Netgear ProSafe FVS318 VPN 防火墙为中小企业提供了低成本高可靠的网络接入方案,支持多种接入方式,具有灵活的防火墙策略设置功能;日志记录功能,内置完全状态包检测(SPI)防火墙,拒绝服务(DoS)攻击保护,具有关键字过滤功能,可过滤网址亦可进行内容可滤。从设备名称可以看出,FVS318也是一款VPN接入设备,最多支持8路并发的VPN隧道,可为分支办公室和移动办公职员提供远程接入服务。
FVS318的前面板设计非常简洁,指示灯从左至右依次排列为PWR,TEST,INTERNET,LOCAL,在这里只说一下TEST指示灯,查阅安装手册,发现此指示灯的作用是显示设备的工作状态,FVS318从开机到就绪状态整个过程大约需要17秒左右,在此期间,TEST灯处于长明状态,当设备处于就绪状态后,TEST灯熄灭,如果开机2分钟后TEST灯依然处于长明状态,则说明FVS318发生了故障。
FVS318的背面,最左侧是用来连接地线的,因为FVS318使用的是外部“电源适配器”供电,无法为设备提供地线接入,用户如果有需要,可以自行连接地线。 Factory Defaults 按扭,用于手动将设置恢复到默认状态,FVS318上的这个按扭设计得有点不够隐避,用户不需借助任何工具也可以将其按下,这种设计可能会有些问题,尤其在移动设备时,可能会发生误按的情况,而且Factory Defaults 按扭也没有设计延时机制——按下即生效,这也算是FVS318的一点不足。 其它部分依次为8个10/100Mbps局域网接口,1个10/100Mbps WAN(INTERNET)接口,12VDC(直流)1.2A电源适配器插口,以及供电开关。
FVS318的侧面,两侧采用栅栏设计,保障了良好的散热,在上图中的右上角,我们可以看到一个“锁”标志,没错,我们可以使用笔记本锁将FVS318锁住。由于FVS318的体积很小,只有3.5 x 25.3 x 18.1CM,这样的小个头,很多用户可能会将其固定在墙上~
在这里小编再多说一说FVS318的做工,用料很足!铁皮很厚!周身为全金属外壳,没有任何塑料部件,异常坚固,适用于“各种”用途~
FVS318标配的12V直流电源适配器,各位同学注意看它的插头,呈“八”字状,这样插在插座上时会是个什么效果?——“独占效果”。这样设计有它的好处,插接在如下图中的“线板”上时虽然牺牲掉了一个孔位,但很稳固,而在某些场合可能也会因此带来一些麻烦。
FVS318的二层和三层交换芯片均采用REALTEK的产品,二层交换芯片型号是RTL8309SB,三层交换芯片型号是RTL8650B,内存容量16M,ISSI颗粒,型号是IS42S16800A,闪存容量2M,Macronix颗粒,型号是29LV160CBTC-70G。 Basic Settings
FVS318的“首页”,左侧是功能树状图,中间是每项功能展开后的具体设置页面,右边是帮助文档,与其它网件产品一样,全英文操作界面。 在Basic Settings页面中,我们可以看到FVS318支持多种宽带接入方式,包括小区宽带接入(以太网方式),ADSL接入(PPPOE方式),支持修改WAN端口的MAC地址,在某些网络中,ISP会将分配给用户的IP地址与特定设备的MAC地址进行绑定,限制用户随意更换宽带接入设备,FVS318提供了修改WAN端口MAC地址功能,可以轻易突破这一限制。 Security
FVS318支持自定义日志项目,用户可以有选择的记录系统事件,具体包括:已知DOS攻击和端口扫描;访问被禁止的网址;路由器管理条目(开机,系统时间同步,登录等);网站及新闻组访问记录;本地PC对路由器的访问;入站及出站流量记录。FVS318提供了丰富的日志记录功能,但在产品手册中同时也建议用户有选择的记录实际需要的系统事件,不然日志的体积会过于宠大。如果用户使用Syslog Server采集系统事件,也可以在此处配置。
FVS318提供了基于关键字的内容过滤功能,用户可以借助此功能屏蔽特定的网址,小编填入了一个简单的关键字,打开两个网址,这两个网址中均含有“PC”这个键字,果然是杀无赦,看来为了避免“滥杀无辜”,还是应当把关键字尽量设置得具体一些。
被阻拦网址的LOG记录,此时的网页无法打开,在IE窗口中提示"Blocked by NETGEAR"。
在某些情况下,用户可能需要过滤掉网页中的部分内容,而非整个网页,这样做的好处有很多,例如可以很大程度上保护网络的安全,阻断恶意程序在我们上网时被下载到本地,小编将“JPG”作为过滤关键字,在上图中的日志中可以看到,这部分内容被过滤掉了,但网页还是可以被打开的。相同的方法,用户可以将EXE、BAT、COM、SCR、DLL等设置为关键字,这样用户在上网时会变得安全很多。
FVS318的出站服务默认规则是允许所有出站请求,用户可以根据具体需求制定服务,并应用规则,例如小编设定了两条名称为QQ的规则,通过限制端口的策略,阻制QQ出站请求。在灵活性上,用户可以选择规则持续性有效或时段性有效。接下来同学们请看出站服务的第三条规则,这条规则的意思是持续性的禁止用户对IP 192.168.11.198的HTTP访问,当然用户也可以设置该策略时段性有效。下图是针对第三条规则的LOG记录:
由于FVS318的访问策略是基于端口(port)的,通过这种方式,管理者可以设置这样的规则,开放用户访问服务器A上的WEB服务,但禁止访问服务器A上的FTP服务。 FVS318的入站服务默认规则是禁止所有入站请求,但在一些网络环境中,内网可能运行着例如WEB、FTP等服务器,管理者可以设置入站服务规则,开放指定端口,如第一条入站规则,来自INTERNET的HTTP请求,将通过开放的端口,直接被发送至内网WEB服务器 192.168.0.210。在灵活性上,用户可以选择规则持续性有效或时段性有效,也可以通过限制WAN IP,过滤外网用户。
在网络资源管理上,用户往往会提出这样的需求:默认禁止所有用户访问INTERNET,上网权限只对特定用户开放,在这种情况下就需要对策略进行排序,如上图中的出站策略,因为默认情况下,FVS318允许所有出站请求,如果想改变这一默认规则,就需要建立一条禁止所有出站请求的规则,在这里小编建立了一条名称为ALL的服务,包含所有端口号(1-65535),然后对该服务设置规则——规则2,接下来小编又建立了规则1,在进行了这样的排序后,便可以实现限制所有用户,开放特定用户的目的。 设置DMZ服务器及是否响应来自INTERNET的PING请求功能也在此页面中。
所谓Services关注的是端口设置,在设置完不同的条目后,配合之前介绍的Rules规则,可以实现对网络资源的灵活管理。 在这里小编要说一下FVS318的不足,如果一条SERVICE记录被定义了Rules,就是说该SERVICE被引用了,那么管理者便无法对此SERVICE进行修改,即使暂停相关Rules生效也无法修改SERVICE内容,必须删掉相关Rules后才能进行修改,然后再重新建立Rules,这多少会给策略设置带来一定不便。
Maintenance
Diagnostics页面提供了简单的网络诊断功能,包括Ping , Trace an IP address,这两个命令效果等同于WINDOWS下的 Ping 和 Tracert。FVS318还提供了一个比较有趣的功能——查找INTERNET域名的IP地址。在这个页面中用户可以手动重起FVS318,也可以设定时间,每天某一时刻自动重起FVS318。 Advanced
FVS318远程管理设置页面。远程连接到FVS318时,使用的连接类型是https,而非http。 性能测试,小编使用的是IxChariot,首先采用单pair测试,测试脚本选用High Performance Throughput.scr 。测试结果让小编感到诧异,只有10.465Mbps,难道是哪里出了问题?小编又试着建立了一个IIS服务器,看看实际应用如何——在客户端下载大体积文件,速度果然是1MB左右。在向网件公司的技术人员确认后得知,FVS318的三层吞吐量确实是11.2Mbps,与小编的测试结果非常接近。
在测试完大包的吞吐量后,小编测试的是小包吞吐量,因为在应际应用环境中,小包所占的比例是相当大的,依然使用IxChariot,小编建立了一个31 pairs的脚本集,修改每个pair产生不同体积的小包,pairs组成比例参照的是在我们公司一台交换机上所取得的数据,该设备是公司网络中的一台接入交换机。这样做的目的是为了用尽量直实的流量组成来测试设备的吞吐量。
总结:FVS318的设计亮点主要表现在其防火墙策略设置方面,用户可以灵活的设置服务规则(Rules),实现对入站及出站流量的有效管理,基于关键字的过滤机制,管理者可以封堵任意非法内容被浏览,同时管理者还可以对系统日志的采集进行定制,并配合邮件通知功能,方便了解网络的运行状况。FVS318还是一款提供了VPN接入功能的网络设备,最多支持8路并发的VPN隧道,可为分支办公室和移动办公职员提供远程接入服务,这方面的评测小编将在稍后推出。同时FVS318的不足还是非常明显的,没有QoS,VLAN等内网管理功能,全英文操作界面也会给使用者带来一些不便,再有就是它的三层吞吐量,这点让小编非常费解,虽然FVS318定位是款低端产品。 |
正在阅读:简化网管 实测网件千元宽带接入路由简化网管 实测网件千元宽带接入路由
2009-01-12 09:51
出处:PConline原创
责任编辑:gaohongjun
