Межсетевой экран D-Link DFL-870 (обзор, тестирование)

Firewall D-Link DFL-870

Не давно компания D-Link объявила о завершении выпуска межсетевых экранов DFL-260E и DFL-860E. Новость огорчила многих пользователей т.к. эти модели очень хорошо показали себя в работе. На счету ИТ для бизнеса десятки успешных внедрений, как единичных установок, так и комплексные развертывания распределенных корпоративных сетей с IPsec туннелями, балансировкой нагрузки и резервированием WAN соединений. Взамен D-Link предложила новую модель межсетевого экрана DFL-870. Производитель гарантирует полную совместимость в настройках. Изменяется только аппаратная часть на более производительную и надежную. Но объявленная цена не радует. Если раньше покупатель для сегмента SMB (Small Medium Business) мог выбирать между функциональным, но менее производительным DFL-260E за $325 и более производительным DFL-860E за $650, то теперь остается только один DFL-870 за $650.

Упаковка и комплектация

Предлагаем Вашему вниманию сравнительный анализ нового DFL-870 с «устаревшими» DFL-260E и DFL-860E, делая акцент на различиях. Межсетевой экран DFL-870 поставляется в строгой упаковке, свойственной продукции D-Link для корпоративного сектора. Товарная этикетка на коробке отображает версию аппаратной ревизии устройства и версию Firmware.

View the embedded image gallery online at:
http://smb-it.ru/hardware/246-dlink-dfl-870.html#sigProId137b345a68

Комплект поставки включает:

  • Межсетевой экран DFL-870;
  • Кабель питания 1,5 метра 220В с евро вилкой;
  • Ethernet патч-корд 1,5 метра серого цвета, прямой;
  • Резиновые амортизаторы (4 шт.) для установки DFL-870 на поверхности;
  • Два кронштейна для монтажа DFL-870 в 19” коммуникационный шкаф;
  • Технические характеристики на русском языке и краткое руководство по установке на английском языке.

Первое, что бросается в глаза при распаковке это малый размер устройства. Габариты корпуса DFL-870 равны габаритам DFL-260E. Количество Gigabit Ethernet портов меньше, чем у DFL-860E и DFL-260E. Кроме того, в новой модели отсутствует классификация портов (WAN, DMZ, LAN). Ранее мы читали, что в новом устройстве каждый порт является полноценным т.е. маршрутизируемым, но об этом позднее.

View the embedded image gallery online at:
http://smb-it.ru/hardware/246-dlink-dfl-870.html#sigProId2b60760ae6

По-прежнему на фронтальной панели 2 USB коннектора А-типа. К сожалению, эти порты так же не имеют функциональной пользы для потребителя. Хотелось бы иметь возможность подключения 3G/4G модемов для резервирования WAN соединения. В новом устройстве консольный порт выполнен в стандарте Mini USB B-типа вместо RJ-45. Это вполне логично и не допускает ошибочной коммутации. На задней панели 870-го имеется выключатель, что более удобно, как показывает практика, чем его отсутствие в DFL-260E. Боковые стенки имеют крупную перфорацию для обеспечения естественной вентиляции. Устройство полностью бесшумное т.к. не оснащено вентиляторами. В целом дизайн строгий, лаконичный и не вызывает нареканий.

Включение и настройка

Перед включением нам необходимо заглянуть в документацию. В «старых» DFL все было интуитивно понятно. Имеется группа портов LAN и для подключения к web-интерфейсу устройства нам необходимо подключиться к этой группе портов. В новом 870-м не все так очевидно. Порты 1 и 2 расположены отдельно, как бы намекая нам, что они WAN.

Заметим, что DFL-870 после включения загружается до рабочего состояния достаточно быстро (около 30 секунд). Для сравнения DFL-260E требуется для загрузки более минуты. Короткое время загрузки полезно при аварийных перезапусках. Однако, для таких надежных устройств как межсетевые экраны серии DFL, это требуется очень редко.

Открываем руководство по быстрой установке (печатное из комплекта поставки или электронное, скачанное с сайта) на второй странице и видим, что доступ Web-интерфейсу разрешен только из LAN1, т.е. с порта №4.

Примечание: Для начального конфигурирования Вы можете использовать консольный порт, но Web-интерфейс представляется нам удобнее и нагляднее.

Включаем на компьютере автоматическую настройку IP-сети (DHCP), подключаем патч-корд к порту №4 DFL-870, вводим в строке браузера 192.168.10.1 и получаем окно вводи логина и пароля. В нижней части страницы приводится список совместимых браузеров. Для подключения вводим логин / пароль по умолчанию: admin / admin .

View the embedded image gallery online at:
http://smb-it.ru/hardware/246-dlink-dfl-870.html#sigProId3cd12e5007

Примечание: Если по каким-то причинам Вы не увидели страницу логина, попробуйте отключить / включить патч-корд от порта №4 DFL-870. Убедитесь, что Вы переадресованы на страницу https и получили соответствующее предупреждение. Подтвердите переход на страницу с не доверенным сертификатом. Если по каким-то причинам Вы не переадресованы на https страницу, попробуйте набрать в адресной строке браузера https://192.168.10.1.

Интерфейс англоязычный. Межсетевой экран — это достаточно сложное устройство, поэтому администратор должен обладать хотя бы начальными навыками проектирования и безопасности IP-сетей. Отсутствие локализованного интерфейса не должно смущать такого администратора, тем более, что большинство терминов нет смысла переводить. Тем не менее, компания D-Link выпускает локализации интерфейса для серии DFL, которые можно скачать с сайта производителя. К сожалению, версии локализации отстают от версий Firmware.

Примечание: Если Вы решите установить локализацию интерфейса DFL, убедитесь в ее совместимости с версией Firmware.

Web-интерфейс нового DFL-870 идентичен предыдущим моделям. За исключением некоторых деталей. На главной странице статуса устройства имеется счетчик доступных / задействованных ресурсов. В таблице приведены данные для различных устройств серии DFL.

Параметр DFL-260E DFL-860E DFL-870
IPsec 100 200 200
PPP 100 200 200
802.1q VLAN 8 16 128
VLAN на основе портов Есть Есть Нет
Правила Firewall 500 1000 2000
Режим HA Нет Нет Есть

Новая модель DFL-870 обеспечивает более высокую производительность. Отсутствие функции VLAN на основе портов связано с тем, что в 870-м нет встроенного коммутатора. Каждый порт независим и может быть настроен на отдельную IP-сеть к которой могут быть применены самостоятельные политики безопасности, правила Firewall и маршруты. Таким образом, несмотря на меньшее количество физических портов Gigabit Ethernet DFL-870 обладает большей производительностью и функционалом с точки зрения управления трафиком.

Тип интерфейса DFL-260E DFL-860E DFL-870
WAN 1 2 -
DMZ 1 1 -
LAN 1 1 -
Настраиваемый - - 6
Всего 3 4 6

Справедливости ради отметим, что в предыдущих моделях можно создать VLAN для каждого порта встроенного коммутатора и количество маршрутизируемых интерфейсов увеличится. Но такие действия требуют отдельных усилий в настройке и вычислительных ресурсов устройства. К тому же, если к DFL-870 подключить коммутатор (ы) с поддержкой 802.1q VLAN, то количество маршрутизируемых сетей можно увеличить на (128 минус количество задействованных портов для подключения внешних коммутаторов). Это очень серьезные возможности, которые могут удовлетворить сетевые потребности большинства организаций.

Обратим Ваше внимание на наличие в новой модели функции HA (High Availability или Высокая Доступность). До сих пор этот функционал был доступен в старших моделях DFL-1600 и DFL-2500. Функция HA позволяет создать высоко доступный кластер устройств с автоматическим резервированием. Для реализации этой функции соединяется два устройства, определяется Master и Slave (ведущее и ведомое), пути синхронизации конфигурации. Таким образом можно в автоматическом режиме выявлять и устранять отказы каналов связи, избежать проблем, связанных с отказом устройства, синхронизировать сессии VPN и Firewall. Настройка параметров режима HA производится из меню System\Device\High Availability.

View the embedded image gallery online at:
http://smb-it.ru/hardware/246-dlink-dfl-870.html#sigProIded89d409a8

Еще одна из новинок DFL-870 это наличие контроля датчиков аппаратного мониторинга (Hardware Monitoring). В предыдущих версиях функции аппаратного мониторинга ограничивались контролем состояния оперативной памяти. В новом устройстве добавляется контроль датчиков. В частности, в DFL-870 на нашем тесте есть датчик температуры процессора. Имеется возможность добавить для мониторинга датчик частоты вращения вентилятора, но нам это сделать не удалось, тем более, что внутри DFL-870 никакого вентилятора нет. Возможно имеются датчики температуры других компонентов (памяти, блока питания, печатной платы), но этот вопрос требует пояснений производителя.

Суть мониторинга заключается в том, что в настройках задается максимальное пороговое значение и в случае его превышения система оповестит администратора или выполнит предопределенное действие (например, отключение устройства).

Несколько слов об IPsec. Дело в том, что линейки прошивок DFL для России и всего остального мира различаются. Это связано с ограничениями ФСБ России на использование средств шифрования с длиной ключа свыше 56 бит. Поэтому в параметрах создания туннеля IPsec Российской версии прошивки администратор увидит сильно урезанный список (NULL и DES). В случае применения прошивок с индексом WW (World Wide) список алгоритмов шифрования расширяется (NULL, DES, 3DES, CAST128, Blowfish, Twofish, AES).

Выводы и впечатление

Новая модель межсетевого экрана D-Link DFL-870 получилась удачной, обеспечивает более высокую производительность и новые функциональные возможности, свойственные устройствам корпоративного уровня. Однако с выпуском новой модели с рынка уходит качественное устройство для малого бизнеса (DFL-260E). Теперь за устройство с возможностями интеграции с сетевыми службами и богатой функциональностью VPN придется платить вдвое больше. Остается надеяться, что D-Link сможет предложить что-то взамен.

Что касается владельцев сетей от 30 рабочих мест или просто любителей качественного сетевого оборудования, то им смело можно рекомендовать DFL-870 к покупке. Новое устройство получилось более функциональным, производительным и гибким.

Приобрести DFL-870 на выгодных условиях Вы можете в нашем интернет-магазине, а наши специалисты помогут Вам с настройками и консультациями по эффективному использованию межсетевого экрана в различных условиях.

Поделитесь ссылкой в сетях