Роутер с хорошим фаерволом
Недавно затеялся я ремонтом, а заодно решил привести в порядок проводку, поставить сетевые розетки и так далее. Тут же встал вопрос о замене старого сервера на базе того, что когда-то было рабочим компьютером на полноценный небольшой сервер. Так как сервер будет работать на "незиветсно какой ОС", возможно даже Windows, я задумался о том, что неплохо бы сразу поставить какой-нибудь Firewall, который заодно выполнял бы функции роутера-коммутатора-файрвола.
- стабильная пропускная способность 100Мбит между: локалка<->интернет
- WAN порт и возможность подключаться по PPTP/L2TP к провайдеру
- раздача интернета на все устройства в сети, коих будет 3-4шт (по кабелю)
- базовые фунции файрвола (такие-то порты открыты, такие-то закрыты)
- WiFi в качестве точки доступа
- ограничение по скорости/кол-ву потоков на конкретный порт или IP-адрес
- гостевой WiFi, с возможность ограничения скорости и кол-ва потоков
- шейпер трафика (т.е. возможность выставлять приоритеты на порт и/или IP по трафику)
- прочие сетевые плюшки
Подскажите пожалуйста, наиболее подходящее под выше описанные задачи устройство, способное выполнять максимум функций из списка доп. требований.
Выбор маршрутизатора/аппаратного фаервола
Приветствую. Такая задача. Имеется контора, в ней 5 отделов. до сегодняшнего дня все 5 отделов.
Выбор роутера
Подскажите пожалуйста, какой роутер из Zyxel или D-link можно рассмотреть, что бы без манипуляций.
Выбор роутера
Добрый день! Помогите пожалуйста с выбором роутера для домашней сети. Он должен будет обеспечивать.
Выбор роутера
Всем привет! Помогите с выбором роутера для дома, имеется 2 ПК и 1 ноут. подключение к инету.
Берем старый комп с 2-мя хорошими сетевыми картами и Wifi-адаптером
Ставим туда FreeBSD/Linux
(или специализированный дистрибутив роутера/NAS на базе FreeBSD/Linux)
Все что требуется будет
А аппаратный роутер со всеми фичами будет стоить как средний комп
но опять же у него будет своя прошивка, которая может чем-то не устроить
(например по настройке)
Добавлено через 3 минуты
Встроенный firewall в desktop-ных версиях Windows - полная фигня
В серверных версиях Windows он немного лучше
Совсем хорошо если использовать отдельный продукт типа Kerio Control
Тут нет NAS - с дисками не работает
NAS делать из роутера я даже не думал, просто я был очень разочарован в продукте компании Zyxel, к продуктам которой ранее относился очень хорошо. Заявлена поддержка торрентов - скорость в которых очень ограничена (1Мб кажется, а с учётом того, что качать торренты на флэшку очень не рекомендуется, а жесткий диск внешний - просто не работает - можно сказать, что этой функции нет вообще), в роутере 2 USB-порта, которые зачем нужны - не до конца понятно (HDD в них категорически отказывается работать), заявлена поддержка 3g модемов - ни один из которых не продаётся в магазине и т.д., я разочарован! То есть, реально работающего функционала роутера - половина, при этом аналогичная модель с "работающим" функционалом (я имею в виду, с тем функционалом, что в Zyxel'е действительно "работает") стоила бы в 2 раза дешевле. Потраченных денег не жалко, но разочарование полное.
NAS уже сделал на базе небольшого сервера, производства HP.
Встроенный firewall в desktop-ных версиях Windows - полная фигняПолностью согласен! Больше всего, меня поражал тот момент, что сначала данные передаются и файрвол предлагает их заблокировать, но пока мы этого не сделаем - они могут передаваться вечно (какая версия Windows была на тот момент уже не вспомню, но в текущей Win8Pro он по моему, не лучше).
odip, скажите пожалуйста, насколько в серверных версиях ОС он лучше? Конкретно интересует: Windows Web Server 2008. У меня лежит несколько лицензионных копий этой ОС, но познакомиться до конца с ней не успел, так как для настольного компьютера она мало пригодна (нет, работать конечно можно, но всё же), а для серверного - отказался ставиться драйвер на WiFi (причем у 5 WiFi карт, у всех отказался, точнее будет сказать все 5 рабочих карт отказались работать в этой ОС), остановился на мысли, что я просто где-то не включил поддержку WiFi, в самой ОС.
По поводу "старого компа" в качестве роутера - тут всё сложно. Старый компьютер не проблема, даже "новый" проблем не составит, например такой: Ergo 101, стоит он всего навсего
5тыс.руб. (подробного описания по ссылке нет, но есть фотографии). Есть даже варианты размером чуть больше классического роутера и в том же ценовом диапазоне, с готовым WiFi и пр. плюшками, в качестве роутера - идеально, но, есть одно "но". "Но" заключается в том, что подобные девайсы имеют обычно одну, максимум две сетевые карты (LAN). Даже с учётом того, что там будет одна встроенная и 2 слота под сетевые - этого будет недостаточно. Хочу подключить всё "постоянные" устройства по кабелю, без WiFi-ев. Точнее, хочу вмонтировать несколько (4шт. хотя бы) Ethernet-розеток в стены, пока ремонт и есть возможность "попортить" стены и проложить кабель. Сказать по правде, я бы и роутер вместе с блоком питания, вмонтировал бы в стену, если была бы возможность Почему кабель, зачем розетки, почему не WiFi? Дело в том, что по неведомой мне причине, что-то или кто-то периодически наводит помехи, которые ОЧЕНЬ мешают WiFi-ю нормально работать. Оборудование проверил раз 5 в разных местах (в квартирах, домах, офисах), с учётом того, что расстояние и кол-во препятствий-помех везде было не меньше чем у меня, а в некоторых случах, даже больше в 1.5-2 раза. я сделал вывод, что у меня что-то генерирует помехи. Что именно, сложно сказать, наверное, какой-то безумец, в обнаженном виде, периодически пробегает где-то неподалёку от меня, держа в руках включенную микроволновку с открытой дверцей. По этому, я чётко решил оставить WiFi для всяких там смартфонов-планшетов, а всё остальное подключить кабелем (розетка->патчкорд->устройство), при этом кабель, подобрал "посерьёзнее", с 3-ным экраном (экран из фольги на каждую "пару" в отдельности, общий экран из фольги, дополнительный общий экран в виде сетки). Думаю, с таким кабелем помехи сведутся к минимуму.
Из устройств "попроще" приглянулось вот это: Linksys EA4500-EE. Выбирал по такому принципу: за время работы в компании-провайдере, слово "цыска" прочно засело мне в память. Я конечно не техник (я программист), но раз провайдер использует устройства подобной марки, чисто гипотетически, аппаратура должна быть хорошей и функциональной.
odip, очень хотелось бы услышать Ваше мнение по поводу альтернативных/дополнительных вариантов оборудования. Можно конечно купить целый системный блок с двумя PCI-E и 2-3 PCI слотами, вставить туда 4 сетевые карты + 1 WiFi и таким образом добиться желаемого результата, но соотношение общего объёма такого устройства (занимаемого пространства), полезного пространства (минимум, 50% системного блока - пустота), и потребляемой мощности - меня не очень вдохновляет, хотелось бы что-то более компактное и предусматривающее крепление на стену (не критично, можно конечно исхитриться, но я уже раз приклеил роутер к стене монтажной лентой, а когда решил демонтировать - думал, что оторву его вместе с кирпичами) и по возможности, что-то красиво вписывающееся в общий интерьер (этот пункт тоже не принципиален, но при выборе устройств с идентичными параметрами - я бы взял более компактное и лучше вписывающееся в интерьер).
P.S. Мне удалось заполучить скриншот панели администратора роутера (речь о котором шла выше), вот с этой страницы.
Сам скриншот выложить не удалось, выкладываю ссылку.
Многие сталкивались с такой проблемой, здесь проблема в том чтобы не использовать шумящее устройство как предлагают - компьютер, а специализированное устройство. С Ebay наверняка можно заказать. Но как ни удивительно, вроде на специализированном форуме должны быть специалисты, использующие данные устройства - ответа не дождешься. Все таки считаю если есть возможность использовать специализированное устройство, если есть потребность, лучше использовать его. Но все таки интересно - можно использовать планшет вместо большого компьютера, как здесь предлагают, накатить на него Linux, все таки с виду выглядит оптимальным ? refbired, планшет с линуксом это явно не вариант. Лично я ещё не встречал планшетов с LAN-портом (возможно такие и есть, но я пока не видел). Из этого следует, что сетевую карту придётся подключать по USB, при этом даже не одну, а минимум две (одну для входящего интернет-канала, вторую что бы раздавать интернет в сеть). А так как мне нужно не два порта, а минимум 4 - придётся подключать туда заодно и ХАБ. Лично я себе смутно представляю всю эту "конструкцию" (если её можно так называть) приклеенной (прикрепленной) к стене. Внешний вид и схема всего этого сооружения, лично у меня не оставила бы впечатления о надежности и практичности подобного устройства, я уже не говорю о значительных переплатах за устройства изначально для подобных целей не предназначенных. можно использовать планшет вместо большого компьютера, как здесь предлагают, накатить на него LinuxЧего-то "типа такого", я к сожалению в продаже не видел. Вариант конечно почти идеален, 2 гигабитных LAN-порта, слот под WiFi, место для жесткого диска. Ещё бы блок питания внутри размещался и "цены б ему не было"! Но. к сожалению, ничего "такого" в свободной продаже пока нет, по крайней мере, за адекватную цену.
Если эта "пипка" будет стоить как полноценный системный блок на базе i7 - думаю, такой вариант можно даже не рассматривать. Рациональнее тогда уж купить двух процессорный полноразмерный "комбайн", навтыкать на него виртуальных машин (VPS) и он решит сразу все задачи: и роутер, и сервер, и торрент-клиент и NAS и медиасервер и почти всё остальное, что ещё можно придумать. при этом будут работать сразу несколько разных ОС, одна из которых легко может стать тем же "роутером". Но, я всеми силами пытаюсь уйти от подобных схем и крайностей. Я хочу, что бы роутер был - роутером и стоил как роутер, а не как б/у-шная иномарка, и выполнял при этом задачи роутера. То есть, я не хочу городить огород на стене типа "5 сетевых карт, планшет, 10 блоков питания. UPS туда же прикрутить, рядом повесить NAS на супер-клее и ещё чего-нибудь, для полного счастья". с другой стороны, я не хочу городить серверный шкаф, так как в нём отсутствует всякая необходимость. Ни услуги хостинга, ни просто процессорные мощности я ни продавать, ни сдавать в аренду не собираюсь.
P.S. Как "когдатошний" поклонник марки Zyxel и "счастливый" обладатель нескольких устройств этой фирмы - обратился в поддержку компании. Рекомендуют Zyxel Keneetic Ultra. Если кому-нибудь что-то известно об этом звере - отпишитесь пожалуйста, как он себя ведёт? То, что не умеет ограничивать трафик - я уже выяснил, хотелось бы услышать об остальных "казусах" при работе с этим устройством.
В Zyxel Keneetic Giga-1 разочаровался почти полностью. Накой леший там гигабитный порт, и 300Мбит WiFi, если с интернета быстрее чем 50-60Мбит выжать никак не получается? Про торрент-клиент который искуственно ограничен в 1Мб/сек. и поддержку внешних HDD, которые работают первые минуты 3 после подключения - я вообще молчу. Когда я его покупал, на коробке не было сказано, что:
а) Торрент-клиент "кастрирован"
б) Качать торренты на FLASH'ку крайне не рекомендуется (а флэшка - это пожалуй единственное устройство, которое адекватно работает с данным роутером без доп. питания)
в) Про 100Мбит'ный интернет можно забыть, особенно в сочетании с L2TP-подключением
г) Что бы хоть как-то пользоваться торрент-клиентом придётся купить ещё USB-хаб, с внешним питанием, для подключения внешнего жесткого диска, что бы тот не отваливался, и появилась надежда на то, что торренты можно будет качать/раздавать хотя бы на скорости 1Мбайт/сек.
д) Скорость передачи данных между внешним жестким диском, подключенным к роутеру и сетью - порядка
Из всего выше перечисленного, я долго пытался понять, в чём вообще преимущество данного девайса и для чего оно вообще может использоваться, в соответствии со своей ценой. Пришел к выводу, что ни для чего. Для полноценного интернета на скорости
30Мбит - можно найти что-нибудь подешевле. Для WiFi-роутера (300Мбит) - так же, есть устройства подешевле и не хуже. Для ХАБа (LAN) тоже как-то дороговато. Торрент-клиент - не годный. NAS (даже просто WiFi хранилище на базе одного HDD от ноутбука) из него тоже не получается.
Роутер (router) в переводе с английского дословно означает маршрутизатор. Но, как всегда, дословный перевод не всегда отражает реальность. Модели «роутеров для доступа в Интернет», предлагаемые большинством вендоров, по факту представляют собой межсетевой экран, сочетающий и простые функции вроде фильтрации по MAC, и «продвинутые» анализаторы, например, контроль приложений (Application Patrol).
Так что же такое маршрутизатор, межсетевой экран, и где их можно встретить?
Маршрутизатор
В самом названии маршрутизатор заключена расшифровка его предназначения.
В классическом (академическом) представлении маршрутизатор нужен для трансляции пакетов между раздельными IP сетями. Это решает вопрос объединения разрозненных LAN и предотвращения роста широковещательного трафика в одной большой локальной сети разделением её на сегменты. Разумеется, для правильного перенаправления трафика необходимо знать, куда его отправлять, то есть выстраивать маршрут (автор благодарит «Капитана Очевидность» за точную формулировку).
Современные модели маршрутизаторов работают выше 3-го уровня модели OSI. Помимо трансляции IP пакетов из одной сети в другую, эти устройства часто имеют функции управления трафиком, например, возможность закрывать/открывать TCP или UPD порты, выполнять функции Port Address Translation, PAT (иногда называется Destination NAT, DNAT) и так далее. Также для работы некоторых протоколов необходимо, чтобы маршрутизатор умел работать как Application-level gateway, ALG, для обеспечения работы таких протоколов как: PPTP, IPsec, RTSP, SIP, H.323, SMTP, DNS, TFTP.
Маршрутизатором может быть и старый компьютер с настроенной таблицей маршрутов, и специализированное сетевое устройство, которое только и делает, что анализирует простейшие условия вроде списков ACL и перебрасывает пакеты из одной сети в другую.
В частности, маршрутизаторы в виде отдельных устройств применяются, если требуется не только логическое (VLAN) но и физическое разделение на подсети. Например, нужно отделить сеть кампуса, где живут студенты, от университетской сети, где идут исследования.
В современных локальных сетях вместо маршрутизаторов в виде отдельных устройств часто используются коммутаторы L3, позволяющие управлять VLAN, и соответственно, отдельными подсетями.
Пример из практики. Сеть небольшого предприятия, где в качестве ядра сети использовался Cisco Catalyst 3750. Согласно требованиям безопасности, коммутаторы уровня доступа были настроены по принципу: один коммутатор — одна подсеть — один VLAN. Для удешевления проекта выбрали свичи от 3Com. Проще говоря, каждый 3Com был подключен строго в одном VLAN и в одной подсети, а пакеты между подсетями ходили через Catalyst.
С задачей маршрутизацией между VLAN вполне справится L3 коммутатор Zyxel XGS4600-32. Помимо перенаправления пакетов он обладает ещё множеством полезных функций.
Рисунок 1. Коммутатор Zyxel XGS4600-32 L3 с функциями маршрутизатора.
Межсетевой экран
Обычный набор встроенных функций МСЭ (межсетевой экран): антивирус, IDP, патруль приложений — позволяет проверять трафик вплоть до 7 уровня OSI. Помимо этого, есть и другие возможности контроля, отсутствующие в обычных маршрутизаторах.
Разумеется, многие межсетевые экраны обладают стандартным «джентльменским набором» типичного маршрутизатора. Но «сила» МСЭ определяется наличием функций по фильтрации и управлению трафиком, а также усиленном аппаратным обеспечением для реализации этих задач.
Стоит отметить, что набор возможностей фильтрации того или иного устройства МСЭ вовсе не означает: «Чем больше функций смогли «накрутить», тем «лучше» межсетевой экран». Основной ошибкой было бы при покупке делать акцент на длине перечня всевозможных «фишек», без учета конкретного предназначения, конструктивных особенностей, параметров быстродействия и других факторов. Все должно быть строго дозировано и сбалансировано без перекосов в сторону «сверхбезопасности» или «суперэкономии».
И тут администратор сети сталкивается с первой проблемой. Если для SOHO сегмента не так уж сложно сформулировать типичный набор требований, то для корпоративного сегмента это требует дополнительной подготовки. Для лучшего удовлетворения нужд бизнеса существуют различные устройства — каждое под свою нишу. Например, для VPN Gateway набор функций по обеспечению безопасности, разумеется, играет большую роль, но основной задачей является все же создание и поддержание работоспособности VPN каналов. В качестве примера такого устройства можно привести ZyWALL VPN1000
Рисунок 2. Межсетевой экран VPN — ZyWALL VPN1000
А вот для Secure Gateway всевозможные фильтры, «Песочница» и другие виды проверок стоят на первом месте. В качестве примера такого специализированного устройства для повышения уровня защиты можно привести ZyWALL ATP800.
Рисунок 3. Межсетевой экран для обеспечения безопасности — ZyWALL ATP800.
Как видно из рисунков, внешний вид подобных устройств может быть весьма схож, а всё отличие заключается внутри — программном и аппаратном обеспечении. Более подробно об можно прочитать в статье «Для тех, кто выбирает межсетевой экран».
Механизмы защиты межсетевых экранов
Теперь, когда мы обсудили отличия между маршрутизаторами и сетевыми экранами, а также между различными типами межсетевых экранов — самое время поговорить о методах поддержания требуемого уровня безопасности. Какие этапы защиты, через которые проходит трафик, помогают поддерживать сеть в безопасности?
Firewall
Данный сервис перешел «по наследству» от маршрутизаторов. При помощи файрвола отслеживаются и блокируются нежелательные адреса, закрываются порты, анализируются другие признаки пакетов, по которым можно «вычислить» нежелательный трафик. На этом этапе происходит отражения большого числа угроз, таких как попытки соединиться с общедоступными TCP портами, бомбардировка пакетами с целью выведения системы из строя и так далее.
IP Reputation
Это облачное расширение функций обычного файрвола и безусловный шаг вперед. Дело в том, что в обычной ситуации система ничего не знает об источнике или приемнике (в зависимости от типа трафика). Если это явно не прописано в правилах файрвола, например, «Запретить», то трафик будет проходить, пусть даже от самых вредоносных сайтов. Функция IP Reputation позволяет проверить, является ли IP-адрес подозрительным или «засветился» в той или иной базе данных по проверке репутации. Если со стороны базы данных поступили сведения о плохой репутации IP адреса, то появляется возможность для маневра: оставить прохождение трафика без изменений, запретить полностью или разрешить при определенном условии.
Проверка происходит быстро, потому что отправляется только сам IP адрес и короткий запрос, ответ также приходит в крайне лаконичной форме, что не оказывает сильного влияние на объем трафика.
SSL Inspection
Позволяет проверять трафик, зашифрованный по протоколу SSL для того, чтобы остальные профили МСЭ могли раскрывать пакеты и работать с SSL трафиком как с незашифрованным. Когда информационный поток защищен от внешнего доступа при помощи шифрования, то и проверить его не представляется возможным — для этого тоже нужен доступ к его содержанию. Поэтому на этапе проверки трафик расшифровывается, прочитывается системой контроля и повторно шифруется, после чего передается в пункт назначения.
С одной стороны, внешне это напоминает атаку man-in-middle, что выглядит как нарушение системы защиты. С другой стороны, SSL шифрование защищает не только полезную информацию, но и всевозможные нарушения корпоративной безопасности. Поэтому применение SSL Inspection на этапе санкционированной проверки выглядит весьма оправданным.
Intrusion Detection/Prevention Service
Системы обнаружения вторжений Intrusion Detection System, IDS, давно нашли применение в межсетевых экранах. Данная функция предназначена для сетевого мониторинга, анализа и оповещения в случае обнаружения сетевой атаки. Механизм IDS основывается на определённом шаблоне и оповещает при обнаружении подозрительного трафика. К сожалению, IDS сами по себе не в состоянии остановить атаку, они лишь оповещают о ней.
А вот система предотвращения вторжений — Intrusion Prevention Service, IPS, является определенным шагом вперед и, помимо обнаружения нежелательного трафика, способна сама блокировать или отбрасывать нежелательные пакеты. Тем самым предотвращая попытки взлома или просто нежелательные события.
Для обеспечения работы IPS — используются специальные сигнатуры, благодаря которым можно распознавать нежелательный трафик и защищать сеть как от широко известных, так и от неизвестных атак. Помимо предотвращения вторжения и распространение вредоносного кода, IPS позволяет снизить нагрузку на сеть, блокируя опасный или попросту бесполезный трафик. База данных IPS включает информацию о глобальных атаках и вторжениях, собранную на публичных или специализированных закрытых сайтах, что позволяет обнаружить сетевые атаки при минимальном количестве ошибочных срабатываний.
Antimalware
Исторически под этим названием понимают классический антивирус, но в последнее время область применения данного механизма защиты значительно расширена и включает в себя не только защиту от вирусов, но и от другого вредоносного кода, включая фишинговые приложения, небезопасные скрипты и так далее.
В качестве «движка» (engine) в межсетевых шлюзах Zyxel используются локальные сигнатуры от BitDefender и облачные от McAfee.
Sandbox
Традиционно из самых больших проблем сетевой безопасности является постоянное распространение новых вирусов.
Выше уже описывались другие средства защиты: IPS и антивирус (antimalware) для защиты сетей. Однако эти две функции не всегда эффективны против новых модификаций вредоносного кода. Зачастую приходится сталкиваться с мнением о том, что антивирус «на потоке» способен определить только очень простые и широко известные угрозы, в первую очередь полагаясь на записи в антивирусных базах. Для более серьезных случаев требуется поведенческий анализ. Грубо говоря, нужно создать для предполагаемого вредоносного кода комфортные условия и попробовать его запустить.
Как раз «Песочница» (Sandbox) — это и есть виртуализированная, изолированная и безопасная среда, в которой запускаются неизвестные файлы для анализа их поведения.
«Песочница» работает следующим образом:
Когда файл проходит через вирусную программу, она сначала проверяет базу данных защиты от вредоносных программ.
Если файл неизвестен, его копия перенаправляется в Sandbox.
Эта служба проверяет файл и определяет, является ли он нормальным, подозрительным или опасным.
По результатам проверки «Песочница», размещенная в облаке, получит новую информацию об этом новом элементе и сохранить её в своей базе данных для аналогичных случаев. Таким образом, облачная архитектура не только делает его общедоступным, но и позволяет постоянно обновлять в режиме реального времени.
В свою очередь, база данных защиты от вредоносных программ регулярно синхронизируется с «Песочницей», чтобы поддерживать ее в актуальном состоянии и блокировать новые вредоносные вирусы в режиме реального времени.
E-mail security
Данная служба включает в себя антиспам и проверку на фишинговые вложения.
В качестве инструментов в настройках "Anti-Spam" доступно:
- «белый список» — "White List", чтобы определять и пропускать полезную почту от доваренных отправителей.
- «черный список» — "Black List" для выявления и обработки спама;
- также возможна проверка электронной почты на наличие в «черных списках» DNS (DNSBL),
Примечание. DNSBL — это базы данных, где указываются домены и IP адреса подозрительных серверов. Существует большое число серверов DNSBL которые отслеживают IP адреса почтовых серверов, имеющих репутацию источников спама и заносят их в свои базы данных.
Content Filtering
Говоря про контентную фильтрацию, в данном случае мы будем иметь в виду ZYXEL Content Filtering 2.0, который служит для управления и контроля доступа пользователей к сети.
Механизм наблюдения Zyxel Content Filtering 2.0 изучает особенности поведения пользователей в Интернет. Это позволяет оперативно сканировать принимаемую информацию из глобальной сети.
Проще говоря, данная система повышает уровень безопасности, блокируя доступ к опасным и подозрительным веб-сайтам и предотвращает загрузку с них вредоносного кода. В целях стандартизации и унификации настроек можно применять политики, например, для точно настраиваемой блокировки и фильтрации.
Если говорить об изменениях (собственно, почему «2.0»), то в новой версии Content Filtering были внесены несколько существенных изменений, в частности:
Переход на Content Filtering 2.0 происходит через загрузку соответствующего микрокода.
Отдельно стоит сказать о пополнении информационной базы. За счет обработки более 17 миллиардов транзакций каждый день, выполняемых 600 миллионами пользователей из 200 стран, пополняется глобальная база данных, и с каждым новым «знанием» повышается степень защиты системы. Стоит также отметить, что >99% контролируемого контента уже содержится в локальном кэше, что позволяет быстрее обрабатывать поступающие запросы.
Таблица 1. Security Service Content Filtering 2.0 — Схема применения.
Application Patrol
Данная служба работает на 7 уровне OSI и проверяет популярные сетевые приложения, включая социальные сети, игры, бизнес-приложения совместно с моделью их поведения.
В Zyxel Application Patrol применяется модуль Deep Packet Inspection (DPI) для контроля использование сети. Данный модуль распознает 19 категорий приложений, что позволяет адаптировать протоколы управления с учетом конкретных приложений и их поведения.
Среди механизмов защиты можно отметить: назначение приоритетов для приложений, контроль полосы пропускания для каждого приложения, блокировка нежелательных приложений. Данные меры не только повышают уровень безопасности, но и улучшают работу сети в целом, например, через запрет нецелевого использования полосы пропускания.
Основой для идентификации приложений служат специальные сигнатуры, полученные благодаря анализу данных, модели поведения и так далее. Собранная информация хранится в база данных Zyxel и содержит данные о большом количестве различных приложений, включая особенности их поведения, генерируемый трафик и так далее. База данных постоянно обновляется.
В итоге
Мы только поверхностно пробежали по небольшой части функций, которые отличают маршрутизатор от межсетевого экрана. Тем не менее, очевидно, что эти устройства имеют разное предназначение, функции, схемы использования. Эти особенности находят свое отражение как при проектировании новых сетей, так и при эксплуатации уже существующих.
Желание развернуть Wi-Fi появляется в любом помещении, где есть интернет. И даже в тех, где его нет, но хорошо ловит мобильная связь. Рассказываем о самых популярных роутерах в 2021 году — любой из них достоин внимания.
За последние лет 10 роутеры стали заметно функциональнее. Теперь их можно настраивать через мобильное приложение, создавать черные и белые списки ресурсов, гостевую сеть. И для этого вовсе не обязательно покупать дорогую модель.
В ассортименте устройств, доступных в 2021 году в магазинах, мы отобрали пять моделей с достойными характеристиками, высокими рейтингами и хорошими отзывами покупателей. Уверены, такая подборка облегчит вам выбор.
MikroTik hAP ac2
Техника для сетей от компании Mikrotik пользуется большим спросом среди профессионалов и простых пользователей благодаря функционалу выпускаемой продукции. Универсальный роутер для дома и офиса hAP ac2 работает на частоте 2,4 и 5 ГГц, поддерживая аппаратное ускорение IPsec. Рекомендуется выставлять частоту 5 ГГц, чтобы исключить появление помех от сопряженных устройств.
Максимальная скорость соединения — 1167 Мбит/с, объем ОЗУ — 128 Мб. Роутер имеет мощность 27 dBm, а коэффициент усиления внутренней антенны составляет 2,5 dBi, что позволит покрывать большое пространство дома или в небольшом офисе.
В отзывах покупатели отмечают высокое качество сборки, компактные размеры роутера, низкий уровень энергопотребления. Отдельно стоит заметить стабильность работы: сеть не пропадает внезапно, как у многих других моделей.
Keenetic Extra (KN-1711)
Если вы хотите приобрести надежный роутер для дома, то 2-диапазонная модель Keenetic Extra KN-1711 будет как нельзя кстати. Девайс может поддерживать частоту 2.4 и 5 ГГц, что обеспечит существенную прибавку к скорости передачи данных. Конструкция предполагает наличие 4 антенн, которые имеют поддержку 5 dBi.
Характерной чертой роутера является возможность подключения USB-модема. Если вашим провайдером предоставляются услуги невысокого качества, то посредством мобильного подключения можно подстраховать работу Keenetic Extra.
Пользователи в отзывах отмечают интуитивно понятную настройку при подключении, а также устойчивость работы в каждом частотном диапазоне. Приятным бонусом также станет наличие удобного ПО на Андроид для управления маршрутизатором. Модель заслуженно пользуется спросом на рынке, что подкрепляется большим количеством положительных отзывов на Яндекс Маркете.
Xiaomi Mi Wi-Fi Router 4A Gigabit Edition
Продолжает наш рейтинг флагманская модель от известного китайского производителя. По сравнению с Wi-Fi Router 4A рассматриваемая модель имеет гигабитные порты, увеличенный объем ОЗУ (128 Мбайт) и более производительный процессор. Маршрутизатор работает на частоте 2.4 и 5 ГГц, максимальная скорость - 1167 Мбит/с. Разработчик оснащает модель 4 внешними антеннами, благодаря высокому коэффициенту усиления (6 dBi) создается стабильное соединение вне зависимости от преград.
Удивительно, но к устройству дешевле 2000 руб. у пользователей практически нет претензий. Разве что некоторых угораздило купить китайскую версию, в котором прошивка не предусматривает использования других языков.
TP-LINK Archer C6
Если вы хотите приобрести мощный роутер со стабильным и высокоскоростным подключением, то следует обратить внимание на Archer C6 от TP-LINK. Устройство имеет стильный дизайн, который отличает многие модели серии, включая предшественника Archer C5. Со скоростями здесь все в порядке: 1 гигабитный WAN-порт и 4 гигабитных LAN-порта делают работу эффективнее в 10 раз в сравнении с Ethernet-каналом.
В отзывах пользователи положительно отмечают TP-Link Tether, приложение, управляющее работой TP-Link Archer C6. Настраивать Archer C6 можно со смартфона, при этом гаджет должен быть подключен к сети роутера. USB-разъем тут не предусмотрен, потому подключить принтер, сканер, МФУ не удастся.
Keenetic Giga KN-1010
Завершает наш рейтинг популярный Giga KN-1010, который сочетает в себе производительное железо и продуманный софт. Перед появлением Keenetic Ultra, KN-1010 являлся флагманом серии, однако и по сей день роутер не уступает своих позиций. Это стало возможным благодаря максимальной производительности маршрутизации, работы приложений и серверов VPN. KN-1010 имеет 4 LAN-порта и 1 SFP для оптических модулей. Кроме того, нужно отметить наличие разъемов USB 3.0 и 2.0, что позволит подключать к роутеру различные девайсы. Максимальная скорость соединения равняется 1267 Мбит/с, что достаточно высокий показатель, объем ОЗУ — 256 Мбайт.
KN-1010 — один из лучших роутеров в соотношении функционала, скорости, удобства настройки и цены. На рынке можно найти и более производительные модели, которые оборудованы мощными процессорами и имеют больший объем ОЗУ, однако в своем ценовом сегменте KN-1010 занимает лидирующие места.
Если вы работаете из дома, как многие в «ковидную» эпоху, почитайте другие наши подборки. Например, с лучшими веб-камерами или полезными аксессуарами, которые расширяют возможности ноутбуков.
Тарифный план на 50 Мбит/с, но телевизор не тянет даже HD-видео по сети? Телефон жутко тупит, пытаясь вторую минуту открыть простенькую страничку? Не стоит думать, что все дело в провайдере, обрывах или нагрузке. Очень часто причиной медленного интернета является оборудование, которое стоит у вас дома. В том числе то, которое бесплатно или почти бесплатно предоставил оператор. Поговорим о том, как выбрать правильный роутер — чтоб быстро качать гигабайты, ставить лайки и крутить видосы.
Уточним, что сегодняшняя статья — не для матерых сисадминов, которые после ее прочтения лишь усмехнутся в соломенные усы, потому что могут настроить интернет даже на швабре. Материал ориентирован на широкий круг читателей, которым просто нужен хороший интернет — здесь и сейчас! Помогать нам будет Иван Шевчик, системный администратор компании «СофтТеко».
Роутер, ты зачем?
Роутер есть в каждом доме и квартире, если, конечно, его обитатели привыкли подолгу сидеть в интернете. Задача такой коробочки — раздать всем подключенным к нему устройствам интернет от провайдера. Раздавать можно через кабель или Wi-Fi. Последнее нынче пользуется особым спросом, потому как мобильных устройств у людей много, кабель к каждому из них не потащишь. Да и компьютеры с телевизорами давно пора выводить в сеть «по воздуху».
«Бывает, знакомые спрашивают, чем отличается роутер от маршрутизатора. А ответ прост — ничем! Речь об одном и том же типе устройств. Беспроводной маршрутизатор — это длинно и на русском, а роутер — калька с английского. Так что не бойтесь выбирать между роутером и маршрутизатором, ведь речь идет об одном и том же», — уточнил Иван.
Часто выдаваемые Ethernet-провайдерами недорогие модемы не способны через Wi-Fi поддерживать скорость передачи данных в рамках тарифного плана. У пользователей GPON от byfly похожая проблема, только вот модем в данном случае не заменишь. Зато к нему можно подключить хороший роутер, который раздаст интернет по воздуху для всех домочадцев и гостей, даже забившихся в самый далекий угол.
Итак, если вы подключены к сети через Ethernet или GPON, но недовольны скоростью беспроводного интернета, добро пожаловать в красочный и удивительный мир роутеров! Но для того чтобы выбрать модель, которая кроме скорости обеспечит и стабильность работы, и широкое покрытие, надо пройти тернистый путь познания. Этим и займемся.
802.16e, 802.11g, 802.11n, a/n, ac. Иисус, за что нам это?!
К тому моменту, когда мы родились, подросли и прошли сложный этап полового созревания, прогрессивный сетевой мир придумал стандарты беспроводной связи. О 802.16e сразу можете забыть — он нужен не для Wi-Fi, а для WiMax, который дома точно не используется.
С остальными на самом деле тоже все просто. Достаточно запомнить, что актуальными являются только два — 802.11n и 802.11ac. Теоретически первый может обеспечить скорость беспроводной связи до 600 Мбит/с (в большинстве случаев без наворотов — до 300 Мбит/с). Сегодня этого достаточно для абсолютного большинства людей, но есть нюансы. Во-первых, речь идет лишь о теоретической скорости на загрузку и отдачу, которую даже в идеальных условиях вряд ли будет возможно получить. Во-вторых, через пару лет возможностей такого роутера, мы надеемся, уже будет мало.
«Роутеры с поддержкой только лишь стандарта 802.11n годятся, но у них совершенно нет потенциала даже на ближайшее будущее. Рекомендовать такие устройства можно лишь в силу острой нехватки денег. Но лучше чуть-чуть добавить и выбрать модель с поддержкой новейшего стандарта 802.11ac, возможностей которого хватит очень надолго, потому что скорость передачи данных здесь часто измеряется уже не мегабитами в секунду, а гигабитами. При этом проблем с совместимостью быть не должно — с таким роутером будет работать даже старый планшет с каким-нибудь древним стандартом Wi-Fi», — уверен Иван.
Итак, определились: роутер обязан поддерживать в том числе 802.11ac. И только если вы готовы потратить не больше 50 рублей, подаренных бабушкой на прошлый день рождения, можно смириться с 802.11n.
2,4 или 5 ГГц? Заверните оба!
Современное беспроводное оборудование, ориентированное на работу в домашних условиях, умеет работать в частотных диапазонах 2,4 и 5 ГГц. Однако долгие годы почти все девайсы были заточены только под 2,4 ГГц. Это привело к тому, что сегодня данный диапазон крайне загружен — ваша и множество соседских беспроводных сетей на 2,4 ГГц мешают друг другу, создают помехи и вообще не дают нормально жить, потому что приводят к проседаниям скорости и обрывам связи.
«Проблему решает диапазон 5 ГГц. Сегодня его поддерживает абсолютное большинство портативных устройств. Частота 5 ГГц далеко не так „засоряет“ эфир, как 2,4 ГГц — мешать друг другу сети не будут. Есть лишь один нюанс — меньшая „дальнобойность“. Но для стандартной квартиры это не должно стать проблемой», — считает сисадмин.
Выбирать надо двухдиапазонный роутер, который будет транслировать две сети — на частотах 2,4 и 5 ГГц. Для новых девайсов — вторая сеть, а для старых, которые не поддерживают 5 ГГц, — первая. Уточним, что стандарт 802.11ac в обязательном порядке поддерживает 5 ГГц. Кроме того, практически все роутеры с поддержкой 802.11ac являются двухдиапазонными, то есть поддерживают и 2,4 ГГц.
Одна антенна, две антенны, три антенны. Лучше четыре!
Антенны в любом роутере обязательно будут, даже если вы их не видите. Другое дело, что они могут располагаться внутри или снаружи. Традиционно считается, что внешние антенны лучше справляются с передачей сигнала через преграды в виде помех от других радиоустройств или межкомнатных перегородок. Но это не всегда так.
Мощность вашего Wi-Fi, а значит, дальность работы и скорость передачи данных зависят от коэффициента усиления антенны и мощности установленного в роутер передатчика. С первым все более-менее просто: желательно, чтобы коэффициент усиления антенны составлял не менее 5 dBi. Обычно этот параметр можно найти в характеристиках устройства. С мощностью передатчика сложнее, потому что этот параметр указан далеко не в каждом маршрутизаторе.
Может получиться так, что радиус действия роутера с внешними антеннами с традиционно более высоким, чем у внутренних антенн, коэффициентом усиления окажется меньше радиуса действия маршрутизатора с внутренними, более «слабыми» антеннами, но с более мощным передатчиком. По словам Ивана, если интернет нужен для обычных домашних нужд, пользователю не стоит переживать насчет подобных «мелочей», можно просто ориентироваться на коэффициент усиления антенны
От антенн зависит не только зона покрытия сети, но и скорость передачи данных посредством Wi-Fi. Например, для стандарта 802.11n наличие всего одной антенны означает предельную теоретическую скорость на уровне 150 Мбит/с, однако в суровой реальности этот показатель будет раза в 2—3 ниже. Каждая последующая антенна увеличивает максимальную скорость сети на все те же теоретические 150 Мбит/с.
Так как мы уже определились, что выбираем роутер с поддержкой стандарта 802.11ac и диапазона 5 ГГц, то сильно беспокоиться о количестве антенн не стоит. Каждая из них дает скорость 433 Мбит/с, и даже при реальных 200 Мбит/с этого достаточно для любых домашних тарифных планов.
При изучении характеристик роутера обратите внимание на максимальную скорость по стандарту 802.11ac, который работает на частоте 5 ГГц. В большинстве случаев это будет 867 или 1300 Мбит/с. Для домашнего использования с заделом на будущее таких аппаратов вполне хватит.
Производители любят указывать общую скорость, суммируя показатели 802.11ac и 802.11n. Не поленитесь узнать точную скорость по двум диапазонам. Если по частоте 5 ГГц она составляет не меньше 867 Мбит/с, а по частоте 2,4 ГГц — не меньше 300 Мбит/с, девайс годится для использования.
Что касается количества видимых антенн, то этот показатель совершенно ни о чем не говорит. В современных роутерах часто сочетаются антенны внутренние и внешние, причем все они или некоторые из них могут быть двухдиапазонными, то есть с одновременной поддержкой 2,4 и 5 ГГц. Но четыре торчащие антенны выглядят внушительно и надежно — такие маршрутизаторы точно можно брать.
Особенности важные и не очень
Многие роутеры оснащаются рядом полезных функций, но еще чаще — кучей абсолютно ненужных простому пользователю возможностей. К первым отнесем наличие USB-порта. С его помощью можно подключить 3G/4G-модем или, что делают чаще всего, накопитель для организации медиасервера.
Сограждане оценят и встроенный Torrent-клиент, которым можно легко управлять удаленно. Вернулись домой с работы, а вас уже ждет готовенький к запуску фильм. Удобно!
Не стоит забывать, что многое зависит не только от качества услуг провайдера и характеристик роутера, но и от конечного устройства, с помощью которого вы выходите в сеть. Если смартфон оснащен одной антенной с поддержкой стандарта 802.11n, то даже при наличии самого крутого маршрутизатора и гигабитного интернета добиться от аппарата скорости больше 50 Мбит/с вряд ли получится.
То же касается и дальности действия сети. Роутер может спокойно «дотягиваться» до телефона на другом этаже, а вот сможет ли мобильник дать «обратную связь» маршрутизатору — большой вопрос.
«Фактически роутер — это компьютер, только не слишком мощный. Здесь тоже есть центральный процессор, оперативная и встроенная память. Чем выше частота процессора и больше объем ОЗУ, тем, конечно же, лучше. Если говорить о хорошем домашнем роутере, стоит ориентироваться на процессор с частотой от 500 МГц, 128 МБ оперативной и 32 МБ встроенной памяти. Больше — лучше», — отметил Иван.
Что с моделями?
«Большая тройка» широко представленных в Беларуси брендов выглядит так: Zyxel (прямо сейчас — отдельный бренд Keenetic), ASUS и TP-Link. Также можно найти модели от Netgear, D-Link, Linksys и Mikrotik. Очень активно на рынке присутствует Xiaomi, но здесь есть нюансы, о которых чуть ниже. Итак, посмотрим, какие роутеры представлены в разных ценовых категориях.
До 100 рублей
Самый большой недостаток бюджетных моделей в том, что их Ethernet-порты не рассчитаны на пропускную способность в 1000 Мбит/с. Скорость беспроводной сети может быть хоть 1200 Мбит/с, но при этом по кабелю она будет ограничена 100 Мбит/с. Для построения быстрой домашней сети этого хватит, но запаса для работы с более скоростной внешней сетью нет.
Правда, не обошлось без исключений. Речь о выполненном в виде черного цилиндра D-Link DIR-860L. Антенны внутренние, но по характеристикам — достойный двухдиапазонный девайс с 802.11ac, общей скоростью беспроводной связи 1200 Мбит/с и ценой как раз под 100 рублей.
Читайте также: