DFL 700 – hlídací pes vaší sítě

Řešení pro malé a střední firmy nabízí společnost D-link a její DFL 700. Tento

„hlídací pes“ nabízí mnoho důležitých funkcí, které sníží možnost napadení sítě

na minimum. Jeho úkolem je zajistit přesná pravidla komunikace mezi interní sítí

a internetem. Dále zajišťuje služby vzdáleného přístupu do sítě (VPN), provádí

hodnocení a kontrolu obsahu na internetu a v neposlední řadě dokáže řídit šířku

komunikačního pásma vyhrazeného jednotlivým službám. Podívejme se tedy na

jednotlivé funkce blíže.

Hlavní práce firewallu je nastavit pevná pravidla pro komunikaci mezi počítačem

ve vnitřní síti a internetem. Jednotlivé programy a služby počítače komunikují

na různých portech. Takových portů jsou stovky a pokud není počítač za

firewallem, jsou volně dostupné komukoliv na internetu. Když se objeví chyba v

některém z programů nebo v operačním systému, neštěstí je hotovo. Výsledkem je

pak například proniknutí a spuštění nebezpečného kódu, který může na počítači

vykonat cokoliv. Tomu se snaží firewall zabránit. Pro komunikaci se mohou

nastavit pravidla, která uzavřou všechny porty a povolí komunikaci jen na těch

vybraných. Například prohlížení webových stránek, které pracuje na portu 80,

nebo stahování a odesílání pošty na portech 110 a 25. DFL 700 je vybaven třemi

rozhraními. První pro lokální síť s označením LAN, druhé (DMZ) pro připojení

serverů a třetí (WAN) pro připojení k internetu. Obecně platí, že standardně by

mělo být vše zakázáno. Teprve až se objeví pro danou službu potřeba, měla by být

po zvážení povolena.

Konfigurace pravidel se provádí v prostředí webového prohlížeče z vnitřní sítě.

Mimo to je možné využít i sériový port a prostředí Telnetu. Po nastavení

rozhraní WAN a informací o TCPIP parametrech je potřeba určit podmínky

komunikace mezi jednotlivými zónami. Při ní může docházet k překladu adres NAT,

nebo vše funguje bez ní a jde o čisté routování. Firewall provádí s

procházejícími pakety tři základní operace. Jde o zahození paketu bez další

akce, následuje odmítnutí – což je vlastně zahození s tím, že počítač, který

požadavek vyslal, je o zahození informován. Poslední akcí je propuštění paketu.

O tom, co se s paketem stane, rozhodují nastavená pravidla. Ta sledují jak

počítač, na který požadavek směřuje, tak službu, pro kterou je komunikace

určena. Pokud pravidla říkají, že daný počítač nemá komunikaci na daném portu

povolenu, jsou pakety zahozeny anebo odmítnuty. Počítače v LAN i DMZ jsou

chráněny, ale pravidla se liší. V podstatě se dá říci, že DMZ je zóna, ve které

by měly být počítače, jež aktivně poskytují nějaké služby, například www nebo

poštovní servery, LAN by pak měla být určena počítačům běžných uživatelů.

DFL 700 je vybaven funkcí ověřování identity uživatelů pomocí služby RADIUS. To

znamená, že uživatel se na počítači musí nejprve autorizovat, než je mu

komunikace povolena. Další velmi praktickou funkcí je nastavení pracovního času.

Firewall potom může například v pracovní době zakázat komunikaci na servery,

které slouží pro zábavu. Naopak po pracovní době může tuto komunikaci povolit.

Obsah komunikace může být kontrolován i podle druhu obsahu. Například je možné

zakázat určité typy souborů, aby se předešlo infiltraci nebezpečných kódů. Velmi

dobře je zpracována funkcionalita VPN pro zajištění bezpečné komunikace buď mezi

dvěma sítěmi LAN, nebo vzdáleným uživatelem a sítí. Šifrování probíhá protokolem

DES, 3DES a AES a firewall zvládne až 200 tunelů současně při celkové

propustnosti 20Mb/sekundu.

Mezi další funkce patří integrovaný DHCP server přidělující adresy počítačům a

DNS relay, které zaručuje přeposílání DNS požadavků z vnitřní sítě do internetu.

Samozřejmostí je možnost zálohovat konfiguraci celého zařízení do souboru a její

opětovné obnovení. K monitorování provozu slouží jak integrované statistiky pro

jednotlivé zóny, tak výstup do log souboru, který zaznamenává veškeré události.

Firewall D-link DFL 700 je zařízení vybavené mnoha funkcemi a poslouží jak pro

připojení firemní sítě, tak pro zajištění bezpečné komunikace mezi firemními

pobočkami nebo cestujícími uživateli. Pro zkušenějšího administrátora není

problém v přehledném a příjemném prostředí webového klienta požadované služby

nastavit. Co se výkonu týče, maximum 10 000 současných spojení je dostatečné i

pro velmi aktivní komunikaci firmy využívající odhadem až 150 počítačů. Při ceně

14 450 Kč bez DPH jde o zajímavý produkt, který lze jen doporučit.



Firewall DFL 700



+ přehledná konfigurace

+ podpora VPN

+ filtrování obsahu

- pouze jedno rozhraní DMZ



K recenzi poskytla firma:

D-LINK, Klimentská 46, Praha 1

www.dlink.com

Cena: 14 450 Kč (bez DPH)