D-Link DFL 1600

Seria D-Link NetDefend to dedykowane zapory sieciowe, wyposażone w szereg interfejsów sieciowych i integrujące wirtualne sieci prywatne, systemy wykrywania intruzów i zapobiegania włamaniom (IDP/IPS), dokładne zarządzanie przepustowością, połączenia zapasowe WAN, dynamiczne trasowanie oraz technologię ochrony punktów końcowych Zone Defense.

Seria D-Link NetDefend to dedykowane zapory sieciowe, wyposażone w szereg interfejsów sieciowych i integrujące wirtualne sieci prywatne, systemy wykrywania intruzów i zapobiegania włamaniom (IDP/IPS), dokładne zarządzanie przepustowością, połączenia zapasowe WAN, dynamiczne trasowanie oraz technologię ochrony punktów końcowych Zone Defense.

D-Link DFL 1600

D-Link DFL 1600

D-Link DFL 1600

Producent: D-Link

Zalety: wysoka wydajność; elastyczność interfejsów sieciowych; ciekawie rozwiązane zarządzanie konfiguracją; wzorcowa realizacja usług VPN

Wady: mało intuicyjna konfiguracja systemu

Cena: 2974 euro netto (sugerowana cena detaliczna)

Zapory ogniowe D-Link NetDefend pomyślnie przeszły test rozwiązań bezpieczeństwa dla sieci korporacyjnych przeprowadzany przez ICSA Labs. Rodzina tych urządzeń zdała serię testów związanych z instalacją i konfiguracją, ustalaniem polityki bezpieczeństwa, logowaniem, testowaniem zdarzeń czy bezpieczeństwem połączeń. Urządzenia zostały wyróżnione za unikalną funkcjonalność interfejsu administracji przez stronę internetową, pozwalającą administratorowi na bezpieczne przeprowadzanie zdalnej konfiguracji. Możliwości D-Link NetDefend postanowiliśmy jednak sprawdzić sami, testując zaporę ogniową D-Link DFL 1600.

Co na zewnątrz?

Zawartość pudełka jest dość standardowa - DFL 1600, płyta z dokumentacją, kabel Cat5, kabel konsoli oraz kabel zasilający. Od strony oprogramowania otrzymujemy możliwość darmowej aktualizacji oprogramowania oraz darmowej aktualizacji sygnatur IPS przez 3 miesiące. Wysokość 1U i pozostałe wymiary zewnętrzne pozwalają na montaż w szafie typu RACK 19".

DFL 1600 ma duży wyświetlacz na panelu czołowym oraz specyficzny układ przycisków sterujących. Panel przedni dodatkowo zawiera lampki informujące o stanie zasilania i systemu, port konsoli ukryty pod zaślepką oraz 6 portów w standardzie Gigabit Ethernet. Tylny panel wyposażono w gniazdo kabla zasilającego oraz włącznik zasilania - tak potrzebny, a często pomijany w sprzęcie sieciowym. Włączone urządzenie generuje szum, który jednak nie przeszkadza w pracy. Na wyświetlaczu możemy obserwować komunikaty systemowe, związane z uruchamianiem się sprzętu. Gdy zapora jest już w pełni uruchomiona, na wyświetlaczu pojawiają się informacje o dacie i czasie, adresacji IP na poszczególnych interfejsach, czasie pracy, wersji sygnatur i ostatniej aktualizacji, obciążeniu interfejsów (b/s, p/s), wersji systemu. Ten gadżet wygląda atrakcyjnie, ale jego użyteczność jest co najmniej dyskusyjna. Sterowanie wyświetlaniem informacji może zostać przeprowadzone za pomocą wspomnianych wcześniej klawiszy sterujących.

A co w środku?

D-Link DFL 1600

Po pomyślnym zalogowaniu się, ujrzymy interfejs użytkownika podzielony na trzy pola - pasek menu w górnej części ekranu, rozwijane menu z lewej strony ekranu oraz okno główne.

Zapora ogniowa D-Link może zostać skonfigurowana przez przeglądarkę internetową. Uwierzytelnianie przez podanie użytkownika i hasła jest dodatkowo zabezpieczane połączeniem szyfrowanym SSL. W ramach bazy danych użytkowników jest możliwość przypisywania uprawnień do wykonywania określonych czynności konfiguracyjnych. Po pomyślnym zalogowaniu się, ujrzymy interfejs użytkownika podzielony na trzy pola - pasek menu w górnej części ekranu, rozwijane menu z lewej strony ekranu oraz okno główne. Pasek menu zawiera opcje wykorzystywane do diagnostyki, zarządzania konfiguracjami, statystyki oraz pomoc. Rozwijane menu stanowi listę sekcji konfiguracji zapory ogniowej, którą można rozwijać w celu uszczegółowienia opcji. Główne okno zawiera wybrane sekcje konfiguracyjne lub obiekty przeznaczone do modyfikacji.

Zanim nowa konfiguracja zacznie działać, musimy zapisać i aktywować zmiany. Następnie potwierdzamy dokonane zmiany przez ponowne zalogowanie się do systemu. Jeżeli w zdefiniowanym czasie nie uda się ponownie zalogować do systemu, zapora ogniowa przywróci konfigurację sprzed dokonanych zmian. Tak opracowany proces zarządzania konfiguracją uniemożliwia utratę połączenia z urządzeniem, nawet przy błędzie administratora pracującego zdalnie. Administrator może także zarządzać i monitorować zaporę D-Link przez CLI (Command-Line Interface), łącząc się do portu konsoli interfejsem RS232. Konfiguracja urządzenia przez GUI nie jest standardowa. Potrzeba sporo czasu, aby zapoznać się z zasadami tworzenia i wykorzystywania obiektów. Łatwo przy tym o błędy, a wykonanie powiązań dla zaawansowanej konfiguracji jest dość skomplikowane. Wydaje się, że graficzny interfejs użytkownika we wcześniejszych wersjach urządzeń z rodziny DFL był bardziej intuicyjny i zrozumiały.

D-Link DFL 1600

Zone Defense to mechanizm ochrony punktów końcowych, współdziałający z przełącznikami D-Linka serii xStack.

Zapora może pracować w trybie przeźroczystym lub trybie trasowania. Tryb przeźroczysty sprawdza się, gdy potrzebujemy szybko wbudować zaporę w istniejącą sieć. Nie wymaga to żadnych zmian w istniejącej strukturze. Tryb trasowania pasuje do nowych wdrożeń, gdzie zapora będzie służyła jednocześnie jako brama do internetu dla chronionej sieci. Tu z pomocą przychodzą wbudowane funkcje NAT (Network Address Translation) i PAT (Port Address Translation). Każdy z portów Gigabit Ethernet może zostać skonfigurowany jako LAN, WAN lub DMZ. Elastyczność w konfiguracji portów to duża zaleta - pozwala nie tylko na redundancję połączeń, ale i balansowanie ruchem. Deklarowana przez producenta wydajność zapory jest wysoka - DFL 1600 wspiera do 400 000 jednoczesnych sesji, prawie 320 Mb/s maksymalnej przepustowości oraz 120 Mb/s maksymalnej przepustowości z włączoną funkcjonalnością VPN.

Podstawowe funkcje IP pozwalają na wybór obsługiwanych typów połączeń, spośród statycznej konfiguracji IP, PPPoE, PPTP, DHCP klient dla portu WAN, kilku zdefiniowanych ISP. Urządzenie zawiera wbudowany serwer DHCP, ale może przekazywać także komunikaty DHCP przez IPSec. Otrzymujemy możliwość zdefiniowania statycznych tras routingu oraz dynamicznego trasowania za pomocą protokołu OSPF. Dozwolone jest także trasowanie źródłowe. Sekcja usług sieciowych nie wyróżniałaby się na tle konkurencji, gdyby nie wsparcie IEEE 802.1q VLAN Tag. DFL-1600 pozwala na kreowanie polityki bezpieczeństwa oraz indywidualną konfigurację dla znakowanych pakietów przez VLAN Tag.

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200