Ačkoliv DFL-210 patří v řadě bezpečnostních produktů D-Linku k těm nižším modelům, ale až na nižší hodnoty některých parametrů, odpovídající jeho zaměření na prostředí s menším počtem uživatelů, poskytuje velmi bohatou funkcionalitu srovnatelnou se svými většími sourozenci.
Kromě nezbytného firewallu a VPN totiž nabízí také modul IDS/IPS nebo filtrování URL a obsahu podle klíčových slov, samozřejmostí je také podpora překladu síťových adres (NAT, Network Address Translation), port forwarding atd. Dovoluje blokovat protokoly P2P sítí a instant messagingu a poskytuje celou řadu služeb a funkcí pro směrování v rámci firemní sítě.
Mile nás překvapilo, že DFL-210 nabízí také možnosti traffic shapingu (formování provozu), což oceníte například pokud využíváte VoIP apod. Zajímavá je také možnost load balancingu serverů.
DFL-210 obsahuje jeden WAN port (10/100Base-TX), jeden DMZ port a čtyři LAN porty (10/100Base-TX), přičemž zmíněný DMZ port lze jednoduše nakonfigurovat jako záložní WAN port s funkcí fail-overu.
Zaměření na SOHO odpovídají základní technické parametry: SPI firewall nabízí propustnost teoreticky až 80 Mb/s a podporuje 12 000 souběžných relací. VPN s propustností 25 Mb/s podporuje maximálně 100 tunelů, protokoly IPSec, PPTP a L2TP v režimu klient/server a VPN pass-through. Pro autentizaci lze využít i externí RADIUS server nebo interní databázi až 500 uživatelů.
Firewall D-Link DFL-210 nabízí také možnosti filtrování URL a obsahu, stejně jako IPS.
Počáteční instalaci usnadňuje průvodce, takže by ji měl zvládnout prakticky kdokoliv. Samotné webové uživatelské rozhraní je nicméně poněkud méně uživatelsky přítulné, občas vyžaduje i určité zkušenosti a znalosti z prostředí sítí a bezpečnosti. Také výchozí konfigurace nebyla v některých směrech ideální, například firewall byl nastaven tak, že byl povolen veškerý odchozí provoz.
Modul IDS/IPS byl v aktuální verzi firmwaru znatelně upgradován a nabízí pokročilé možnosti ochrany proti zero-day útokům či DoS. Signatury jsou aktualizovány prostřednictvím placené služby, přičemž tvorba vlastních signatur možná není.
Z hlediska výkonu se nám firewall při testování v prostředí domácí kanceláře osvědčil, dosažená rychlost se pohybovala nad 50 Mb/s, což považujeme za velmi slušné. Ani po zapnutí funkce NAT nedošlo k nijak velkému skoku směrem dolů, což nás příjemně překvapilo. Ke znatelnějšímu zpomalení i o více než 50 % však došlo (i když nijak neočekávaně) po spuštění IPS.
Zásadnější nevýhodu spatřujeme v omezených možnostech práce s logy – DFL-210 nabízí pouze podporu syslogu a je schopen logy dočasně ukládat do své paměti, sám o sobě však přímo práci s logy nedovoluje a nastavení logování je třeba provádět pro každý modul zvlášť. Na druhé straně lze nastavit zasílání varování či oznámení o útoku e-mailem.
Pokud se na D-Link DFL-210 podíváme z perspektivy běžných požadavků, které na firewall klade použití v segmentu malých firem, za svoji cenu nabízí možností více než dost, takže pokud se přenesete přes jeho nedostatky, může být vítanou volbou pro zajištění jedné z klíčových bezpečnostních funkcí.
| D-Link DFL-210 + funkční výbava, IPS, traffic shaping, cena - uživatelské rozhraní, nedostatečné možnosti práce s logy Prodejce: D-Link, www.dlink.cz Cena (bez DPH): 8 176 Kč |
PŘEDPLATNÉ
ČLÁNKY DO MAILU