易用强大 网件新款VPN防火墙试用

最近网件（Netgear）公司推出了一款针对中小企业的安全产品——FVS336G，这是一款双WAN千兆端口防火墙，它提供两种类型的虚拟专用网（VPN）通道：安全套接字层（SSL）和IP安全（IPSEC），实现最佳的安全连接到你的网络。SSL VPN的通道为个人获得随时随地提供无需任何客户端远程访问你的企业数据，而IPsec VPN技术提供安全的站点至站点间的通道和支持基于客户端的远程访问。

2XdkzQ/J5sW0　　从外形上看，FVS336G的外形大小是25.4 x 17.8 x 3.96 厘米，比网件的其它4口路由器要略大一些，不过其电源是内置设计的，安全起来非常方便。IXPUB技术博客^3g#Lv}0GN9W

'q0nQ;D jrY$z0　　网件这款产品的颜色是蓝色金属色，显得高雅深沉，设备上的指示灯包括电源、WAN口和LAN口的状态灯。

eqs7C7SV(R0IXPUB技术博客gv'oq[)Q

网件的VPN防火墙FVS336G可以支持多达25条 IPsec VPN 通道和10条块 SSL VPN 通道;具有状态检测防火墙，可以防止拒绝服务(DoS)攻击、多线程VPN 穿透、SYSLOG 和 Email 报告等功能;同时它还具有四个千兆局域网端口，可以保持你的数据高速传输，而两个千兆WAN 端口采用负载均衡或链路备份模式，以确保最大的吞吐量和可靠地连接到互联网上。支持网络地址转换(NAT)和传统路由，支持多达253个用户同时访问宽带连接。

3? h;^Rf0ks9j{u'Q0IXPUB技术博客W K4Gt%G(]z

　　对于网络管理员来说，在FVS336G上还可以设置很多选项来进行优化，而且对于多数设置来说它是非常直观的。表1列出了它的几个主要配置部分及相应的子菜单设置。IXPUB技术博客 g(L+Qfo(y"I U\

n8I/y-@"I;\'u r0

表1、FVS336G菜单组成IXPUB技术博客1ILvF0Z:E!Izl

IXPUB技术博客+wVLuL&d9],N;b

　　在FVS336G的配置中比较重要的部分是实现网络访问、安全和VPN设置菜单等，这也将是本篇评测文章所要重点关注的。让我们先来看一下它的VPN功能。IXPUB技术博客w&KDZA,@ i

IXPUB技术博客TSyd$s0_M0g%o#|4]J

两种通道模式 VPN功能实测

&_(P({J3mvH0IXPUB技术博客@.]oaco*S

　　网件的FVS336G是一个VPN设备，它可以同时支持高达25个IPSec和10个SSL VPN通道。无论是通过SSL通道，还是通过IPSec通道，都可以实现远程访问，而且有足够多的IPSec通道来支持多个站点到站点的安全连接。

Z8Y2H\g#I#a ~0IXPUB技术博客} D}-nc

　　我们可以通过站点对站点配置或网件的VPN客户端软件来创建IPSec通道。SSL VPN通道是一个新增加的功能，与复杂的IPSec VPN相比，SSL通过简单易用的方法实现信息远程连通。任何安装浏览器的机器都可以使用SSL VPN， 这是因为SSL内嵌在浏览器中，它不需要象传统IPSec VPN一样必须为每一台客户机安装客户端软件。IXPUB技术博客:~%U j~EHNzN

IXPUB技术博客BB:^[9?Y

　　在FVS336G上你可以迅速的建立IPSec站点到站点通道。我在通过公网将FVS336G连接到一个SonicWALL TZ190W的过程中没遇到任何问题。使用网件的VPN向导，按照以下过程我创建了如下图3所描述的一个VPN策略：

#wY4r4M5`&@0IXPUB技术博客{RV"w3yP/RU+f7g

　　1、选择网关通道类型。

dJwcXh,|t+s0IXPUB技术博客"}9d"mJv'iP

　　2、在连接名称和预共享密钥字段中输入一个名称和密码。在下面的例子中，我输入了“VPN to Other Site”作为我的连接名称，“mypassword”作为预共享密钥。IXPUB技术博客Tj/lHFCe7~

jt5dp;i4x/e0　　3、为每一个终端输入WAN口IP地址或域名称，诸如下面的“Othersite.domain.com”和“thissite.domain.com”。如果你使用的是一个具有静态地址的网络服务提供商服务，那么IP地址是一个更可靠的终端识别方式。

L3? ]!B;E8^7l~0IXPUB技术博客M,R"Z
P5C9_k2T$O

　　4、输入远程网路的子网和掩码(注意，远程网络是在通道另一端的网络，它应该是一个与本地网络不同的子网。)

9Q3{CZ/B Hcd0IXPUB技术博客+q [9`;jbX

使用这个VPN向导创建一个VPN策略的同时会自动创建一个相应的IKE(因特网密钥交换)策略。我发现修改本地和远程的标示类型(Identifier Type)部分为Local WAN IP和Remote WAN IP效果最好，甚至当你使用的是域名而不是静态IP的时候也是如此。IXPUB技术博客,G$\2T%xb&{td*qz

IXPUB技术博客/U/ONDe/FG5l)N

VPN和IKE策略被创建后，也可以被编辑修改。举个例子来说，如果需要的话，可以将加密方法从3DES改到AES-256。注意使用VPN向导的时候，阶段1的Main Mode和阶段2的完全转发安全性(PFS)是自动选择的。这些选项需要根据通道另一端来进行设置。IXPUB技术博客C VYk^#eds

Y'_Ynhh.b4C0　　根据我的经验，配置本地和远程标识选项的时候非常容易发生配置不匹配的情况。注意通道安全性已经通过一个预共享密钥建立起来了。IXPUB技术博客.Z u|Z7t0]*Rt)j,z

lE] kO/F }(M$B0　　在没有设置这两个字段的情况下，我已经成功的在不同品牌的路由器之间创建了站点到站点的通道。我发现，首先按照最基本的设置来建立起一个通道，然后在此基础上增加更多的设置，这种方式会更加高效，会少走更多弯路。IXPUB技术博客+Xr
U"LU

)p Y0@G;r"B,M&l0　　我尝试了不同的加密设置，非常高兴的发现在FVS336G中3DES和AES-256加密都可以被很好的支持。在网件以前的FVX538中使用AES-256的时候我碰到过一些问题，但是在FVS336G中没有这些问题。IXPUB技术博客6Y1T!z^xM

fW:dcTm6Z0　　FVS336G也同时解决了FVX538中的VPN延迟的问题。下表是FVX538和FVS336G与其他设备连接的时候的延迟时间对比。IXPUB技术博客K@6B+o:VS,jj A2e

N? ^*_x,XvF8zr0

表2、延迟时间IXPUB技术博客eFeie

N;G3GI,L$A IFRP0　　在我测试的过程中，我发现我的NETGEAR-SonicWALL站点到站点VPN通道断了好几次。经过调查发现为问题的根源在于我的ISP商修改了我的WAN IP，然而NETGEAR动态DNS客户端没有对域名服务进行更新。因此，在站点到站点通道的NETGEAR端的WAN接口的域名没有被映射到合适的WAN IP，因此连接被断开。

-tT'm(iz*CU
d%A0IXPUB技术博客YY;YP:|}.s:N

　　这是NETGEAR设备存在的一个问题，当然，如果你在通道两端都使用静态IP地址的话，就不会出现这个问题。IXPUB技术博客w2VlDQ+p w$z

IXPUB技术博客 `v.Q#}0| uz-v,t9o

VPN远程访问实现测试IXPUB技术博客:|w!s&YII [

._ |Xg _O)Z0　　VPN的另一个主要应用是让远程用户来访问网络。正如上面所提到的，FVS336G提供了两个安全通道选项：IPSec和SSL。不过需要注意的是，NETGEAR只为它的SafeNet SoftRemote 10.8.0(Build 20)IPSec客户端包含了一个授权。另外，这个版本已经被升级成可以支持微软的Vista操作系统。IXPUB技术博客(`+X I]Xm5i5^|

ET6RO:CXCL0　　尽管这个软件已经被升级，配置和使用IPSec客户软件的方法并没有发生比较大的变化。在路由器和PC之间建立IPSec软件是一个详细的过程，要求在路由器和客户端上同时准确的配置ID信息、认证和密钥交换。IXPUB技术博客
dfry"V]

$mUYV Jo;]/LuX0我曾经测试过很多厂商的IPSec客户端，但一直没有碰到过非常容易使用的一个，NETGEAR的也不例外。我发现在网件的FVS124G、FVX538和FVS336G上配置IPSec客户端连接都不是一件让人感觉轻松的事情。IXPUB技术博客9c-dI;g.N$J Xl

[5R$q+Lp]7Sc0　　在FVS336G中只包含了一个IPSec VPN授权，这意味着NETGEAR似乎在引导客户使用SSL VPN来保护远程访问用户的安全。在我看来，这是一件好事情。IXPUB技术博客#{6s:v |5u(ka

*u*}s3i)HB!E0　　SSL VPN连接简单而且清晰，无需配置太多选项，无需在PC机上手动安装和配置什么应用软件。无论是对网络管理员还是对终端用户来说，NETGEAR的SSL VPN技术都简化了VPN连接的复杂性。

TN#S_F1^2}F,I0IXPUB技术博客du$~p5h M~W+U

　　在NETGEAR上启用SSL VPN访问的过程，就是一个“定义用户、选择一些简单的选项、通知终端用户加载网页插件、然后优化安全选项”的过程。增加用户非常简单.IXPUB技术博客/H2~U t$\V!SZ/_

,^)INCN{D8\b0在NETGEAR设备中的SSL VPN的一个漂亮的功能是，它可以定制SSL VPN用户在远程访问网络的时候所看到的页面。当然还有更多的定制选项可用，网络过管理员可以利用这个功能提供给终端用户更多的信息或指导。IXPUB技术博客
f4m({@'}3fC

IXPUB技术博客.c t;k/Z1u%S7mq

SSL VPN给网管带来的方便之处IXPUB技术博客]l6v3Z"Dh

IXPUB技术博客h#C\OC|

　　为了让网络管理员获得更高级别的NETGEAR的SSL VPN的实现以三种选项为网络管理员提供了更高级别的访问控制和安全性：全通道模式(Full Tunnel Mode)，分离通道模式(Split Tunnel Mode)和端口转发模式(Port Forwarding)。IXPUB技术博客cmNw:J.O;[!}4D

@!Tv"~5\W%w0　　全通道模式可以允许一个远程用户没有限制的完全访问局域网。我发现这种访问级别是必要的，因为它也通过VPN通道为远程客户端路由一些简单的Web浏览。IXPUB技术博客#|9`,B*W b:i L

Z2EZ3mL:])F.vN)?H0　　分离通道模式是全通道模式的一个子集。这个模式允许远程客户可以完全访问在336G后面的局域网，同时将Web冲浪交给终端用户的本地连接。IXPUB技术博客~hC"}%eN E

IXPUB技术博客_-g@ef-Q|

　　在这种模式下，远程客户端使用一个不同于NETGEAR的LAN子网的IP地址，它然后将被路由到局域网子网上。

/QU0^^)K[K0

u:a{ax#Mz9N
o3oj0为SSL VPN客户端使用不同的子网，其思路与NETGEAR的IPSec VPN客户端的Mode Config选项非常相似，它在VPN客户和主局域网之间创建分开的路由网络。然后我们可以在VPN子网上应用限制策略，通过针对源IP地址的限制访问来提高安全性。

K'tR*x?+WeU
[w0IXPUB技术博客9u)zD&f{"V#Dke$_

　　分离通道模式要求在VPN客户子网和NETGEAR的LAN子网之间创建一个静态的路由。这个设置需要两步操作就可完成。

fZUm(ndur3d0

@;at/ZW
d0通过分离通道模式，一个远程客户端无论是在连接到因特网的任何地方，都可以通过路由访问NETGEAR的LAN子网192.168.3.0/24。使用NETGEAR的SSL VPN实现，我能够通过远程桌面、VNC和SSH服务访问我的Windows和Linux服务器，同样也可以映射我的网络驱动器。IXPUB技术博客C2y8lu%K*\

o*MbzyZ0　　还有一件令我印象深刻的事情是，通过VPN通道ping局域网设备几乎没有延时上的增加。正如上面的表2所示，在通过VPN通道来ping广域网WAN接口和LAN设备的时候，延时几乎没有什么不同。毫无疑问，在一个VPN通道内进行封装和加密等操作，难免会增加一点延时。令我印象深刻的是两者之间的延时只有1ms或没有区别。IXPUB技术博客'].U0T.l~$vz

IXPUB技术博客r*VZuM

　　更多的SSl VPN客户端配置可以通过使用User、Group和域配置来完成。而且，FVS336G可以被配置使用一个RADIUS服务器来实现用户认证。最后，你还可以创建用户策略来定义哪一个浏览器可以允许实现终端用户访问。IXPUB技术博客$}Bd]H
v:`

IXPUB技术博客!?7C,R3IO_{b

VPN防火墙网络配置体验IXPUB技术博客8@5|
y
] UnE

IXPUB技术博客"\"_`D!{m

　　在选中WAN和LAN选项的时候可以进行网络配置。每一个WAN端口可以连接到一个不同的ISP商中，无论是使用PPPoE，还是以太网，无论是具有动态分配地址，还是静态IP地址。和FVX538和FVS124G中一样，它的双WAN口连接可以用来配置实现自动切换或复杂均衡模式。

'f*C }n.iDEe0

;@4@%x%_T:[/S0　　在自动切换模式中，以WAN1作为主连接，一旦预定义的重试间隔次数被耗尽的时候，会自动切换到WAN2。切换时间是经过4次间隔为30秒的重试连接，也就是经过2分钟后，如果还是连接失败则自动切换到另一个WAN口。

Y0np5_8H G(I tP0

&bX:] r'Of0为了测量实际的失效转移效果，我选择了重试间隔为30秒，重试两次失败后进行转移。平均测试结果是，一般在WAN1失效后1分钟10秒左右WAN2口被激活。IXPUB技术博客1aU"Z6U r$@7ww4ty,{SS

IXPUB技术博客,LzU7s6lQu/@5f

　　除了失效转移模式外，双WAN口连接可以实现负载均衡模式。有的朋友可能以为同时使用两个因特网连接具有优势，但是这种配置可能会导致某些路由问题。这些问题可以通过设置协议绑定(Ptotocol Binding)将特定的通信类型映射到不同的接口上。IXPUB技术博客}/HS8Ug2z*|a

IXPUB技术博客$fFh{r(c

　　举个例子来说，映射网页和电子邮件(协议是HTTP、SMTP和POP3)通信到一个WAN接口上，而将其他所有通信映射到另外一个WAN接口，这就是将通信数据通过不同的WAN接口实现分离的最简单的方法，使用这个功能你可以根据你的通信类型的需要实现数据分流。

;ZlE0Z\L0IXPUB技术博客\1b3Cv;_T

　　对于FVX，还有多个LAN配置选项。LAN子网可以被定制为任何网络;我设置我的子网为192.168.3.0/24。我非常喜欢NETGEAR的LAN Groups菜单。这个FVS设备被设计使用在小型办公网络的核心，可以支持253个节点。IXPUB技术博客W;b$Y T![0l3z;w,O:Zm#^

IXPUB技术博客rK8N/T(Ayv'U Z

　　如图11所示，我的测试FVS连接了15个不同的设备。使用LAN Groups菜单，一个系统管理员可以轻松的为每一个设备命名，一旦一个设备被起了名字并保存在LAN Groups中后，就可以通过这个漂亮的表格来组织管理这个LAN设备。IXPUB技术博客5?1o.n(X
U4l;h

IXPUB技术博客)eQ&q-A^x0}

FVS336G同时支持静态和动态路由。在动态路由协议方面，FVS336G支持RIPv1和RIPv2。

b#W1Ml*\ TPS0

C(nZmQrJ5vM0更多安全功能测试

Q|D;a9V8v
\:o#g7y&{ K2U0IXPUB技术博客/?*|(VqMA8H3N

　　FVS336G具有多个安全选项来定制它的状态数据包检测(SPI)防火墙。默认情况下，一个状态数据包检测防火墙阻挡所有不是由LAN设备发起的WAN-LAN通信。NETGEAR具有54个预置的TCP/UDP服务，诸如HTTP和FTP等，以简化打开防火墙上的端口的操作。如果需要定义更多的端口，可以通过Services菜单来实现增加需要的定义。IXPUB技术博客Zy r:|}?h9Z

IXPUB技术博客^~.HqBu

　　另外，你还可以通过创建防火墙规则来通过从特定目的端口到特地IP地址的通信。另外，可以将三种不同的计划来应用到任何特定的防火墙规则上。IXPUB技术博客 rl#l"\#R

IXPUB技术博客$A{Q+xZk} {

这个FVS设备还具有内容过滤功能，可以被配置来侦测在一个URL中的文本内。不过令我失望的是，一个足够聪明的用户可以通过使用IP地址代替URL的方式来绕过URL文本过滤。在这个阻挡列表中可以添加64个关键词。加入信任列表的URL如果包含过滤的字词可以被允许通过。

})LT I4q7d0

4C4U$t;X w"@ g-e0　　举个例子来说，为了阻挡“ogle”这个词但是允许访问“google.com”，你可以定义“ogle”为一个阻挡关键词，而将“google.com”加入到信任域中。IXPUB技术博客J@mv!ALxV

Ej$uXWWU{$K0注意：FVS336G的Web过滤是侦测URL，而不是Web页面的内容。如果令人讨厌的网站的链接中如果不包含定义的单词的话，可以通过内容过滤。IXPUB技术博客4hk Z Ys3^Z$_

v#ze!iK,Jz"C0　　另外，FVS336G还支持MAC地址过滤功能，可以阻挡特定终端用户访问整个互联网。IXPUB技术博客/dx$UjL$mL)d r

IXPUB技术博客%J;L/{z8z?

　　在FVS336G中一个缺失的功能是，它不能定义一个端口或特定的服务器在DMZ区中。据网件官方说，这个功能将在以后推出。IXPUB技术博客4E5i H~fH6FDT

IXPUB技术博客h'U(m
U S0f%r8O

　　FVS336G还包含了多个网络故障排查工具，其中包括ping、防火墙和VPN故障排查日志输出、DNS查询和数据包捕获等功能。另外，它还有一个非常有用的调试功能，这个功能可以输出在不同设备之间发送的数据流，在故障排查的时候非常有用。

2D Z%lF
l{ E1J7pD0

Ub/j0m/xN8`!Tr0试用总结：易用强大，适合小型企业用户IXPUB技术博客`"dB2boZ?|]U

IXPUB技术博客%v"y;}8?&Gg}X\M

　　FVS336G的SSL VPN是一个集安全性和灵活性于一体的更佳解决方案。SSL VPN让连接远端用户不再是一件令人头疼的事情，而且节省了很大的成本。通过SSL VPN，用户无需支付客户授权费用。IXPUB技术博客5mX!o wT7\

IXPUB技术博客&ev;p)z*]a/[jw

　　美中不足的是，通常一个产品的第一版总存在这样或那样的缺陷，FVS336G也不例外。它在处理动态DNS更新时存在响应慢的问题，而且缺少了DMZ功能，希望网件公司能够尽快发布新的固件程序来解决这两个问题。

bGl?;[h,oqc0IXPUB技术博客n1`DJ,D:m t"b

　　总体来说，FVS336G防火墙整合了网件的基于IPsec的ProSafe VPN产品线的强大性和SSL VPN的易用性。对于小型商业客户来说，是一款简单易用而又功能强大的安全产品。

|le{-K\([4l9Q0