正在阅读：封BT封QQ D-Link DI-7200路由新品首测封BT封QQ D-Link DI-7200路由新品首测

　　D-Link DI-7200是专为中小企业、政府机关、教育及科研机构等用户而设计的宽带接入设备，采用多WAN口设计并且具备“上网行为管理”功能。其除了具备多WAN口宽带路由器的基本功能之外，内置的“上网行为管理”功能为企业提供了低成本、易实现的INTERNET访问管理手段。今天为大家介绍的这款DI-7200是D-Link在09年7月份推出的新品，主要面向中小型网络用户，官方标称带机量120台以内。

　　在公司，员工滥用P2P下载、上班时间使用QQ聊天、浏览与工作无关的网站，对于如何规范员工的上网行为，您是否感觉束手无策？借助DI-7200可轻松帮您解决这些问题。

D-Link DI-7200   图　库  评　测  论　坛  报　价

　　DI-7200的前面板布局非常简单，从左至右依次是网络端口、端口指示灯、RESET复位键、系统提示灯和电源指示灯。DI-7200配备了1个10/100Mbps局域网（LAN）口，2个10/100Mbps广域网（WAN）口，2个10/100Mbps局域网/广域网共用端口。在默认配置上，如果用户不对WAN3、WAN4进行参数修改，这两个端口将作为LAN口使用。

 
D-Link DI-7200   图　库  评　测  论　坛  报　价

　　对于小型网络产品来讲，一般采用的均为被动散热方式，DI-7200两侧分布着大面积的散热孔，采用钢壳结构，内置发热量较低的INTEL IXP 266M外理器，这些可以很好地保障DI-7200长时间稳定工作。

WEB访问控制

　　DI-7200主要功能是对上网行为进行管理，支持网址分类过滤、P2P流量过滤、聊天软件过滤等。

IP地址组列表

　　用户可以将一个或者多个IP地址或IP段划分为一个地址组，在各种管理功能中可以进行调用。DI-7200支持每一个地址组最多设置10个不同的IP地址或IP段，这对于中小型网络来讲已经足够。这种“先定义后引用”的机制，在进行复杂配置时更灵活也更易管理。我们定义了几个IP地址组，在下面的评测中会进行引用。

DI-7200 WEB访问控制

　　如上图所示，DI-7200不仅提供“白名单”，“黑名单”还提供了“网址分类管理”功能。黑白名单功能很好理解，不在本评测中进行介绍，在这里我们着重关注基于网址分类的管理功能。

　　DI-7200内置了十个分类，其中最后一个“其他网址”在帮助手册中有说明，建议用户不要开启该功能。在实际的应用中，为了限制客户端访问某些网址，使用“黑名单”功能无疑是最有效果的，但“黑名单”功能有一个很大的不足——需要管理员手动去设置，这种管理方式的可操作性存在很大问题，所以在中小企业中，如果想实现INTERNET访问控制，使用基于网址分类的方式进行管理是比较可行的。

　　我们对DI-7200的“网址分类管理”功能进行了测试，方法是对每种分类测试10个网址(网络游戏/社交网站共10个，电子购物7个)，测试用的网址均来自国内排名前5位的门户网站及相应类别的专业网址。启用“WEB访问控制”后测试访问这些网址，可被成功拦截的记录为”Y”，没有成功拦截的记录为”N”。

　　在测试时我们使用了两台电脑，电脑B被设定为“例外IP”，也就是说，WEB访问策略对其不产生作用，电脑A为受限电脑。我们每测试完成一类网址，像休闲娱乐、新闻资讯，在DI-7200中便开放其访问权限，再使用电脑A打开这些网页，这样做的目的是为了测试DI-7200是否存在“误杀”现象。网址明细及测试结果如下图：

WEB访问控制测试结果

　　DI-7200的拦截效果可以说非常不错，我们共测试了78个网址，其中成功拦截76个，拦截失败的仅有2个。另外，在“误杀率”方面，也有不错的表现。

　　我们多说一下误杀现象。网址归类过滤，很好理解，这种机制需要先将网址进行分类，但这里就存在一个问题，一个网址，就拿百度贴吧来说，这个网址被归在了哪一类中？我们相信，D-LINK官方肯定有一个网址列表，但我们却不能使用这张表，因为测试这些网址会使测试结果变得毫无意义。我们肯定要使用自己的网址列表，这样测试结果才有意义。但同时问题也就产生了，两张表会存在分类差异。

　　我们在测试中发现几个网址在过滤时存在“问题”，在上图中已用黄色标出。当规则设定为过滤所有分类（除其它网址外）时，黄色标出的网址是无法访问的，但随着我们一个个放开其它分类的访问限制，百度贴吧、我爱打折网、腾迅论坛等变得可以访问了。也就是说D-Link对这几个网址的分类与我们的分类列表有差异，公平的说，这并不是DI-7200的问题。在测试中发现有两个网址，DI-7200在识别上存在一些问题，Gmail和谷歌财经，我们对这两个网址的分类应该是没有问题的。

聊天软件过滤

　　DI-7200提供了对主流IM软件的过滤功能，包括QQ，MSN，飞信、SKYPE和阿里旺旺。DI-7200对QQ的过滤功能支持比较完善，允许用户设置例外QQ号登录功能，就是说管理员可以只对个别用户开放QQ，但在全局范围禁用QQ。

聊天软件过滤

 
QQ2008II Beta1 拦截成功；MSN2009 (14.0.8064.206) 拦截成功

 
SKYPE 3.8.4.220 拦截成功；阿里旺旺2008正式版 拦截成功

飞信2008 3.4.1280拦截成功

P2P视频/ P2P下载过滤

　　公司局域网内有人使用P2P软件是件很麻烦的事情，这种软件会严重消耗有限的网络资源，并且所下载的东西基本都是为私人需要，而非因工作需要。DI-7200提供了完善的P2P过滤功能，包括迅雷、电驴、BT、PPS和PPLive。

P2P软件过滤

 
PPS V2.6.86.8250 拦截成功；PPLive2.2.2 拦截成功。

 
电驴1.0.11 拦截成功；BitSpirit v3.3.3.167 拦截成功。

成功限制迅雷寻找更多资源

　　在这里说一下迅雷，DI-7200提供的限制功能被描述为“禁止Thunder搜索资源”，而并不是禁止迅雷下载。我们都知道，迅雷下载时会连接大量的“源”，这也是为什么迅雷下载速度比较快的原因。DI-7200可以限制迅雷连接其它的源，如上图所示，“资源”处显现的是1/1，如果不进行限制，那此处将会是一个非常高的值。将下载“源”限制为1，可以一定程度上避免迅雷下载软件滥用网络资源。

网络攻击防御

DI-7200的内网防御功能

　　ARP欺骗问题，根源其实是TCP/IP协议设计上的缺陷所致，坦白说并没有一个严格意义上的解决方法，在这方面各厂家都拥有自己的技术，DI-7200使用的ARP防欺骗机制是通过发送广播包来实现的。启用“ARP保护”功能后，DI-7200会持续向局域网内发送ARP包，通过这种方式不停刷新客户机上ARP缓存中的IP MAC对应表来达到抑制ARP欺骗的目的。除此之外，DI-7200还提供了两种ARP欺骗防御机制，一是常见的IP/MAC绑定功能，二是ARP信任机制。

IP/MAC绑定页面

　　DI-7200的IP/MAC绑定页面，用户可以“一键”绑定内网中所有IP/MAC对应关系，使用编辑功能可以为每条记录增加描述信息。在这里DI-7200提供了一个比较实用的功能，“禁止未绑定IP/MAC的主机通过”，如果启用该功能，未进行IP/MAC绑定的主机将无法访问DI-7200，当然更无法通过DI-7200访问INTERNET。使用这一功能可以非常有效的防止非法用户“蹭网”。

ARP信任机制

　　启用ARP信任检测功能，DI-7200将会自动学习内网IP主机的ARP信息并记录可信任的ARP信息，可以在路由器不绑定IPMAC的情况下一定程度上防止内网ARP病毒产生的影响。

　　对于内网Flood攻击，我们将syn-flood、udp-flood、icmp-flood攻击防御的阈值设为50包/秒，接下来我们将使用测试工具验证DI-7200的防御机制是否有效。

Flood攻击测试结果

　　我们先后测试了SYN攻击、ICMP攻击和UDP攻击，日志记录见上图，这证明DI-7200对于这三种攻击的识别与拦截是有效的。

其它实用功能介绍

DI-7200文件类型过滤URL关键字过滤

　　DI-7200的文件类型过滤、URL关键字过滤。配合用户组机制，管理员可以设置只允许指定用户下载所有类型的文件，例如仅允许管理员不受限制，而限制其它用户下载EXE、COM这样的高风险文件。

连接数限制

　　连接数限制，本页面设置的数值为每IP全局默认的最大连接数，如有需要，用户还可以通过“规则列表”来针对特殊IP主机设置不同的连接限制数量。启用高级连接数限制可以对特殊应用连接不进行限制，如ICMP，CS刷新服务器的瞬间大量连接，帮助手册中建议启用该功能。

病毒检测

　　病毒检测，中毒主机在“行为”上会有许多异常，例如频繁的发送广播包，扫描其它主机的通信端口，尝试用弱密码登录远程计算等，这些异常行为会产生异常的流量。启用病毒检测功能之后，DI-7200可以记录内网嫌疑中毒主机。另外，用户可以自行设定嫌疑带毒网站的IP或者域名，启用阻止病毒网站访问功能之后，将会阻止内网主机对带毒网站的访问。

防火墙设置，支持WAN口选择、端口策略、时段策略等功能。

流量控制

　　流量控制，启用流量控制后，用户可以选择是否启用优先级流控和分接口的流控功能。优先级流控指的是，可以对设置的优先数据在流控情况下优先传送；分接口流控指的是，可以针对不同WAN口配置不同的流控规则。

流量控制规则设置页面

　　流量控制规则设置页面，用户可以针对上下行指定不同的模式和策略，支持WAN口选择，支持时段策略。

性能实测

　　性能测试使用的是IxChariot测试工具，分别测试DI-7200在“裸奔”情况下和应用安全策略后的吞吐量和混合数据包吞吐量。安全策略涉及网址分类管理、域名安全、WEB安全、聊天软件管理、P2P下载管理等。

High Performance脚本 10Pairs “裸奔” 吞吐量：93.993Mbps

High Performance脚本 10Pairs 应用安全策略 吞吐量：91.365Mbps

　　从测试结果可以看出，应用安全策略后的吞吐量比“裸奔”情况下有所衰减，大概2.5Mbps左右，考滤到DI-7200相对复杂的安全策略，这一损耗是可以被接受的。

混合数据包脚本集

当前测试环境表现 吞吐量：21.948Mbps

混合数据包脚本集 120Pairs “裸奔" 吞吐量：18.749Mbps

混合数据包脚本集 120Pairs 已应用安全策略 吞吐量：15.073Mbps

　　从测试结果可以看出，应用安全策略后的吞吐量比“裸奔”情况下有所衰减，不过考滤到DI-7200相对复杂的安全策略，这一损耗是可以被接受的。

PConline评测室总结

D-Link DI-7200   图　库  评　测  论　坛  报　价

　　D-Link DI-7200是一款针对小型网络用户而设计的宽带接入设备，除了具备宽带路由器的基本功能外，像多WAN口接入、内网用户分类管理、自动负载平衡、防火墙功能、IP/MAC绑定、基于端口的VLAN、智能QoS带宽管理等，D-Link DI-7200在上网行为管理方面的表现也令人满意，尤其在网址分类过滤方面，这一功能需要一个相对完善的网址分类库提供支持，测试结果可以说非常不错；再有其提供的P2P下载过滤，在线视频过滤，聊天软件过滤，这些功能表现也同样出色。

　　说到不足，DI-7200只提供了对两种在线视频软件的过滤功能，PPLive和PPS，但一样被普遍使用的QQLive、UUSee，DI-7200并没有提供支持，不得不说是一个遗憾。但这类问题系软件问题，希望厂家在后续的新版固件中可以添加相关功能。

　　由于本次评测针对的是DI-7200的上网行为管理功能，所以并没有对其基本功能像IP/MAC绑定、基于端口的VLAN、智能QoS、连接数排行查询、用户分组策略管理等进行介绍。