Обзор гигабитного шлюза безопасности для небольших компаний, NetGear SRX5308

Настройка и web-интерфейс

По умолчанию, NetGear SRX53078 настроен на простой доступ к интернету с базовой фильтрацией трафика. Установка параметров производится через Web-интерфейс, в котором, похоже, Web-дизайнеры перемудрили с закладками.

Для начала вам предоставляется возможность выбрать тип работы трансляции внутренних адресов - NAT или обычная маршрутизация. При настройке WAN портов вы можете устанавливать отказоустойчивые конфигурации или настраивать балансировку нагрузки, но на этом возможности не заканчиваются - в расширенных настройках вы сможете установить лимит трафика на каждом из WAN портов, что позволит последовательно выработать предоставленный лимит на каждом из четырех провайдеров.

Естественно, что на каждый WAN порт вы можете назначить собственный аккаунт DynDNS, но, к сожалению, прочие провайдеры динамических DNS не заведены в сервис.

Возможность перенаправления портов с WAN в LAN можно настраивать сразу для целого диапазона IP-адресов, причем как глобальных, так и локальных. Это позволит легко настроить работу VOIP сервисов, мессенджеров и прочих сетевых приложений на уровне IP-адресов вашей системы.

Более эффективно настроить конфигурацию локальной сети можно, используя виртуальные сети VLAN, да еще и с возможностью жесткой привязки VLAN к физическим портам на межсетевом экране. Поддерживается объединение портов в виртуальные сети, а суммарно вы можете создавать до 254 VLAN-ов. Вы можете использовать и простую группировку LAN портов. Что интересно, по умолчанию LAN порты уже организованы в дефолтную VLAN сеть, так что работа с VLAN изначально позволит легче осуществить настройку сложной офисной сети с нужными параметрами безопасности.

Настройка Firewall-а, в общем-то, мощная, но не настолько, как хотелось бы. Вам доступен выбор сервисов с идентификацией по портам, диапазона локальных и глобальных IP-адресов, а так же использование QoS. Сегодня для устройств корпоративного класса уже предлагаются интеллектуальные сервисы по блокированию доступа к сайтам, исходя из их категории, а так же антивирусы, работающие в реальном времени. Правда, следует понимать, что эти фильтры в реальном времени требуют существенных ресурсов процессора (вспомните хотя бы, как антивирус влияет на ваш компьютер), так что NetGear оставила этот функционал более старшим, а следовательно и дорогим моделям UTM. В NetGear SRX5308 вам доступна возможность фильтрации Proxy серверов, Java приложений, ActiveX и Cookies. Так же есть и защита от TCP и UDP флуда, отключение ответа на пинг и включение невидимого режима. Для ограничения доступа к сайтам, вы можете задать ключевые слова, по которым вы можете блокировать нежелательные сайты. Хотя, честно сказать, стартовый список нежелательных ключевых слов и трастовых сайтов не помешал бы.

Важнейшей функцией устройств такого уровня является создание VPN туннелей с высокой производительностью для соединения между двумя подобными устройствами или между клиентом и шлюзом. При их создании вы можете задействовать до двух WAN портов в режиме отказоустойчивости. Интерфейс настолько прост, что с созданием защищенного VPN соединения справится даже неподготовленный человек. Напомним, что вам доступны до 125 VPN соединений, на скорости до 180 Мбит/с. А если в вашей организации в целях безопасности не разрешены сквозные VPN подключения, вы можете ограничить их использование для IPSec, PPTP и L2TP. Для аутентификации поддерживаются Active Directory, LDAP, Radius, WIKID, MIAS, домен NT и локальная база данных пользователей

Для SSL соединений имеется функция загрузки и генерации сертификатов. Вы можете устанавливать до 50 SSL соединений на скорости до 21 МБит/с.

В целом, можно сказать, что настройка потребует от вас некоторого времени на изучение, больше всего из-за запутанной навигации по меню. Web-интерфейсу не хватает одного статусного окна, на котором отображалась бы вся информация, как говорится, по-максимуму.

Перейдем к тестированию

Для тестирования использовались два компьютера с гигабитными сетевыми картами Intel Pro 1000/PT.

Конфигурация 1:

• Intel Core i7 860
• 8 Gb RAM DDR3
• 160 Gb Velociraptor
• Windows 7 Профессиональная

Конфигурация 2:

• Intel Xeon 3220
• 4 Gb RAM
• 1000 Gb Hitachi 7200RPM
• Windows 7 Профессиональная

Компьютеры соединялись между собой CAT5 кабелем, после чего запускался тест IX Chariot 6.70 со скриптом High_Performance_Throughput, в котором значение Transactions per Second было выставлено на 100.

Результаты перед вами:

Максимальная скорость LAN-LAN близка к физическому максимуму интерфейса, однако уже на выходе в WAN даже при PPPoE соединении скорость падает уже в 1.5 раза. Для приложений, требовательных к скорости передачи, там, где шифрование производится на уровне приложений, это плохой знак. Но нас больше интересует скорость VPN-соединений. Здесь производительность IPSec позволяет уже говорить о том, что гигабитные шлюзы с VPN уже - оправданная покупка.

Цена вопроса

Средняя розницная стоимость Netgear SRX5308 составляет 15 500 рублей. Это самый доступный гигабитный межсетевой экран на сегодняшний день. Как правило, подобные устройства стоят от 30 000 рублей, и если посмотреть сетевое оборудование на 2 и более WAN портов, то там цены начинаются от 11 тысяч рублей, поэтому даже если рассматривать этот шлюз просто как решение для обеспечения отказоустойчивого доступа в интернет для офиса, Netgear SRX5308 выглядит очень выгодно.

Выводы

Подобное оборудование для организации связи между офисами по защищенным каналам, как правило, имеет высокую стоимость, да и существенная часть таких устройств - все ещё 100-мегабитная. Секрет Netgear SRX5308 прост: устройство имеет слабоватый процессор, на котором скорость WAN падает даже при включении ACL фильтра, не говоря уже о VPN. Для небольших компаний, которые не могут оплачивать гигабитные каналы доступа в интернет, но которым надо организовать VPN-доступ к корпоративной сети, даже 32-мегабитное соединение можно считать за счастье, а возможность существенно экономить на этапе построения сети имеет важнейшее значение.

Важный плюс Netgear SRX5308 - это фактическая законченность устройства. То есть, вы получаете весь функционал на всю жизнь работы устройства без дополнительных модулей, без плат за лицензии. Вам не придется платить за количество доступных VPN-соединений с ростом бизнеса или за увеличение количества VLAN, которых итак достаточно.

К недостаткам Netgear SRX5308 можно отнести:

• сравнительно невысокую производительность WAN
• отсутствие встроенного антивируса
• слишком мудреное меню настройки

К преимуществам Netgear SRX5308 мы причисляем:

• очень выгодную стоимость
• хороший функционал
• готовность к работе без дополнительных лицензий

Для небольших компаний, ставящих для себя задачу объединить несколько офисов в единую сеть, а так же дать возможность работы сотрудникам на Outsource, Netgear SRX5308 - такой вариант, которому очень трудно найти альтернативу. Это отличная покупка.

Официальный сайт Netgear - www.netgear.ru

Михаил Дегтярёв (aka LIKE OFF)
26/02.2011