iXBT.com
T
Arial Georgia Tahoma Times New Roman Verdana
A- A+     Печать Почта В «мои закладки»
Сети и серверы » Маршрутизаторы

OfficeConnect Secure Router и OfficeConnect VPN Firewall — маршрутизатор с функциями защиты и брандмауэр от 3Com


Настройки 3CR860 и 3CR870

Во-первых, в комплекте с устройствами идет очень удобная утилита Discovery Application. При запуске, она находит все подключенные к сети 3Com устройства (из рассматриваемых в статье), какой бы IP адрес у них не стоял. После выбора нужного нам устройства, утилита выставляет ему IP адрес на LAN интерфейсе, входящий в ту же подсеть, что и компьютер, с которого программа запускалась. Таким образом, для доступа к WEB интерфейсу маршрутизатора нам совсем не надо мучительно вспоминать, а какой же IP адрес по умолчанию установлен в устройстве и тем более менять наш IP. Достаточно один раз запустить Discovery Application и доступ к настройкам роутера получен (если мы, конечно, знаем пароль на доступ к WEB интерфейсу).


Кратко пробегусь по пунктам настроек веб-интерфейса. Он одинаков у обоих устройств, только у 3CR860 отсутствует меню traffic shaping и нельзя задать более 2 VPN туннелей. И конечно, надписи, сообщающие названия устройств, различаются.

Как обычно, в интерфейсе присутствует визард, позволяющий быстро настроить маршрутизатор. Или можно пройтись по всем менюшкам самостоятельно. Кстати, хочу отметить очень хорошую продуманность данного WEB интерфейса, все пункты логично расположены и сгруппированы, одним словом, управлять устройством через WEB интерфейс очень удобно.


Кроме того, в интерфейс встроена очень подробная система меню. Кнопка помощи присутствует во всех основных разделах интерфейса.


В Network Setting настраивается IP адресация и режимы работы на WAN…

… и LAN интерфейсах. Тут же настраивается встроенных DHCP сервер.


Раздел Advanced Networking позволяет настроить режим функционирования NAT (совсем отключить его нельзя). Тут же настраивается таблица статического роутинга …

… и активируются протоколы динамического.

В этом же разделе можно настроить поддержку сервиса динамического DNS. Список служб предопределен и не поддается изменению, но кол-во служб DDNS в нем довольно велико.


Следующий подраздел — Traffic Shaping — присутствует лишь в устройстве 3CR870 (3Com OfficeConnect VPN Firewall). Возможно как полное ограничение входящего/исходящего трафика, так и частичное, по определенным критериям. К сожалению, рамки задания этих критериев довольно скудны.

Раздел Firewall, как вытекает из названия, посвящен настройке встроенного брандмауэра. В первом подменю настраиваются виртуальные сервера.

Подраздел PC Privileges посвящен для задания правил файрвола. Вы не видите, где же тут прописываются правила? Да, я сам был удивлен, когда не обнаружил нормального интерфейса для задания правил. Единственное, что позволено, это задавать глобальное (одно) правило для всех локальных IP и добавлять правила для определенного IP, в которых учитывается (задается) лишь исходящий порт (или их диапазон). И все! Ни учета протоколов, ни богатых возможностей SPI файрвола. Ничего… Впрочем, режим SPI используется в следующем подразделе, но это уже не правила фильтрации.

Этот подраздел позволяет настроить работоспособность специфических протоколов, требующих открытия более одной сессии (одновременно) для своей работы или чувствительных к изменению данных в заголовке пакета, которые производит механизм NAT.

Последний подраздел позволяет активировать ответы на ICMP Ping маршрутизатора со стороны Интернет и отключить механизм SPI файрвола.


Раздел Content Filtering позволяет фильтровать доступ на WEB сайты при помощи url-фильтров, заданных вручную или используя службы фильтрации контента сайтов.


Тут же можно задать IP адреса компьютеров которые будут подвержены фильтрации или наоборот, не будут (в отличии от остальных).


В раздел — VPN — настраиваются режимы IPSec/PPTP/L2TP.

Тут же вылезает второе отличие между 3CR860 и 3CR870: в 3CR860 невозможно задать список более, чем из двух VPN туннелей.


В случае IPSec возможно задания как режема сервер-сервер (туннель между сетями), так и сервер-клиент (подключение удаленного пользователя к сети). Для L2TP возможен лишь второй вариант.

Так же для IPSec существует отдельный подраздел, позволяющий настраивать выделенную таблицу роутинга для каждого туннеля.

В следующем разделе — System Tools — можно настраивается временную зону маршрутизатора, сохранить/загрузить конфигурацию и обновить прошивку. NTP клиент, поддерживающий актуальное время в устройстве, нельзя переориентировать на какой либо свой NTP сервер — устройство синхронизируется с какими то своими, жестко заданными серверами, расположенными в Интернет.

В этом же меню расположены утилиты диагностики, позволяющие пропинговать или сделать traceroute на удаленный хост, а так же срезолвить имя хоста или IP адрес.


Последний раздел, как и следует из названия, показывает текущий статус подсистем маршрутизатора, а так же отвечает за просмотр и настройку подсистемы логирования.

Логи в устройстве довольно подробные. Причем всегда можно настроить, что именно подлежит логированию, а что нет. Логируются так же все попытки сетевых атак на маршрутизатор.

Для примера, приведен скриншот лога установления IPSec туннеля. Конечно, «debug» режим включить нельзя, но даже подобная детализированность логов — уже неплохо :)



Навигация:

 

Устройства предоставлены представительством компании 3COM.

 

 




9 августа 2004 г. Автор Евгений Зайцев
Печать Почта В «мои закладки» < >
Дополнительно

OfficeConnect Secure Router и OfficeConnect VPN Firewall - маршрутизатор с функциями защиты и брандмауэр от 3Com

OfficeConnect Secure Router и OfficeConnect VPN Firewall — маршрутизатор с функциями защиты и брандмауэр от 3Com

Настройки 3CR860 и 3CR870

Во-первых, в комплекте с устройствами идет очень удобная утилита Discovery Application. При запуске, она находит все подключенные к сети 3Com устройства (из рассматриваемых в статье), какой бы IP адрес у них не стоял. После выбора нужного нам устройства, утилита выставляет ему IP адрес на LAN интерфейсе, входящий в ту же подсеть, что и компьютер, с которого программа запускалась. Таким образом, для доступа к WEB интерфейсу маршрутизатора нам совсем не надо мучительно вспоминать, а какой же IP адрес по умолчанию установлен в устройстве и тем более менять наш IP. Достаточно один раз запустить Discovery Application и доступ к настройкам роутера получен (если мы, конечно, знаем пароль на доступ к WEB интерфейсу).


Кратко пробегусь по пунктам настроек веб-интерфейса. Он одинаков у обоих устройств, только у 3CR860 отсутствует меню traffic shaping и нельзя задать более 2 VPN туннелей. И конечно, надписи, сообщающие названия устройств, различаются.

Как обычно, в интерфейсе присутствует визард, позволяющий быстро настроить маршрутизатор. Или можно пройтись по всем менюшкам самостоятельно. Кстати, хочу отметить очень хорошую продуманность данного WEB интерфейса, все пункты логично расположены и сгруппированы, одним словом, управлять устройством через WEB интерфейс очень удобно.


Кроме того, в интерфейс встроена очень подробная система меню. Кнопка помощи присутствует во всех основных разделах интерфейса.


В Network Setting настраивается IP адресация и режимы работы на WAN…

… и LAN интерфейсах. Тут же настраивается встроенных DHCP сервер.


Раздел Advanced Networking позволяет настроить режим функционирования NAT (совсем отключить его нельзя). Тут же настраивается таблица статического роутинга …

… и активируются протоколы динамического.

В этом же разделе можно настроить поддержку сервиса динамического DNS. Список служб предопределен и не поддается изменению, но кол-во служб DDNS в нем довольно велико.


Следующий подраздел — Traffic Shaping — присутствует лишь в устройстве 3CR870 (3Com OfficeConnect VPN Firewall). Возможно как полное ограничение входящего/исходящего трафика, так и частичное, по определенным критериям. К сожалению, рамки задания этих критериев довольно скудны.

Раздел Firewall, как вытекает из названия, посвящен настройке встроенного брандмауэра. В первом подменю настраиваются виртуальные сервера.

Подраздел PC Privileges посвящен для задания правил файрвола. Вы не видите, где же тут прописываются правила? Да, я сам был удивлен, когда не обнаружил нормального интерфейса для задания правил. Единственное, что позволено, это задавать глобальное (одно) правило для всех локальных IP и добавлять правила для определенного IP, в которых учитывается (задается) лишь исходящий порт (или их диапазон). И все! Ни учета протоколов, ни богатых возможностей SPI файрвола. Ничего… Впрочем, режим SPI используется в следующем подразделе, но это уже не правила фильтрации.

Этот подраздел позволяет настроить работоспособность специфических протоколов, требующих открытия более одной сессии (одновременно) для своей работы или чувствительных к изменению данных в заголовке пакета, которые производит механизм NAT.

Последний подраздел позволяет активировать ответы на ICMP Ping маршрутизатора со стороны Интернет и отключить механизм SPI файрвола.


Раздел Content Filtering позволяет фильтровать доступ на WEB сайты при помощи url-фильтров, заданных вручную или используя службы фильтрации контента сайтов.


Тут же можно задать IP адреса компьютеров которые будут подвержены фильтрации или наоборот, не будут (в отличии от остальных).


В раздел — VPN — настраиваются режимы IPSec/PPTP/L2TP.

Тут же вылезает второе отличие между 3CR860 и 3CR870: в 3CR860 невозможно задать список более, чем из двух VPN туннелей.


В случае IPSec возможно задания как режема сервер-сервер (туннель между сетями), так и сервер-клиент (подключение удаленного пользователя к сети). Для L2TP возможен лишь второй вариант.

Так же для IPSec существует отдельный подраздел, позволяющий настраивать выделенную таблицу роутинга для каждого туннеля.

В следующем разделе — System Tools — можно настраивается временную зону маршрутизатора, сохранить/загрузить конфигурацию и обновить прошивку. NTP клиент, поддерживающий актуальное время в устройстве, нельзя переориентировать на какой либо свой NTP сервер — устройство синхронизируется с какими то своими, жестко заданными серверами, расположенными в Интернет.

В этом же меню расположены утилиты диагностики, позволяющие пропинговать или сделать traceroute на удаленный хост, а так же срезолвить имя хоста или IP адрес.


Последний раздел, как и следует из названия, показывает текущий статус подсистем маршрутизатора, а так же отвечает за просмотр и настройку подсистемы логирования.

Логи в устройстве довольно подробные. Причем всегда можно настроить, что именно подлежит логированию, а что нет. Логируются так же все попытки сетевых атак на маршрутизатор.

Для примера, приведен скриншот лога установления IPSec туннеля. Конечно, «debug» режим включить нельзя, но даже подобная детализированность логов — уже неплохо :)



Навигация:

 

Устройства предоставлены представительством компании 3COM.

 

 

9 августа 2004 г. Автор Евгений Зайцев

Copyright © 1997-2017, iXBT.com.
Статистика / Поиск / О сайте / Реклама / RSS /