Роутер Halon SX-101X: маленький, но очень серьезный

Олег Горобец, 

Аппаратный маршрутизатор – это быстро, надежно и безопасно. Однако мощные и полнофункциональные решения от крупных производителей стоят недешево – настолько, что даже средних размеров компания не всегда может позволить себе такое решение. Неужели не существует устройства, которое, обладая хорошими возможностями и быстродействием, позволило бы экономному покупателю обойтись без перехода на голодный паек? Компания Halon, предоставившая нам на тестирование роутер SX-101X, уверена, что выход есть…

Предположим, вы – сисадмин. В один прекрасный день вас вызывает на ковер начальство и высочайше повелевает: снабдить доступом в Интернет новый филиал компании. Первая мысль, которая в подобной ситуации приходит в голову многим администраторам – это «компьютер, две сетевые карты, операционка из категории *NIX – и вороти чего душе угодно». Спору нет, решение удобное. Простейшая шлюзовая машина элементарно настраивается даже малоопытным сисадмином, особенно с использованием удобных утилит, которые сейчас есть почти в любом дистрибутиве Linux. Однако, как только начинает требоваться нечто более сложное (например, связь между офисами по защищенному туннелю, настройка сложной маршрутизации или обеспечение качества сервиса (QoS) для различных типов трафика), требования к квалификации резко возрастают.

Кроме того, существуют еще минимум два параметра, которые необходимо учитывать – это быстродействие и безопасность. Быстродействие подразумевает достаточную мощность шлюзовой машины для выполнения всех возложенных на нее задач; компьютер, собранный «по сусекам» из старинного хлама может и не потянуть все возложенные на него обязанности. Безопасность – значит, прежде всего, способность сопротивляться взлому. При всей своей гибкости и почти бесконечных возможностях, шлюз на базе компьютера под управлением *NIX представляет собой объект, привлекательный для взломщиков. Создание грамотно организованной, устойчивой к взлому системы представляет собой искусство, которым владеет далеко не всякий юниксовый администратор.

p_router_nag_ru
Типичный юниксовый шлюз.

- Не нравится *NIX? Так пойдите и купите аппаратный маршрутизатор! - воскликнут многие. Что ж, идея хороша. Аппаратный роутер быстр и способен выполнять множество различных задач; возможности некоторых моделей наращиваются с помощью системы модулей и программных апгрейдов. Взлому он подвержен в значительно меньшей степени, нежели программный шлюз. Но цена! Далеко не всякая компания может позволить себе полнофункциональное решение на базе маршрутизаторов одного из ведущих производителей. Попытка сэкономить, купив роутер «домашнего» класса, может легко привести к разочарованию: большинство таких устройств не рассчитано на нагрузку, которую способна дать сеть даже из пары десятков машин. К тому же, набор функций в таких маршрутизаторах обычно ориентирован на работу именно домашних пользователей. Им не нужны ни виртуальные сети (VLAN), ни поддержка технологии FailOver (переключение на альтернативную линию связи при перебоях в основной – прим.), ни балансинг для распределения нагрузки между несколькими серверами.

Неужели не существует золотой середины? Маленькой, недорогой, простой в настройке – но обладающей хорошим набором функций и способной вынести серьезные рабочие нагрузки? До недавнего времени я склонялся к отрицательному ответу на этот вопрос. Но теперь могу сказать с уверенностью: повод для оптимизма есть, и дает его небольшая синяя коробочка под названием Halon SX-101X. Это – маршрутизатор, который выпускает под торговой маркой Halon шведская компания ScalSoft AB, известная своими решениями в области сетевой безопасности.

Комплект

Поставляется маршрутизатор в аккуратной серебристой коробке с черным логотипом HALON. Внутри обнаружился сам аппарат, блок питания к нему, нуль-модемный шнур и трехметровый патч-корд категории 5e. Из бумажных материалов в упаковке нашелся лишь рекламный проспект, в котором перечислялись особенности трех аппаратов линейки SX, и листочек, озаглавленный «QuickStart” («Быстрый Старт»), на котором был описан способ первичной настройки роутера. Скорее всего, в комплекте официальной поставки будет и набор бумажных руководств по настройке; пока же их можно скачать с сайта производителя.

p_Box
Оригинальный файл

Внешний вид

Маршрутизатор представляет собой небольшую металлическую коробочку размером 222х155х36мм, окрашенную в приятный синий цвет.

p_3_4
Оригинальный файл

На передней грани расположены светодиодные индикаторы. Их там 10: Power (питание), Active (означающий готовность системы к работе), а также 4 группы по два диода (Link и Active), показывающие состояние четырех сетевых портов устройства – WAN, LAN, DMZ1 и DMZ2.

p_front
Оригинальный файл

На задней грани обнаруживаются собственно сетевые порты, разъем для подключения блока питания и разъем USB-типа, обозначенный как Option. По словам представителей компании, в ближайшем будущем этот разъем будет служить для подключения 3G-модема; соответствующая модификация прошивки должна появиться в августе-сентябре.

p_back
Оригинальный файл

Более никаких деталей на корпусе SX-101X нет – кроме, разве что, четырех пухлых резиновых ножек. Да-да, именно так – никаких вентиляционных отверстий. Производитель с гордостью подчеркивает, что устройство обходится без вентиляторов. На первый взгляд, это вызывает беспокойство, но за неделю непрерывной работы, включая и весьма жаркие часы в середине дня при неработающем кондиционере, синий корпус аппарата оставался еле теплым.

p_down
Оригинальный файл

Тем не менее, я бы, лично, не стал помещать Halon SX-101X в стойку, плотно забитую серверами и коммутаторами. Указанный в технической документации рабочий температурный режим – от 0 до 45°С, но береженого, как известно, бог бережет.

Начинка

Компания ScalSoft AB имеет большой опыт создания систем безопасности на базе UNIX. В качестве основы для специализированной операционной системы H/OS Extreme была взята знаменитая BSD версии 4.4. О стабильности этой ОС ходят легенды; ее работа с сетями считается едва ли не эталоном надежности и совместимости. Создатели H/OS утверждают, что их система вобрала в себя все лучшее от своей именитой прародительницы. Полностью оценить истинность этого утверждения сложно, но за все время тестирования роутер ни разу не повис и не выдал ни одной ошибки. Веб-интерфейс корректно отображался во всех браузерах, демонстрируя четкую и быструю работу.

«Железо», на котором в SX-101X работает H/OS Extreme, впечатляет: процессор 1GHz, 256Mb RAM. Это уровень, которым обладают устройства, предназначенные для сетей «среднего» размера, что вполне соответствует позиционированию продукта. Аппаратный апгрейд, к сожалению, невозможен – но остается возможность программной кастомизации; прошивка роутера имеет модульную структуру и, в зависимости от приобретаемой лицензии, может быть укомплектована именно теми функциями, которые нужны клиенту.

Немного о способах доступа к устройству.

В упомянутом выше листочке “QuickStart” упомянуты два способа добраться до настроек SX-101X: через SSH и с помощью веб-интерфейса, доступного по адресу 172.16.0.1. Однако, будет нелишним убедиться, что в вашем распоряжении есть компьютер с COM-портом. Он может понадобиться, если что-то пойдет не так; у нас, например, аппарат отказывался выдавать адрес по DHCP, и пришлось с помощью СOM-COM шнура и программы-терминала выполнить полный reset системы. Вполне вероятно, что доступ к роутеру через COM-терминал понадобится еще не раз, когда, в процессе экспериментов с правилами файрволла, вы отключите самого себя. В случае установки SX-101X на серьезную рабочую площадку эта возможность становится жизненно необходимой.

p_comcom
Оригинальный файл

H/OS Extreme: настройка и администрирование.

H/OS Extreme предоставляет пользователю два способа настройки: через веб-интерфейс и с помощью аскетичной текстовой консоли, очень похожей на консоли управляемых свитчей и маршрутизаторов других компаний. Пользоваться обоими способами удобно – за одной единственной оговоркой: необходимо вооружиться руководством пользователя. На сайте производителя такие инструкции можно скачать, они подробны и снабжены хорошими иллюстрациями. С их помощью легко настроить практически все, что потребуется.

Текстовая консоль

Этот способ настройки доступен через SSH или с помощью COM-терминала. Структура меню одновременно представляет собой набор команд, которые могут исполняться в виде простейшего скрипта, будучи занесенными, например, в список задач, запускаемых по таймеру. Не самый наглядный способ конфигурирования, но в некоторых условиях может стать де-факто единственным.

p_Console
Оригинальный файл

Веб-интерфейс

Если вы – не юниксоид старой закалки, и зрелище графических инструментов настройки не вызывает у вас аллергию, то веб-интерфейс наверняка станет для вас основным способом общения с SX-101X.

После авторизации перед вами откроется рабочее окно веб-консоли, состоящее из двух основных областей: слева – древовидная структура меню, справа - область, в которой отображаются параметры и настройки подпунктов этого меню. Внешний вид интерфейса чем-то напоминает популярный программный шлюз Kerio Winroute Firewall. Расположение элементов хорошо продумано, и все элементы настройки, упоминающиеся в пользовательском руководстве, находятся практически мгновенно. Некоторые закладки внутри разделов могут указывать на другие разделы, образуя сеть перекрестных ссылок. Такой способ организации удобен и логичен; найти нужный элемент управления по смыслу становится очень легко.

Overview: В этом разделе доступен мониторинг основных параметров системы – утилизация памяти, процессорной мощности, состояние сетевых интерфейсов.

p_Overview
Оригинальный файл

Закладка Health демонстрирует состояние запущенных сервисов.

p_Overview-Health
Оригинальный файл

Management: Здесь сосредоточены закладки, касающиеся информации о маршрутизаторе, а также менеджер лицензий, апдейтер H/OS и система управления сохраненными конфигурациями. Кроме того, здесь же, в закладке Tools, находится маленький парк полезных сетевых утилит, таких как Ping, Traceroute, DNS Lookup и т.д.

p_Management-Overview
Оригинальный файл

Schedule: Этот раздел позволяет выполнять различные команды оболочки H/OS в заданное время. По умолчанию в списке значатся два регулярно исполняемых задания: проверка новых лицензий и проверка нового программного обеспечения.

p_Schedule
Оригинальный файл

Reporting: Здесь настраиваются оповещения, которые отсылаются на удаленный SysLog-сервер или на указанный e-mail. Событий, на которые возможно настроить оповещения, может быть множество: от превышения предела нагрузки на процессор или память роутера до срабатывания политик, настроенных в разделе правил брандмауэра. Надо заметить, что сам аппарат не сохраняет логи, и поэтому, если вы хотите знать подробности о том, что творится с вашим SX-101X, стоит уделить этому разделу пристальное внимание.

p_Reporting-Syslog
Оригинальный файл

Network: По понятным причинам, один из важнейших разделов. Здесь конфигурируются параметры, касающиеся работы физических сетевых и виртуальных сетевых интерфейсов системы.

Подраздел Basic Setup: Здесь можно настроить основные IP-адреса интерфейсов Halon SX-101X, шлюз по умолчанию, DNS, а также MAC-адреса и MTU (максимальный размер пакета) для каждого из интерфейсов.

p_Network-BasicSetup
Оригинальный файл

Подраздел Aliases: Позволяет назначать каждому из интерфейсов несколько IP-адресов – алиасов, делая их, таким образом, принадлежащими к разным сетям (адресным пространствам) одновременно. Для каждой из таких сетей могут существовать свои правила трансляции адресов, фильтрации трафика и т.д.

p_Network-Aliases
Оригинальный файл

Подраздел VLAN: Здесь настраивается принадлежность интерфейсов маршрутизатора к различным виртуальным сетям (VLAN). Виртуальные сети применяются для логического разделения групп компьютеров по соображениям безопасности, или же при использовании множества IP-сетей, когда физических интерфейсов просто не хватает.

p_Network-Vlan
Оригинальный файл

Подраздел Static Routes: В этом подразделе можно добавлять свои собственные пути в таблицу маршрутизации устройства.

p_Network-StatRoute
Оригинальный файл

Подраздел NAT: NAT – это Network Address Translation, система трансляции адресов. Halon SX-101X предлагает два варианта NAT. Первый – динамический; с помощью него множество устройств могут получить доступ к внешней сети, используя IP-адрес внешнего сетевого интерфейса роутера.

Второй – типа «один-к-одному», он же – статический. Обычно используется для того, чтобы сделать видимым снаружи сервер, расположенный внутри сети.

p_Network-NAT
Оригинальный файл

Подраздел Failover: Здесь настраивается одна из интереснейших функций Halon SX-101X. Несколько роутеров Halon могут быть объединены в единую FailOver-систему; в случае отказа одного из аппаратов, его задачи автоматически возьмет на себя сосед.

p_Failover
Оригинальный файл

В сетях с высокой нагрузкой или требующих повышенной надежности доступа в Интернет, эта опция способна стать важным элементом построения отказоустойчивой сетевой инфраструктуры.

p_Network-Failover
Оригинальный файл

Подраздел Transparent Bridges: Если нет необходимости использовать Halon SX-101X в качестве шлюза (например, если он сам находится за шлюзом), его возможно превратить в «прозрачный» мост (bridge). В этом случае два его интерфейса логически соединяются воедино, как если бы они были соединены невидимым патч-кордом. Все правила файрволла при этом остаются в силе.

p_Network-Bridge
Оригинальный файл

Applications: Под «приложениями» в H/OS подразумевается ряд служб, одна часть из которых относится к работе самого роутер, а другая – к обслуживанию запросов сетевых клиентов.

Подраздел Control Panel: Сюда же ведет закладка Health в разделе Overview. Здесь собраны в единый список все сервисы операционной системы H/OS. Отсюда возможны запуск и остановка каждого из них. Нажатие кнопки Settingsнапротив сервиса приводит к переходу в соответствующий подраздел меню, где его можно сконфигурировать. В режиме Health видно, сколько памяти и процессорной мощности отъедает каждая из служб.

p_Apps-ControlPanel
Оригинальный файл

Подраздел DHCP: Здесь настраиваются параметры DHCP-сервера H/OS, отвечающего за автоматическую выдачу клиентам IP-адресов. При желании прописывается DHCP-relay – адрес другого DHCP-сервера, на который перенаправляются запросы.

p_Apps-DHCP
Оригинальный файл

Подраздел Web Access Control: Большинство системных администраторов сталкивается в своей практике с необходимостью блокирования “нежелательных” сайтов – из соображений безопасности, экономии трафика или чтобы уберечь сотрудников от соблазнов Сети. В этом подразделе сисадмину предоставляются богатые возможности.

p_Apps-WAC
Оригинальный файл

Блокировка может производиться как по списку URL, указанных в явном виде, так и по ключевым словам. Ключевые слова могут быть перечислены в строке Data окна конфигурации WAC, либо загружены в роутер в виде файла через FTP.

URLBlocked

Подраздел Web Authentication: Эта опция позволяет включить веб-авторизацию пользователей. На основании данных авторизации, может быть организовано разграничение доступа к ресурсам сети. Кроме того, такая авторизация может использоваться для повышения общего уровня сетевой безопасности.

p_Apps-WebAuth
Оригинальный файл

Подраздел DynDNS: В некоторых случаях не получается использовать статический IP даже на внешнем интерфейсе маршрутизатора. В этом случае на помощь приходит служба динамического DNS, обеспечивающая привязку доменного имени к ТЕКУЩЕМУ IP-адресу системы. Привязка имени к адресу осуществляется после авторизации маршрутизатора на сервере компании-поставщика услуги.

p_Apps-DynDNS
Оригинальный файл

Подраздел DNS Cache: В этом подразделе можно устанавливать жесткое соответствие между доменными именами и IP-адресами. Соответствие сохраняется до тех пор, пока прописанные адреса не будут вручную удалены из списка.

p_Apps-DNSCache
Оригинальный файл

Firewalling: Название говорит само за себя: здесь сосредоточены инструменты управления брандмауэром – одной из ключевых функций Halon SX-101X. Ее важность косвенно подчеркивается тем фактом, что представители компании SkalSoft AB в приватных интервью позиционировали свой продукт именно как “firewall”.

Подраздел Visual Filters: Здесь создаются группы, именуемые ”Визуальными фильтрами”. Эти группы могут объединять наборы политик брандмауэра, используемые для различных целей. Типичный пример – разные наборы политик для авторизованных и неавторизованных пользователей сети Интернет.

p_Firewalling-VisFilters
Оригинальный файл

Подраздел Policies: В этом подразделе (а также в подразделе Services,) находится основной инструментарий для работы с брандмауэром. Настройка правил (или «политик») файрволла возможна в двух режимах: базовом (Basic) продвинутом (Advanced). В базовом режиме администратор по пунктам описывает, что он хочет. Например: «Я хочу разрешить трафик из сегмента сети, подсоединенного к порту DMZ в сегмент, подсоединенный к порту LAN при использовании службы DNS.” (курсивом выделены опции, которые H/OS предлагает выбрать из выпадающего списка возможных). Результаты выбора показываются рядом, в виде стрелочек на фоне изображения роутера.

p_Firewalling-BasPolicies
Оригинальный файл

В продвинутом режиме возможна более тонкая настройка правил фильтрации пакетов, с заданием направлений прохождения пакетов, применения параметров QoS (Качества Сервиса) и т.п.

p_Firewalling-AdvPolicies
Оригинальный файл

Подраздел QoS (Quality Of Service): Чтобы определенные сетевые сервисы сохраняли работоспособность вне зависимости от загрузки канала, в SX-101X существует служба Качества Сервиса. С помощью нее выделяется минимальная полоса пропускания, которая всегда будет обеспечена для конкретного вида трафика. Типичный пример – обеспечение QoS для работы IP-телефонии.

p_Firewalling-QoS
Оригинальный файл

Подраздел Services: Перечислить ВСЕ сочетания портов и протоколов, используемых существующими приложениями, просто невозможно (хотя в H/OS их отнюдь не мало, целых 54 штуки).

p_Firewalling-PredServices
Оригинальный файл

Поэтому в Halon SX-101X предусмотрена возможность создания собственных «сервисов», которыми можно манипулировать наряду с предопределенными; без нее работа многих сетевых приложений была бы просто невозможна.

p_Firewalling-CustServices
Оригинальный файл

Подраздел Address Groups: Объектом правил брандмауэра может являться не только определенный тип трафика, но и его потребитель. Для удобства организации H/OS позволяет объединять адреса и сети в группы, которым затем назначаются конкретные политики.

p_Firewalling-AddrGroups
Оригинальный файл

Подраздел Policy Routing: Сложные сети могут использовать несколько шлюзов. Данный подраздел позволяет манипулировать правилами, согласно которым трафик направляется через тот или иной шлюз. В случае, если несколько шлюзов указаны в пределах одного пути (route), такая конфигурация может быть использована для балансирования сетевой нагрузки между двумя каналами Интернет (load balancing).

p_Firewalling-PolRout
Оригинальный файл

Подраздел Limitations: Для защиты сети от флада (flood) и в качестве пассивной защиты от деятельности ботнетов внутри сети, в H/OS реализовано ограничение количества соединений.

p_Firewalling-Limitations
Оригинальный файл

Подраздел Options: Здесь доступны настройки дополнительных параметров – как на уровне всего брандмауэра целиком, так и по отдельности для каждого из интерфейсов. В большинстве случае установки по умолчанию являются предпочтительными, но иногда возникает необходимость более тонкой настройки – из соображений безопасности или для улучшения работы конкретных приложений.

p_Firewalling-Options
Оригинальный файл

UTM (Unified Threat Management, “Объединенная система противостояния угрозам“): В нашей сборке H/OS данный раздел включает в себя только один модуль - спамфильтр. SkalSoft AB гордится своими достижениями в этой области; согласно пресс-релизам, эффективность разработанной ей антиспам-системы достигает 95%. Столь высокая эффективность достигается, в числе прочего, благодаря использованию технологии RPD™, разработки компании CommTouch. Данная технология позволяет рассматривать спам не только в виде отдельных сообщений, но также на уровне «волн». Не секрет, что работа спам-систем автоматизирована, и отсылка подчиняется заданному алгоритму, который регулярно повторяется. Система RPD™ анализирует такую “волну“, запоминая ее признаки, и следующий вал спама встречает уже во всеоружии.

RPD_Diagram_Generic

Антиспам–модуль Halox SX-101X может работать в двух различных топологиях. Первая предполагает, что почтовый сервер находится внутри корпоративной сети. В этом случае используется SMTP: проверяется вся почта, приходящая в адрес домена, указанного в настройках. Согласно второй топологии, почтовый сервер находится во внешней сети, например, на сервере провайдера. В этом случае проверяется весь POP3-трафик, проходящий через указанный интерфейс. Статистика работы антиспам-системы включает в себя количество перехваченных спам-посланий, процент спама в полученной почте, а также графический мониторинг работы системы, реализованный в виде гистограммы.

p_UTM-Pop3
Оригинальный файл

Inspection: В данном разделе можно активировать систему защиты от вторжений. При ее включении весь трафик, проходящий через выбранный интерфейс, подвергается анализу, и до тех пор, пока система не определит его как безопасный, маршрутизатор его не пропустит. Алгоритмы, по которым анализируется трафик, были разработаны специалистами компании Sourcefire, работающими в рамках открытого проекта SNORT. Чтобы заставить систему работать, необходимо сперва загрузить с www.snort.org файл с правилами, а затем залить эти правила в соответствующий каталог роутера.

Стоит заметить, что эта операция выглядит не совсем так, как описано в PDF-файле документации; заливать весь скачанный архив нет необходимости; в нем масса ненужной информации, да и не хватит места в файловой системе роутера. На самом деле достаточно распаковать содержимое папки rules из архива в папку /snort/rules маршрутизатора, а затем в веб-интерфейсе нажать кнопку «Import».

В качестве более легкой альтернативы, можно просто нажать кнопку download в веб-интерфейс; тогда файл с правилами загрузится автоматически с сайта производителя. Однако, стоит иметь виду, что эта опция у нас почему-то не всегда срабатывала, и может потребоваться вышеупомянутая операция с доступом по ftp.

После импорта можно увидеть в меню file разделы правил, при клике на которые в основном окне отображается подробный список. Каждое из правил можно сделать активным или неактивным, регулируя, тем самым, уровень защищенности системы. Естественно, при активации ВСЕХ правил падение скорости может показаться чрезмерным, поэтому администраторам рекомендуется выбрать ?оптимальное соотношение скорости и защищенности.

p_Inspection-Settings
Оригинальный файл

IP Balancer: Данный раздел представляет из себя опциональный модуль, и требует дополнительного лицензирования. Балансинг – это метод распределения нагрузки, применяемый, когда несколько серверов отвечают за один сетевой ресурс (типичный пример – обеспечение доступа в режиме 24/7 к популярному веб-сайту).

Настроить балансинг несложно. Базовая настройка заключается в создании нового балансера, в свойствах которого указывается список серверов, между которыми необходимо распределять нагрузку, и порт, по которому клиенты обращаются к ресурсу. Необходимо также создать правило в разделе Policies,чтобы балансер мог обрабатывать клиентские запросы. Среди дополнительных настроек стоит обратить внимание на выбор метода, по которому осуществляется распределение нагрузки.

Virtual Private Networks (VPN): Помните гипотетическую задачу в самом начале статьи? Данный раздел является ключевым для ее решения. Для того, чтобы попасть из одной сети в другую через пространство публичного Интернета, необходим шифрованный туннель, в который инкапсулируется обычный сетевой трафик.

H/OS поддерживает две разновидности инкапсулирующих протоколов: PPTP и IPSec. PPTP более гибок и проще настраивается “из коробки ”; он лучше подходит для работы отдельных клиентов. При туннелировании трафика между двумя шлюзам предпочтительнее использовать IPSec; впрочем, данный протокол, считающийся более безопасным, можно использовать и для клиентского доступа (Mobile IPSec).

В H/OS поддерживается шесть (!) видов шифрования для IPSec-туннеля, включая самый современный и мощный метод RIJNDAEL-CBC (AES). Для обеспечения безопасной авторизации предлагается два алгоритма – MD5 и HMAC-SHA-1.

p_VPN-ManuIPSec
Оригинальный файл

Для упрощения процесса создания IPSec-туннеля существует режим Automated IPSec. Специальный протокол ISAKMP (Internet Security Association and Key Management Protocol) обеспечивает автоматический подбор общего для обеих сторон метода шифрования и обмен ключами. Этот же протокол обеспечивает безопасность подключения клиентов Mobile IPSec.

p_VPN-MobUserIPSec
Оригинальный файл

Несмотря на то, что протокол PPTP имеет больший возраст и считается менее безопасным, чем IPSec, его использование оправдано во многих случаях, особенно если речь идет о едином способе подключения для клиентов с разными операционными системами. Для обеспечения централизованной аутентификации и авторизации имеется поддержка RADIUS.

p_VPN-PPTP
Оригинальный файл

Стоит сказать несколько слов для тех энтузиастов, которые, возможно, захотят использовать SX-101X в домовых сетях. Интернет-провайдеры таких сетей часто применяют для организации доступа различные варианты подключения через VPN. Невзирая на всю мощь H/OS, существует вероятность, что именно с вашим провайдером без фабричной кастомизации прошивки Halon SX-101X подружить не удастся, потому что способ подключения вашего провайдера роутером не поддерживается. То же самое можно сказать для целого ряда других задач, которые могут быть возложены на маршрутизатор: не проверишь на практике – рискуешь зря потратить деньги. Именно поэтому представительство марки HALON принимает заявки на предоставление оборудования на тестирование; возможность не уникальная, но редкая и очень полезная.

Help: Не удивляйтесь тому, что этот раздел заслужил отдельное упоминание в этой статье; он интереснее, чем вы могли бы предположить. В подразделе Documentation содержится прямая ссылка на сайт www.halonsecurity.com, с которой можно скачать различные руководства в формате pdf. Подраздел Glossary окажется неожиданно интересным для тех, кто подзабыл, что именно значит та или иная аббревиатура или термин. С учетом того, что в настройках SX-101X они используются в изрядном количестве, такой справочник под рукой окажется совсем не лишним.

p_Help-Glossary
Оригинальный файл

И, наконец, подраздел Wizards содержит в себе два мастера: базовой настройки роутера после отката к фабричным установкам, и создания с нуля IPSec-туннеля. Пустячок, а приятно.

p_Help-VPNWizard
Оригинальный файл

Условия тестирования

Halon SX-101X тестировался в режиме роутера в течение недели. К сожалению, сделать его основным маршрутизатором корпоративной сети не представлялось возможным, поэтому тестовая модель включала до 5 компьютеров, подключенных к SX-101X через свитч и/или через порты самого маршрутизатора. В процессе работы создавались тестовые настройки политик, работала система UTM в режиме POP3. В среднем, падение производительности, по сравнению с режимом «без маршрутизатора» составило не более 5%*.

*В связи с неравномерностью загрузки канала, был взят усредненный результат за неделю.

Ценообразование и лицензирование

Вот мы и подошли к вопросу, с которого, по сути, и начали наше исследование. В том, что Halon SX-101X – устройство интереснейшее, мы уже успели убедиться. Но во сколько денег – казенных или заработанных собственным тяжким трудом – обойдется приобретение такой радости?

Прежде чем на этот вопрос ответить, я хотел бы рассказать про разговор, произошедший у меня с представителем компании, занимающейся сетевыми решениями. «Скажите, пожалуйста, - спросил я его, - сколько бы стоил аппаратный маршрутизатор, рассчитанный на такие вот задачи?» И выложил на стол бумажку с описанием ключевых свойств Halon SX-101X. Представитель попросил таймаут на наведение справок, и через некоторое время выдал мне результат: обладающее перечисленными свойствами решение одного из крупнейших производителей будет базироваться на модульной платформе, иметь стоимость около шести с половиной тысяч долларов – и это не считая подписки на обновления сигнатур системы UTM. Тех, кто давно имеет дело с активным сетевым оборудование, результат, полагаю, не удивит. А вот те, кто привык к собранным из хлама linux-шлюзам, при виде таких цифр наверняка сделают большие глаза. И спросят: «Э-э, так почем там ваш Halon?»

В данный момент ценовая политика компании в России только формируется, поэтому предварительные суммы будут базироваться на европейских расценках. А они таковы: SX-101X с лицензией на антиспам-модуль (1 год обновлений), поддержкой 25 VPN-туннелей, плюс регулярные обновления программного обеспечения, Load Balancer и расширенные гарантия и сервис, обойдется вам – внимание! – в сумму менее чем 2500 долларов США. Домашний энтузиаст или предприниматель, желающий защититься от спама и признающий необходимость обновлений (не нужен балансер и расширенная гарантия) может получить SX-101X за сумму менее чем $1500! Да, разумеется, такое решение имеет свои ограничения, его нельзя нарастить в случае серьезного расширения сетевой инфраструктуры. Но если вы четко представляете себе будущее вверенной вам сети, и Halon SX-101X заинтересовал вас тем, что он способен дать вашей компании здесь и сейчас – не стесняйтесь, свяжитесь с представительством Halon.

В конце концов, именно ваш интерес и является гарантией того, что это действительно неординарное устройство появится, наконец, на отечественном рынке.

>> Обсудить роутер Halon SX-101X на форуме <<


Автор
Олег Горобец

Комментарии