易用强大网件新款VPN防火墙试用-Linux伊甸园----Linux|Unix|新闻|下载|论坛|人才|教程|自由软件|嵌入式|安装|开源|qq|RedHat|SUSE|命令|Mandriva|

　　【IT168 专稿】最近网件（Netgear）公司推出了一款针对中小企业的安全产品——FVS336G，这是一款双WAN千兆端口防火墙，它提供两种类型的虚拟专用网（VPN）通道：安全套接字层（SSL）和IP安全（IPSEC），实现最佳的安全连接到你的网络。SSL VPN的通道为个人获得随时随地提供无需任何客户端远程访问你的企业数据，而IPsec VPN技术提供安全的站点至站点间的通道和支持基于客户端的远程访问。

　　从外形上看，FVS336G的外形大小是25.4 x 17.8 x 3.96 厘米，比网件的其它4口路由器要略大一些，不过其电源是内置设计的，安全起来非常方便。

　　网件这款产品的颜色是蓝色金属色，显得高雅深沉，设备上的指示灯包括电源、WAN口和LAN口的状态灯。图1是其前面板图，图2是后面板图。

图1、前面板

图2、后面板

　　网件的VPN防火墙FVS336G可以支持多达25条 IPsec VPN 通道和10条块 SSL VPN 通道;具有状态检测防火墙，可以防止拒绝服务(DoS)攻击、多线程VPN 穿透、SYSLOG 和 Email 报告等功能;同时它还具有四个千兆局域网端口，可以保持你的数据高速传输，而两个千兆WAN 端口采用负载均衡或链路备份模式，以确保最大的吞吐量和可靠地连接到互联网上。支持网络地址转换(NAT)和传统路由，支持多达253个用户同时访问宽带连接。

　　对于网络管理员来说，在FVS336G上还可以设置很多选项来进行优化，而且对于多数设置来说它是非常直观的。表1列出了它的几个主要配置部分及相应的子菜单设置。

表1、FVS336G菜单组成

　　在FVS336G的配置中比较重要的部分是实现网络访问、安全和VPN设置菜单等，这也将是本篇评测文章所要重点关注的。让我们先来看一下它的VPN功能。

　　两种通道模式 VPN功能实测

　　网件的FVS336G是一个VPN设备，它可以同时支持高达25个IPSec和10个SSL VPN通道。无论是通过SSL通道，还是通过IPSec通道，都可以实现远程访问，而且有足够多的IPSec通道来支持多个站点到站点的安全连接。

　　我们可以通过站点对站点配置或网件的VPN客户端软件来创建IPSec通道。SSL VPN通道是一个新增加的功能，与复杂的IPSec VPN相比，SSL通过简单易用的方法实现信息远程连通。任何安装浏览器的机器都可以使用SSL VPN，这是因为SSL内嵌在浏览器中，它不需要象传统IPSec VPN一样必须为每一台客户机安装客户端软件。

　　在FVS336G上你可以迅速的建立IPSec站点到站点通道。我在通过公网将FVS336G连接到一个SonicWALL TZ190W的过程中没遇到任何问题。使用网件的VPN向导，按照以下过程我创建了如下图3所描述的一个VPN策略：

　　1、选择网关通道类型。

　　2、在连接名称和预共享密钥字段中输入一个名称和密码。在下面的例子中，我输入了“VPN to Other Site”作为我的连接名称，“mypassword”作为预共享密钥。

　　3、为每一个终端输入WAN口IP地址或域名称，诸如下面的“Othersite.domain.com”和“thissite.domain.com”。如果你使用的是一个具有静态地址的网络服务提供商服务，那么IP地址是一个更可靠的终端识别方式。

　　4、输入远程网路的子网和掩码(注意，远程网络是在通道另一端的网络，它应该是一个与本地网络不同的子网。)在图3的例子中，我输入了192.168.1.0和255.255.255.0。点击应用保存这个新的策略。

图3、IPSec VPN向导

　　使用这个VPN向导创建一个VPN策略的同时会自动创建一个相应的IKE(因特网密钥交换)策略。我发现修改本地和远程的标示类型(Identifier Type)部分为Local WAN IP和Remote WAN IP效果最好，甚至当你使用的是域名而不是静态IP的时候也是如此。注意图4中的Identifier已经变灰。

图4、因特网密钥交换策略配置

　　VPN和IKE策略被创建后，也可以被编辑修改。举个例子来说，如果需要的话，可以将加密方法从3DES改到AES-256。注意使用VPN向导的时候，阶段1的Main Mode和阶段2的完全转发安全性(PFS)是自动选择的。这些选项需要根据通道另一端来进行设置。

　　根据我的经验，配置本地和远程标识选项的时候非常容易发生配置不匹配的情况。注意通道安全性已经通过一个预共享密钥建立起来了。

　　在没有设置这两个字段的情况下，我已经成功的在不同品牌的路由器之间创建了站点到站点的通道。我发现，首先按照最基本的设置来建立起一个通道，然后在此基础上增加更多的设置，这种方式会更加高效，会少走更多弯路。

　　我尝试了不同的加密设置，非常高兴的发现在FVS336G中3DES和AES-256加密都可以被很好的支持。在网件以前的FVX538中使用AES-256的时候我碰到过一些问题，但是在FVS336G中没有这些问题。

　　FVS336G也同时解决了FVX538中的VPN延迟的问题。下表是FVX538和FVS336G与其他设备连接的时候的延迟时间对比。

表2、延迟时间

　　在我测试的过程中，我发现我的NETGEAR-SonicWALL站点到站点VPN通道断了好几次。经过调查发现为问题的根源在于我的ISP商修改了我的WAN IP，然而NETGEAR动态DNS客户端没有对域名服务进行更新。因此，在站点到站点通道的NETGEAR端的WAN接口的域名没有被映射到合适的WAN IP，因此连接被断开。

　　这是NETGEAR设备存在的一个问题，当然，如果你在通道两端都使用静态IP地址的话，就不会出现这个问题。

　　VPN远程访问实现测试

　　VPN的另一个主要应用是让远程用户来访问网络。正如上面所提到的，FVS336G提供了两个安全通道选项：IPSec和SSL。不过需要注意的是，NETGEAR只为它的SafeNet SoftRemote 10.8.0(Build 20)IPSec客户端包含了一个授权。另外，这个版本已经被升级成可以支持微软的Vista操作系统。

　　尽管这个软件已经被升级，配置和使用IPSec客户软件的方法并没有发生比较大的变化。在路由器和PC之间建立IPSec软件是一个详细的过程，要求在路由器和客户端上同时准确的配置ID信息、认证和密钥交换。

　　图5是客户端软件配置的一个截屏。我参看了NETGEAR的配置指南(http://kbserver.netgear.com/kb_web_files/N101459.asp)来配置FVS336G和VPN客户端软件。

图5、VPN客户端配置

　　我曾经测试过很多厂商的IPSec客户端，但一直没有碰到过非常容易使用的一个，NETGEAR的也不例外。我发现在网件的FVS124G、FVX538和FVS336G上配置IPSec客户端连接都不是一件让人感觉轻松的事情。

　　在FVS336G中只包含了一个IPSec VPN授权，这意味着NETGEAR似乎在引导客户使用SSL VPN来保护远程访问用户的安全。在我看来，这是一件好事情。

　　SSL VPN连接简单而且清晰，无需配置太多选项，无需在PC机上手动安装和配置什么应用软件。无论是对网络管理员还是对终端用户来说，NETGEAR的SSL VPN技术都简化了VPN连接的复杂性。

　　在NETGEAR上启用SSL VPN访问的过程，就是一个“定义用户、选择一些简单的选项、通知终端用户加载网页插件、然后优化安全选项”的过程。增加用户非常简单，如图6所示。

图6、增加一个SSL用户

　　在NETGEAR设备中的SSL VPN的一个漂亮的功能是，它可以定制SSL VPN用户在远程访问网络的时候所看到的页面。如图7中所示，我已经定制了用户登录的页面。当然还有更多的定制选项可用，网络过管理员可以利用这个功能提供给终端用户更多的信息或指导。

图7、定制SSL登录页面

　　SSL VPN给网管带来的方便之处

　　为了让网络管理员获得更高级别的NETGEAR的SSL VPN的实现以三种选项为网络管理员提供了更高级别的访问控制和安全性：全通道模式(Full Tunnel Mode)，分离通道模式(Split Tunnel Mode)和端口转发模式(Port Forwarding)。

　　全通道模式可以允许一个远程用户没有限制的完全访问局域网。我发现这种访问级别是必要的，因为它也通过VPN通道为远程客户端路由一些简单的Web浏览。

　　分离通道模式是全通道模式的一个子集。这个模式允许远程客户可以完全访问在336G后面的局域网，同时将Web冲浪交给终端用户的本地连接。

　　在这种模式下，远程客户端使用一个不同于NETGEAR的LAN子网的IP地址，它然后将被路由到局域网子网上。如图8中所示，我的计算机已经收到IP地址192.168.251.2，NETGEAR将其路由给我的局域网子网(192.168.3.0/24).

图8、SSL VPN IP地址

　　为SSL VPN客户端使用不同的子网，其思路与NETGEAR的IPSec VPN客户端的Mode Config选项非常相似，它在VPN客户和主局域网之间创建分开的路由网络。然后我们可以在VPN子网上应用限制策略，通过针对源IP地址的限制访问来提高安全性。

　　分离通道模式要求在VPN客户子网和NETGEAR的LAN子网之间创建一个静态的路由。这个设置需要两步操作就可完成。如图9所示，首先禁用全通道模式支持，然后输入局域网子网地址。

图9、建立分离通道模式

　　通过分离通道模式，一个远程客户端无论是在连接到因特网的任何地方，都可以通过路由访问NETGEAR的LAN子网192.168.3.0/24。使用NETGEAR的SSL VPN实现，我能够通过远程桌面、VNC和SSH服务访问我的Windows和Linux服务器，同样也可以映射我的网络驱动器。

　　还有一件令我印象深刻的事情是，通过VPN通道ping局域网设备几乎没有延时上的增加。正如上面的表2所示，在通过VPN通道来ping广域网WAN接口和LAN设备的时候，延时几乎没有什么不同。毫无疑问，在一个VPN通道内进行封装和加密等操作，难免会增加一点延时。令我印象深刻的是两者之间的延时只有1ms或没有区别。

　　更多的SSl VPN客户端配置可以通过使用User、Group和域配置来完成。而且，FVS336G可以被配置使用一个RADIUS服务器来实现用户认证。最后，你还可以创建用户策略来定义哪一个浏览器可以允许实现终端用户访问。

　　VPN防火墙网络配置体验

　　在选中WAN和LAN选项的时候可以进行网络配置。每一个WAN端口可以连接到一个不同的ISP商中，无论是使用PPPoE，还是以太网，无论是具有动态分配地址，还是静态IP地址。和FVX538和FVS124G中一样，它的双WAN口连接可以用来配置实现自动切换或复杂均衡模式。

　　在自动切换模式中，以WAN1作为主连接，一旦预定义的重试间隔次数被耗尽的时候，会自动切换到WAN2。在图10中的配置，切换时间是经过4次间隔为30秒的重试连接，也就是经过2分钟后，如果还是连接失败则自动切换到另一个WAN口。

图10、WAN失效转移设置

　　为了测量实际的失效转移效果，我选择了重试间隔为30秒，重试两次失败后进行转移。平均测试结果是，一般在WAN1失效后1分钟10秒左右WAN2口被激活。

　　除了失效转移模式外，双WAN口连接可以实现负载均衡模式。有的朋友可能以为同时使用两个因特网连接具有优势，但是这种配置可能会导致某些路由问题。这些问题可以通过设置协议绑定(Ptotocol Binding)将特定的通信类型映射到不同的接口上。

　　举个例子来说，映射网页和电子邮件(协议是HTTP、SMTP和POP3)通信到一个WAN接口上，而将其他所有通信映射到另外一个WAN接口，这就是将通信数据通过不同的WAN接口实现分离的最简单的方法，使用这个功能你可以根据你的通信类型的需要实现数据分流。

　　对于FVX，还有多个LAN配置选项。LAN子网可以被定制为任何网络;我设置我的子网为192.168.3.0/24。我非常喜欢NETGEAR的LAN Groups菜单。这个FVS设备被设计使用在小型办公网络的核心，可以支持253个节点。

　　如图11所示，我的测试FVS连接了15个不同的设备。使用LAN Groups菜单，一个系统管理员可以轻松的为每一个设备命名，一旦一个设备被起了名字并保存在LAN Groups中后，就可以通过这个漂亮的表格来组织管理这个LAN设备。

　　在下面的例子中，我将我的所有的设备妨在Group 1中。在实际工作中，网络管理员可以把设备放到不同的分组中，然后对不同的组来设置应用不同的安全策略。

图11、LAN Groups设置

　　FVS336G同时支持静态和动态路由。在动态路由协议方面，FVS336G支持RIPv1和RIPv2。

　　更多安全功能测试

　　FVS336G具有多个安全选项来定制它的状态数据包检测(SPI)防火墙。默认情况下，一个状态数据包检测防火墙阻挡所有不是由LAN设备发起的WAN-LAN通信。NETGEAR具有54个预置的TCP/UDP服务，诸如HTTP和FTP等，以简化打开防火墙上的端口的操作。如果需要定义更多的端口，可以通过Services菜单来实现增加需要的定义。

　　另外，你还可以通过创建防火墙规则来通过从特定目的端口到特地IP地址的通信。另外，可以将三种不同的计划来应用到任何特定的防火墙规则上。图12显示了一个成功的FTP规则，它可以将外部FTP请求映射到我的局域网中的一个内部服务器上，没有应用任何计划，使用了总是允许的设置。