Вопрос: Что такое межсетевой экран — файрвол (Firewall) и как его настраивать у Интернет-маршрутизаторов серии DI-XXX?
Ответ:
Файрвол — или, по-другому «фильтр пакетов» — это дополнительная возможность интернет- маршрутизаторов серии DI-XXX , предназначенная для ограничения прохождения пакетов IP-протокола через интернет- маршрутизатор. Похожие функции реализуются на закладке «Filter» , но только для ограничения исходящего трафика. Чаще всего дополнительно настраивать файрвол нет необходимости, так как имеющиеся в его настройках правила «по умолчанию» обеспечивают нужные функции защиты. Также имеющийся у интернет- маршрутизаторов данной серии сервис NAT обеспечивает хороший уровень защищенности.
Но иногда требуется более гибкое конфигурирование ограничений. Как пример, рассмотрим настройку правил файрвола для разрешения доступа к внутреннему web-серверу (предоставляемому через функцию «Virtual Server») только компьютерам из определенной подсети (например, подсеть филиала).
Для настройки правил файрвола сперва нужно настроить подключение к интернет-маршрутизатору по локальной сети, подключиться web-браузером по IP-адресу интернет-маршрутизатора, ввести имя и пароль для входа на страницу настроек (согласно прилагаемой к нему документации).
После этого перейти на закладку Advanced -> Firewall .
(далее шаги настройки и снимки экрана приводятся на примере DI-604HV F/W V3.06 , для других устройств все настраивается аналогичным образом).
Увидим следующую страничку (рис.1)
I) В списке видим правило, созданное автоматически в момент конфигурирования виртуального сервера. Три других правила, расположенных ниже, — правила «по умолчанию» и удаляться или редактироваться не могут. Для решения нашей задачи (ограничение списка компьютеров, имеющих доступ к web-серверу) нужно нажать значок редактирования, расположенный справа в соответствующей правилу строке. Картинка измениться на следующую (рис.2):
- После нажатия кнопки редактирования все параметры выбранного правила отобразились в полях вверху страницы. При этом все они серого цвета и недоступны для редактирования. Это говорит о том, что редактировать эти параметры нужно на вкладке «Virtual Server» , где создавался web-сервер и в результате чего автоматически сгенерировалось данное правило для разрешения доступа к нему. Единственные поля, доступные для редактирования — выделенные красным прямоугольником, причем в поле «IP Start» первоначально стоял символ » * «, а поле «IP End» было пустым. Это означало, что ограничений по IP-адресу источника нет. Для введения ограничения согласно нашей задачи отредактируем эти поля, указав в них диапазон адресов компьютеров, которым разрешено иметь доступ к web-серверу. В качестве примера разрешено иметь доступ только 6 компьютерам с адресами 10.20.30.40-45. Всем остальным в доступе будет отказано.
- Нажимаем кнопку «Apply» — после этого появляется сообщение о перезагрузке, после чего через некоторое время снова появляется эта страничка. После этого необходимо перезагрузить устройство по питанию.
Поздравляем, настройка завершена.
Проверить правильность настроек можно, обратившись из Интернет по адресу http://10.10.10.10, где 10.10.10.10 — заменить на внешний адрес вашего маршрутизатора (адрес WAN-порта). При обращении с разрешенных адресов будет видна начальная страничка web-сервера, при обращении с других адресов доступа к web-серверу не будет.
Сервисные маршрутизаторы
Новинка
DSA-2308X
Сервисный маршрутизатор с 8 настраиваемыми портами (6×10/100/1000Base-T, 2x10GBase-X SFP+) и 2 USB-портами
Новинка
DSA-2208X
Сервисный маршрутизатор с 8 настраиваемыми портами (6×10/100/1000Base-T, 2x10GBase-X SFP+) и 2 USB-портами
Новинка
DSA-2108S
Cервисный маршрутизатор с 8 настраиваемыми портами (6×10/100/1000Base-T, 2x1000Base-X SFP) и 2 USB-портами
DSA-2003
Сервисный маршрутизатор с 3 настраиваемыми портами 10/100/1000Base-T и 2 USB-портами
DIR-2150/SE
Беспроводной двухдиапазонный гигабитный маршрутизатор AC2100 Wave 2 с ПО Security Edition (SE), поддержкой MU-MIMO, 3G/LTE и 2 USB-портами
DIR-1260/SE
Беспроводной двухдиапазонный гигабитный маршрутизатор AC1200 Wave 2 с ПО Security Edition (SE), поддержкой MU-MIMO, 3G/LTE и USB-портом
DIR-853/SE
Беспроводной двухдиапазонный гигабитный маршрутизатор AC1300 Wave 2 с ПО Security Edition (SE), поддержкой MU-MIMO, 3G/LTE и USB-портом
Сервисные шлюзы
Поставляется в проекты
DSA-3110
Концентратор доступа по VPN
- Избранное (0)
- Сравнение (0)
Корзина
-
Добавьте товары в корзину.
- Каталог
- Межсетевые экраны
Категории
- Мультимедиа продукты
- Коммутаторы
- Маршрутизаторы
- Межсетевые экраны
- Оборудование Wi-Fi
- Управление и мониторинг сети
- Видеонаблюдение
- Оборудование GPON
- Модемы
- Power over Ethernet
- PowerLine
- Медиаконвертеры
- Переключатели KVM
- Сетевые адаптеры
- Устройства USB
- Устройства VoIP
- Устройства xDSL
- Сортировка: По умолчанию
- Сортировка: Название (А — Я)
- Сортировка: Название (Я — А)
- Сортировка: Цена (низкая > высокая)
- Сортировка: Цена (высокая > низкая)
- Сортировка: Рейтинг (начиная с высокого)
- Сортировка: Рейтинг (начиная с низкого)
- Сортировка: Код Товара (А — Я)
- Сортировка: Код Товара (Я — А)
- 1
- 2
- >
- >|
- Каталог D-LINK Межсетевые экраны сертифицирован для продажи в России — фото, технические характеристики, условия доставки по Москве, Санкт-Петербургу и России.
- Для того, чтобы купить Межсетевые экраны в магазине ru-dlink.com, достаточно заполнить форму онлайн заказа или позвонить по телефону: +7 495 179-34-22
Пример настройки межсетевого экрана D-Link DFL-860E
В данном документе описаны основные шаги и принципы, которые нужно учитывать при работе с межсетевым экраном D-Link DFL-860E. Роутер является достаточно продвинутым для использования в сложных конфигурациях и обладает широкими возможностями. На данном примере хорошо видно как эти возможности можно использовать при одновременном подключении двух провайдеров, один из которых – Beeline (бывшая Корбина), отличающийся нетривиальностью подключения
Надеюсь что прошивку Вы обновили на заводскую! Иначе дальше можете не читать.
Последовательность действий:
- Создание адресной книги
- Конфигурирование интерфейсов
- Настройка маршрутизации
- Настройка правил безопасности
- Конфигурирование VPN сервера
- Настройка маршрутизации VPN
- Настройка правил безопасности
- Устройство сети
Сеть состоит из внутренней сети LAN, Сети DMZ
Снаружи подключено два провайдера. Один провайдер – Corbina (Корбина) или Beeline (Билайн) подключен к интернет через соединение l2tp с получением динамического IP адреса. Второй провайдер ПТН, подключен через ADSL модем с прямым статическим IP адресом.
Необходимо обеспечить выход офисной сети в интернет через канал Корбины, и обеспечить работу внутренних сервисов через второго провайдера ПТН.
Вся сложность в том, что интернет-соединение от Корбины имеет динамические параметры.
Последовательность шагов настройки роутера D-Link DFL-860E
2 Создание адресной книги D-Link DFL-860E
В таблицу адресов вносятся адреса объектов которые взаимодействуют с роутером
3 Конфигурирование интерфейсов D-Link DFL-860E
Настройка соединения с интернет-провайдерами. В DNS ничего не меняем. Все адреса будут присвоены провайдером автоматически. Или если во внутренней сети уже существует DNS сервер
Настраиваем интерфейсы. Заходим во вкладку Interfaces–Ethernet
Wan1 подключен к Корбине. Адрес получает автоматически.
Вкладка Hardware по умолчанию
Во вкладке Advanced проверяем назначение метрики, и автоматическое добавление маршрутов
WAN2 подключен к ПТН, через ADSL модем, который работает в режиме моста. Адреса на этот интерфейс задаются в адресной книге
Если этот интерфейс у нас является вспомогательным, те весь трафик по умолчанию идет через Корбину, то на него необходимо прописать метрику больше чем для интерфейса Wan1. Надо отметить, что в сложном маршрутизаторе маршрут по умолчанию всегда должен быть один. У основного маршрута всегда метрика должна быть меньше чем у других. Одинаковые метрики для маршрута по умолчанию ведут к раздвоению пакетов и неработоспособности многих сервисов.
Корбина известна своим геморройным подключением через сервис L2TP и PPTP. Для этого идем в PPTP/L2TP Clients и настраиваем соединение. Для того что бы интерфейс получил правильные адреса и таблицу маршрутизации необходимо правильно прописать удаленный хост. Дело в том, что у Корбины адрес хоста определяется автоматически. Прописываем туда следующую запись: DNS:internet.beeline.ru. Достоинство данного роутера в том, что он может разрешать адрес удаленного хоста. К сожалению, не все роутеры, даже продвинутые имеют такую настройку.
Во вкладке Security почти ничего не меняем, а во вкладку Advanced прописываем метрику и MTU
С метрикой надо поподробнее:
Из текущих настроек наименьшую метрику имеет интерфейс WAN1 значение – 100. А L2tp- client имеет значение 120. Т.е весь трафик по прежнему будет идти во внутреннюю сеть Корбины. А нам нужно, чтобы весть трафик из внутренней сети шел уже через новое L2TP-соединение Установить метрику L2TP-Клиента меньше чем на WAN1 мы не можем, потому, что тогда интерфейс от Корбины не получит настройки и таблицу маршрутизации и L2TP-соединение не установится. Поэтому метрика изначально ставится больше. Когда интерфейс L2TP получит все адреса и туннель будет установлен, тогда таблицу маршрутизации можно будет менять динамически. Для этого и будут использоваться динамические правила маршрутизации.
Обратим внимание, на метрику на интерфейсе L2tp -110, которая больше метрики на wan1 -100
Весь трафик идет через wan1, во внутреннюю сеть Корбины. Следующий пункт делает возможным направление интернет трафика из внутренней сети в установившееся l2tp соединение
4 Настройка таблиц динамической маршрутизации для правильного направления трафика D-Link DFL-860E
Смотрим основную таблицу:
Как видим есть 3 маршрута с разными метриками. Основной маршрут с метрикой 100
Маршрут в интернет соединение Корбины L2TP с метрикой 110
Запасной маршрут в ПТН с метрикой 120
Задача трафик из внутренней сети Lan пустить через l2tp канал Корбины
Создаем для этого еще одну таблицу маршрутизации forward_routing
В этой таблице запись 1 – маршрут всего трафика через интерфейс L2TP с метрикой 80. Включаем мониторинг маршрута. Когда этот маршрут становится не доступен, то начинает работать запись 2, которая пускает весь трафик в интерфейс wan2 через запасной канал ПТН
А теперь самое интересное
Идем в раздел Routing Rules и создаем правила для таблиц маршрутизации
Правило 1- short_lan_to_corbina дает возможность динамического применения таблицы маршрутизации
В случае если источник находится в сети Lan и, направляется согласно метрике в основной таблице в Wan1, к нему применятся таблица маршрутизации forward_routing, которая направляет его в интерфейс L2TP. Для приходящих обратно пакетов работает таблица main
Для того чтобы наружу могли работать внутренние сервисы, необходимо создать еще одно правило: short_corbina_back, согласно которому, входящие пакеты приходящие на интерфейс L2tp_corb должны направляться согласно основной таблице main, а возвращаться согласно той же таблицы forward_routing
Для того что бы через интерфейс wan2 можно было раздавать сервисы из внутренней сети в интернет необходимо создать динамическое правило для входящих пакетов. Сначала создается дополнительная таблица маршрутизации forward_routing2
В ней создается маршрут по умолчанию с метрикой 80 для интерфейса wan2
Для того чтобы входящие пакеты с интерфейса wan2 могли попасть во внутренню сеть и выйти обратно через тот же интерфейс wan2 необходимо создать еще одно правило: short_wan2_back
Согласно этому правилу, входящий пакет с интерфейса wan2 разгуливается согласно основной таблицы маршрутизации main, а обратный пакет направляется согласно таблицы forward_routing2. Таким образом можно заставить правильно работать, например, web-сайт, который находится во внутренней сети через запасной канал wan2. Пакеты будут правильно приходить и уходить через один и тот же интерфейс.
5 Настройка правил безопасности D-Link DFL-860E
Правило 2 разрешает пинг маршрутизатора из локальной сети
Правило 3 в данной папке включает NAT от интерфейса L2TP Корбины во внутреннюю сеть
Правило 2 в данной папке включает NAT через интерфейс второго провайдера во внутреннюю сеть
Правило 1 в данной папке позволяет пинговать внешний IP адрес L2TP интерфейса
Правило 2-5 проброс сервиса ftp из внутренней сети через интерфейс L2TP Корбины в интернет
Правило 6 включает преобразование адресов NAT на интерфейсе L2TP Корбины
Правило 1-13 проброс внутренних сервисов через интерфес WAN2 второго провайдера в интернет
Правило 14 включает преобразование адресов NAT на интерфейсе WAN2 второго провайдера
6 Конфигурирование VPN сервера D-Link DFL-860E
Данный маршрутизатор можно использовать как L2TP –Сервер для подключения удаленных пользователей через защищенное соединение по протоколу IPSEC.
Заходим в Authentication Objects
Создаем новый Preshared key
Заходим в interfaces/IPSec и создаем новый интерфейс
Вкладка General:
Вкладка Authentication. Выбираем Preshared key который мы создали ранее
Во вкладке Routing отмечаем автоматическое добавление маршрута
Заходим в меню PPTP/L2TP Servers и добавляем новый сервер:
Заходим в User Authentication/ Local User Databases и создаем базу для удаленных пользователей:
После чего создам самих удаленных пользователей
Идем в User Authentication /User Authentication Rules и создаем правило аутентификации. Привязываемся там ко всем объектам, которые мы создали ранее
Во вкладке Authentication Options выбираем базу данных для удаленных пользователей.
7 Настройка маршрутизации для VPN . D-Link DFL-860E
При установке канала в основную таблицу маршрутизации автоматически добавляются интерфейсы VPN подесети. Основная задача – это разрешить трафик туда, куда нужно
8 Настройка правил безопасности D-Link DFL-860E
Разрешаем хождение трафика во внутреннюю сеть и в сеть DMZ
При желании можно правила ужесточить и назначить только специфические сервисы
Все пожелания по данному документу прошу направлять Егорову Ярославу – инженеру Компании «Глобал-Админ»
Контакты на сайте www.globaladmin.ru
Любое использование материалов данной статьи разрешаются с указанием автора и ссылкой на источник www.globaladmin.ru
Версия PDF: Настройка DFL D-Link c двумя провайдерами
Что такое Межсетевой экран d link
Межсетевой экран d-link – это, так сказать, устройство, которое контролирует доступ к сети. Оно умеет блокировать весь трафик, за исключением только того, что разрешен.
Экран работает, как приемник, т.к. принимает соединение, проводит анализ всего содержимого и тут же происходит определение трафика на его соответствие его правилам безопасности. В межсетевом экране имеется модуль доступа, который может принимать входящее подключение и тут же обрабатывать команды перед тем, как отправить трафик получателю.
Особенности межсетевого адаптера D-link
Сейчас имеются межсетевые экраны, которые обладают пакетной фильтрацией. В них есть особые программные пакеты, которые базируются на основных операционных системах или на аппаратных платформах самих экранов. Если использовать межсетевой экран с пакетной фильтрацией, то все соединения не прерываются, а четко направляются к конечной системе.
Если на компьютере нет защиты межсетевым экраном, то даже не стоит задумываться о постоянном доступе в интернет. Даже, если вы думаете, что на вашем компьютере нет той информации, которая бы кому-то понадобилась, то все равно найдутся умельцы, которые смогут зайти на ваш сервер и использовать ресурсы вашего трафика.
Определение межсетевого адаптера D-link
Межсетевой экран представляет собой коммутатор, который защищает компьютер или другое устройство от входящих пакетов информации не соответствующих кодировке или несущих в себе информацию, повреждающую работоспособность ПК. Это отличная вещь для защиты вашего устройства. Некоторые модели с индексом n или w способны передавать беспроводной сигнал, заранее обработанный и синхронизированный. Данный вид устройства используют исключительно в предпринимательстве. Причём здесь есть критерии использования, то есть чем больше организация, тем более требовательным должен быть межсетевой экран. У вас может возникнуть вопрос: «Почему не надо покупать в маленькую компанию или частное предприятие требовательный межсетевой экран?» Отвечу на этот вопрос легко и метафорически. Его не стоит покупать на маленькое предприятие, так же, как и не стоит покупать формулу 1 для езды по дорогам со скоростью в 70 километров в час, (если только для пафоса).
Классификация межсетевого адаптера D-link
Межсетевой экран d link подразделяется так сказать на классы по производительности для малого бизнеса, среднего и крупного, а также для SOHO сетей, что обозначает «Small Office, Home Office» и переводится по-русски, как «маленький офис, домашний офис». Для «домашней сети» подойдут межсетевые экраны d link с небольшой скоростью обработки и передачи, около 100-150 Мбайт в секунду (этой скорости хватит, чтобы работать с интернетом небольшому количеству людей). Для «малого бизнеса» подойдёт межсетевой экран d link со скоростью 200–250 Мбайт в секунду, это идеальный вариант для коллектива, в котором находятся не более 60 человек. «Среднему бизнесу» подойдёт более производительная модель данного устройства со скоростью от 700 до 1.5 Гбайт в секунду, (более производительную модель стоит выбирать, если человек в вашей компании очень много). А для «большого бизнеса» нужна по настоящему большая скорость от 1.5 Гбайт до 2.5 Гбайт, а в некотором случае даже 3 Гбайт. Здесь указаны критерии, по которым стоит покупать заданное устройство. Не стоит переплачивать лишние деньги за более дорогую и «быструю» модель, так как она не даст вам чего-то большего, чем та, которая вам подходит по критериям. Расчётная формула такова: на каждого человека по 4-5 Мбайт в секунду. По ней вы примерно можете ориентироваться какое устройство вам купить.
Преимущества межсетевого адаптера D-link
Межсетевой экран d link сделан из качественного пластика и сплавов металла. Аппарат очень хорошо укомплектован. Очень легко открывать и закрывать, чистить от пыли. Данное устройство работает при температуре от -20 и до +70 градусов по Цельсию (оптические коммутаторы схожие по назначению, работают почти в том же диапазоне). Он обладает огромным количеством функций по защите информации, получаемой из интернета (встроенный антивирус, фильтр контента, маршрутизатор, защита от DDoS атак и многое другое). Он отлично подходит для любого вида и масштаба организации.
Межсетевой экран d link купить можно на нашем сайте, причём разных видов, которые мы разбирали выше. Межсетевой экран d link цена? Цена зависит от «скорости» устройства, которую вы выберете.