Роутер Halon SX-101X: маленький, но очень серьезный

Предположим, вы - сисадмин. В единственный отличный день вас вызывает на коврик руководство и высочайше повелевает: снабдить доступом в Интернет свежеиспеченный филиал компании. Первая мысль, которая в подобной ситуации приходит в голову многим администраторам - это "компьютер, две сетевые карты, операционка из категории *NIX - и вороти чего душе угодно". Спору нет, вывод удобное. Простейшая шлюзовая агрегатина элементарно настраивается более того малоопытным сисадмином, в особенности с использованием удобных утилит, которые сегодня есть без малого в любом дистрибутиве Linux. Однако, как только начинает требоваться нечто больше сложное (например, связь между офисами по защищенному туннелю, настройка сложной маршрутизации или обеспечение качества сервиса (QoS) для различных типов трафика), требования к квалификации грубо возрастают.

Кроме того, существуют ещё самое малое два параметра, которые необходимо учесть - это быстродействие и безопасность. Быстродействие подразумевает достаточную мощность шлюзовой машины для выполнения всех возложенных на нее задач; компьютер, собранный "по сусекам" из старинного хлама может и не потянуть все возложенные на него обязанности. Секьюрити - значит, некогда всего, способность противиться взлому. При всей своей гибкости и почти бесконечных возможностях, шлюз на базе компьютера под управлением *NIX представляет собой объект, привлекательный для взломщиков. Создание грамотно организованной, устойчивой к взлому системы представляет собой искусство, которым владеет вдали не всяческий юниксовый администратор.

Типичный юниксовый шлюз.

- Не нравится *NIX? Так пойдите и купите аппаратный маршрутизатор! - воскликнут многие. Что ж, мысль хороша. Аппаратный роутер быстр и способен реализовывать море различных задач; возможности некоторых моделей наращиваются с помощью системы модулей и программных апгрейдов. Взлому он подвержен в немаловажно меньшей степени, нежели программный шлюз. Но цена! Неблизко не любая группа может разрешить себе полнофункциональное заключение на базе маршрутизаторов одного из ведущих производителей. Попытка сэкономить, купив роутер "домашнего" класса, может нетрудно привести к разочарованию: большинство таких устройств не рассчитано на нагрузку, которую способна вручить сеть даже из пары десятков машин. К тому же, комплект функций в таких маршрутизаторах обыкновенно ориентирован на работу как раз домашних пользователей. Им не нужны ни виртуальные сети (VLAN), ни подмога технологии FailOver (переключение на альтернативную линию связи при перебоях в главный - прим.), ни балансинг для распределения нагрузки между несколькими серверами.

Неужели не существует золотой середины? Маленькой, недорогой, обычный в настройке - но обладающей хорошим набором функций и способной перенести серьезные рабочие нагрузки? До недавнего времени я склонялся к отрицательному ответу на тот самый вопрос. Но ныне могу вымолвить с уверенностью: предлог для оптимизма есть, и дает его небольшая синяя коробочка под названием Halon SX-101X. Это - маршрутизатор, тот, что выпускает под торговой маркой Halon шведская фирма ScalSoft AB, известная своими решениями в области сетевой безопасности.

Комплект

Поставляется маршрутизатор в аккуратной серебристой коробке с черным логотипом HALON. Внутри обнаружился сам аппарат, блок питания к нему, нуль-модемный шнур и трехметровый патч-корд категории 5e. Из бумажных материалов в упаковке нашелся только рекламный проспект, в котором перечислялись особенности трех аппаратов линейки SX, и листочек, озаглавленный "QuickStart" ("Быстрый Старт"), на котором был описан технология первичной настройки роутера. Скорее всего, в комплекте официальной поставки будет и набор бумажных руководств по настройке; в то время как же их разрешается скачать с сайта производителя.

Особый файл

Внешний вид

Маршрутизатор представляет собой небольшую металлическую коробочку размером 222х155х36мм, окрашенную в славный синий цвет.

Неповторимый файл

На передней грани расположены светодиодные индикаторы. Их там 10: Power (питание), Active (означающий подготовленность системы к работе), а кроме того 4 группы по два диода (Link и Active), показывающие состояние четырех сетевых портов устройства - WAN, LAN, DMZ1 и DMZ2.

Своеобразный файл

На задней грани обнаруживаются собственно сетевые порты, разъем для подключения блока питания и разъем USB-типа, обозначенный как Option. По словам представителей компании, в ближайшем будущем этот разъем будет служить для подключения 3G-модема; соответствующая модификация прошивки должна нарисоваться в августе-сентябре.

Своеобычный файл

Более никаких деталей на корпусе SX-101X нет - кроме, неужели что, четырех пухлых резиновых ножек. Да-да, аккурат так - никаких вентиляционных отверстий. Производитель с гордостью подчеркивает, что устройство влетает без вентиляторов. На основополагающий взгляд, это вызывает беспокойство, но за неделю непрерывной работы, охватывая и очень жаркие часы в середине дня при неработающем кондиционере, синий остов аппарата оставался едва теплым.

Самобытный файл

Тем не менее, я бы, лично, не стал помещать Halon SX-101X в стойку, густо забитую серверами и коммутаторами. Указанный в технической документации рабочий температурный порядок - от 0 до 45 С, но береженого, как известно, бог бережет.

Начинка

Компания ScalSoft AB имеет громадный навык создания систем безопасности на базе UNIX. В качестве основы для специализированной операционной системы H/OS Extreme была взята знаменитая BSD версии 4.4. О стабильности этой ОС ходят легенды; ее служба с сетями считается чуть-чуть ли не эталоном надежности и совместимости. Создатели H/OS утверждают, что их организация вобрала в себя все лучшее от своей именитой прародительницы. На сто процентов дать оценку истинность этого утверждения сложно, но за все час тестирования роутер ни разу не повис и не выдал ни одной ошибки. Веб-интерфейс корректно отображался во всех браузерах, демонстрируя четкую и быструю работу.

"Железо", на котором в SX-101X работает H/OS Extreme, впечатляет: процессор 1GHz, 256Mb RAM. Это уровень, которым обладают устройства, предназначенные для сетей "среднего" размера, что целиком соответствует позиционированию продукта. Аппаратный апгрейд, к сожалению, невозможен - но остается вероятность программной кастомизации; прошивка роутера имеет модульную структуру и, в зависимости от приобретаемой лицензии, может быть укомплектована именно теми функциями, которые нужны клиенту.

Немного о способах доступа к устройству.

В упомянутом выше листочке "QuickStart" упомянуты два способа достигнуть до настроек SX-101X: сквозь SSH и с помощью веб-интерфейса, доступного по адресу 172.16.0.1. Однако, будет нелишним убедиться, что в вашем распоряжении есть компьютер с COM-портом. Он может понадобиться, если что-то пойдет не так; у нас, например, аппарат отказывался выдавать адрес по DHCP, и пришлось с помощью СOM-COM шнура и программы-терминала осуществить совершенный reset системы. Полностью вероятно, что доступ к роутеру посредством COM-терминал понадобится еще не раз, когда, в процессе опытов с правилами файрволла, вы отключите самого себя. В случае установки SX-101X на серьезную рабочую площадку эта возможность становится жизненно необходимой.

Оригинальный файл

H/OS Extreme: настройка и администрирование.

H/OS Extreme предоставляет пользователю два способа настройки: через веб-интерфейс и с помощью аскетичной текстовой консоли, весьма похожей на консоли управляемых свитчей и маршрутизаторов других компаний. Пользоваться обоими способами благоприятно - за одной единственной оговоркой: необходимо вооружиться руководством пользователя. На сайте производителя такие инструкции не возбраняется скачать, они подробны и снабжены хорошими иллюстрациями. С их помощью несложно настроить на практике все, что потребуется.

Текстовая консоль

Этот схема настройки доступен через SSH или с помощью COM-терминала. Архитектура меню в то же время представляет собой набор команд, которые могут исполняться в виде простейшего скрипта, будучи занесенными, например, в список задач, запускаемых по таймеру. Не самый-самый наглядный метод конфигурирования, но в некоторых условиях может сделаться де-факто единственным.

Оригинальный файл

Веб-интерфейс

Если вы - не юниксоид старой закалки, и представление графических инструментов настройки не вызывает у вас аллергию, то веб-интерфейс наверное станет для вас основным способом общения с SX-101X.

После авторизации перед вами откроется рабочее оконце веб-консоли, состоящее из двух основных областей: слева - древовидная структура меню, с правой стороны - область, в которой отображаются параметры и настройки подпунктов этого меню. Внешний обличье интерфейса чем-то напоминает известный программный шлюз Kerio Winroute Firewall. Расположение элементов недурственно продумано, и все элементы настройки, упоминающиеся в пользовательском руководстве, находятся практически мгновенно. Некоторые закладки внутри разделов могут ориентировать на другие разделы, образуя сеть перекрестных ссылок. Таковый методика организации удобен и логичен; разыскать потребный ингредиент управления по смыслу становится сильно легко.

Overview: В этом разделе доступен мониторинг основных параметров системы - утилизация памяти, процессорной мощности, состояние сетевых интерфейсов.

Оригинальный файл

Закладка Health показывает состояние запущенных сервисов.

Оригинальный файл

Management: Здесь сосредоточены закладки, касающиеся информации о маршрутизаторе, а ещё менеджер лицензий, апдейтер H/OS и система управления сохраненными конфигурациями. Помимо того, тут же, в закладке Tools, находится небольшой парк полезных сетевых утилит, таких как Ping, Traceroute, DNS Lookup и т.д.

Оригинальный файл

Schedule: Этот раздел позволяет осуществлять различные команды оболочки H/OS в заданное время. По умолчанию в списке значатся два постоянно исполняемых задания: ревизия новых лицензий и проверка нового программного обеспечения.

Оригинальный файл

Reporting: Здесь настраиваются оповещения, которые отсылаются на удаленный SysLog-сервер или на указанный e-mail. Событий, на которые может быть настроить оповещения, может быть множество: от превышения предела нагрузки на процессор или память роутера до срабатывания политик, настроенных в разделе правил брандмауэра. Нужно заметить, что сам аппарат не сохраняет логи, и поэтому, если вы хотите ведать подробности о том, что делается с вашим SX-101X, стоит уделить этому разделу пристальное внимание.

Оригинальный файл

Network: По понятным причинам, один из важнейших разделов. В этом месте конфигурируются параметры, касающиеся работы физических сетевых и виртуальных сетевых интерфейсов системы.

Подраздел Basic Setup: Здесь позволительно настроить основные IP-адреса интерфейсов Halon SX-101X, шлюз по умолчанию, DNS, а также MAC-адреса и MTU (максимальный охват пакета) для каждого из интерфейсов.

Оригинальный файл

Подраздел Aliases: Позволяет назначать каждому из интерфейсов немного IP-адресов - алиасов, делая их, таким образом, принадлежащими к разным сетям (адресным пространствам) одновременно. Для каждой из таких сетей могут быть свои правила трансляции адресов, фильтрации трафика и т.д.

Оригинальный файл

Подраздел VLAN: Здесь настраивается принадлежность интерфейсов маршрутизатора к различным виртуальным сетям (VLAN). Виртуальные сети применяются для логического разделения групп компьютеров по соображениям безопасности, или же при использовании множества IP-сетей, когда физических интерфейсов несложно не хватает.

Оригинальный файл

Подраздел Static Routes: В этом подразделе разрешено прибавлять свои собственные пути в таблицу маршрутизации устройства.

Оригинальный файл

Подраздел NAT: NAT - это Network Address Translation, система трансляции адресов. Halon SX-101X предлагает два варианта NAT. Первостепеннный - динамический; с помощью него уймище устройств могут заполучить доступ к внешней сети, используя IP-адрес внешнего сетевого интерфейса роутера.

Второй - типа "один-к-одному", он же - статический. Заурядно применяется для того, чтобы совершить видимым извне сервер, расположенный внутри сети.

Оригинальный файл

Подраздел Failover: Здесь настраивается одна из интереснейших функций Halon SX-101X. Несколько роутеров Halon могут быть объединены в единую FailOver-систему; в случае отказа одного из аппаратов, его задачи автоматически возьмет на себя сосед.

Оригинальный файл

В сетях с высокой нагрузкой или требующих повышенной надежности доступа в Интернет, эта опция способна стать важным элементом построения отказоустойчивой сетевой инфраструктуры.

Оригинальный файл

Подраздел Transparent Bridges: Если нет необходимости применять Halon SX-101X в качестве шлюза (например, если он сам находится за шлюзом), его вероятно обратить в "прозрачный" мост (bridge). В этом случае два его интерфейса логически соединяются воедино, как если бы они были соединены невидимым патч-кордом. Все правила файрволла при этом остаются в силе.

Оригинальный файл

Applications: Под "приложениями" в H/OS подразумевается строй служб, одна количество из которых относится к работе самого роутер, а другая - к обслуживанию запросов сетевых клиентов.

Подраздел Control Panel: Сюда же ведет закладка Health в разделе Overview. Здесь собраны в цельный список все сервисы операционной системы H/OS. Отседова возможны запуск и остановка каждого из них. Нажатие кнопки Settingsнапротив сервиса приводит к переходу в подобающий подраздел меню, где его можно сконфигурировать. В режиме Health видно, сколь памяти и процессорной мощности отъедает каждая из служб.

Оригинальный файл

Подраздел DHCP: Здесь настраиваются параметры DHCP-сервера H/OS, отвечающего за автоматическую выдачу клиентам IP-адресов. При желании прописывается DHCP-relay - адрес другого DHCP-сервера, на который перенаправляются запросы.

Оригинальный файл

Подраздел Web Access Control: Большинство системных администраторов сталкивается в своей практике с необходимостью блокирования "нежелательных" сайтов - из соображений безопасности, экономии трафика или чтобы уберечь сотрудников от соблазнов Сети. В этом подразделе сисадмину предоставляются богатые возможности.

Оригинальный файл

Блокировка может производиться как по списку URL, указанных в явном виде, так и по ключевым словам. Ключевые слова могут быть перечислены в строке Data окна конфигурации WAC, либо загружены в роутер в виде файла через FTP.

Подраздел Web Authentication: Эта опция позволяет подключить веб-авторизацию пользователей. На основании данных авторизации, может быть организовано разграничение доступа к ресурсам сети. Кроме того, такая авторизация может употребляться для повышения общего уровня сетевой безопасности.

Оригинальный файл

Подраздел DynDNS: В некоторых случаях не получается использовать статический IP даже на внешнем интерфейсе маршрутизатора. В этом случае на содействие приходит работа динамического DNS, обеспечивающая привязку доменного имени к ТЕКУЩЕМУ IP-адресу системы. Привязка имени к адресу осуществляется вслед за тем авторизации маршрутизатора на сервере компании-поставщика услуги.

Оригинальный файл

Подраздел DNS Cache: В этом подразделе можно устанавливать жесткое соответствие между доменными именами и IP-адресами. Соответствие сохраняется до тех пор, покуда прописанные адреса не будут вручную удалены из списка.

Оригинальный файл

Firewalling: Название говорит само за себя: здесь сосредоточены инструменты управления брандмауэром - одной из ключевых функций Halon SX-101X. Ее важность косвенно подчеркивается тем фактом, что представители компании SkalSoft AB в приватных беседа позиционировали свойский продукт именно как "firewall".

Подраздел Visual Filters: Здесь создаются группы, именуемые "Визуальными фильтрами". Эти группы могут объединять наборы политик брандмауэра, используемые для различных целей. Обыкновенный образец - разные наборы политик для авторизованных и неавторизованных пользователей сети Интернет.

Оригинальный файл

Подраздел Policies: В этом подразделе (а также в подразделе Services,) находится центровой инструментарий для работы с брандмауэром. Настройка правил (или "политик") файрволла возможна в двух режимах: базовом (Basic) продвинутом (Advanced). В базовом режиме администратор по пунктам описывает, что он хочет. Например: "Я хочу разрешить трафик из сегмента сети, подсоединенного к порту DMZ в сегмент, подсоединенный к порту LAN при использовании службы DNS." (курсивом выделены опции, которые H/OS предлагает предпочесть из выпадающего списка возможных). Результаты выбора показываются рядом, в виде стрелочек на фоне изображения роутера.

Оригинальный файл

В продвинутом режиме возможна более тонкая настройка правил фильтрации пакетов, с заданием направлений прохождения пакетов, применения параметров QoS (Качества Сервиса) и т.п.

Оригинальный файл

Подраздел QoS (Quality Of Service): Чтобы определенные сетевые сервисы сохраняли работоспособность за пределами зависимости от загрузки канала, в SX-101X существует служба Качества Сервиса. С помощью нее выделяется минимальная полоска пропускания, которая постоянно будет обеспечена для конкретного вида трафика. Обычный пример - обеспечение QoS для работы IP-телефонии.

Оригинальный файл

Подраздел Services: Перечислить ВСЕ сочетания портов и протоколов, используемых существующими приложениями, без затей нереально (хотя в H/OS их ни капли не мало, целых 54 штуки).

Оригинальный файл

Поэтому в Halon SX-101X предусмотрена возможность создания собственных "сервисов", которыми можно манипулировать наряду с предопределенными; без нее работа многих сетевых приложений была бы нетрудно невозможна.

Оригинальный файл

Подраздел Address Groups: Объектом правил брандмауэра может являться не только установленный тип трафика, но и его потребитель. Для удобства организации H/OS позволяет объединять адреса и сети в группы, которым далее назначаются конкретные политики.

Оригинальный файл

Подраздел Policy Routing: Сложные сети могут использовать несколько шлюзов. Данный подраздел позволяет манипулировать правилами, в соответствии которым трафик направляется через тот или другой шлюз. В случае, если несколько шлюзов указаны в пределах одного пути (route), такая конфигурация может быть использована для балансирования сетевой нагрузки между двумя каналами Интернет (load balancing).

Оригинальный файл

Подраздел Limitations: Для защиты сети от флада (flood) и в качестве пассивной защиты от деятельности ботнетов внутри сети, в H/OS реализовано ограничение количества соединений.

Оригинальный файл

Подраздел Options: Здесь доступны настройки дополнительных параметров - как на уровне всего брандмауэра целиком, так и по отдельности для каждого из интерфейсов. В большинстве случае установки по умолчанию являются предпочтительными, но иной раз возникает надобность более тонкой настройки - из соображений безопасности или для улучшения работы конкретных приложений.

Оригинальный файл

UTM (Unified Threat Management, "Объединенная система противостояния угрозам"): В нашей сборке H/OS данный раздел включает в себя только один модуль - спамфильтр. SkalSoft AB гордится своими достижениями в этой области; соответственно пресс-релизам, эффективность разработанной ей антиспам-системы достигает 95%. До того высокая эффективность достигается, в числе прочего, благодаря использованию технологии RPD , разработки компании CommTouch. Данная методика позволяет анализировать спам не только в виде отдельных сообщений, но также на уровне "волн". Не секрет, что работа спам-систем автоматизирована, и отсылка подчиняется заданному алгоритму, который систематично повторяется. Система RPD анализирует такую "волну", запоминая ее признаки, и следующий вал спама встречает уже во всеоружии.

Антиспам-модуль Halox SX-101X может трудиться в двух различных топологиях. Первая предполагает, что почтовый сервер находится внутри корпоративной сети. В этом случае употребляется SMTP: проверяется вся почта, приходящая в адрес домена, указанного в настройках. Согласно второй топологии, почтовый сервер находится во внешней сети, например, на сервере провайдера. В этом случае проверяется весь POP3-трафик, проходящий через указанный интерфейс. Статистика работы антиспам-системы включает в себя численность перехваченных спам-посланий, процент спама в полученной почте, а также графический мониторинг работы системы, реализованный в виде гистограммы.

Оригинальный файл

Inspection: В данном разделе можно активировать систему защиты от вторжений. При ее включении весь трафик, проходящий через выбранный интерфейс, подвергается анализу, и до тех пор, пока система не определит его как безопасный, маршрутизатор его не пропустит. Алгоритмы, по которым анализируется трафик, были разработаны специалистами компании Sourcefire, работающими в рамках открытого проекта SNORT. Чтобы вынудить систему работать, необходимо сначала загрузить с www.snort.org файл с правилами, а следом залить эти правила в соответственный каталог роутера.

Стоит заметить, что эта операция выглядит не вовсе так, как описано в PDF-файле документации; заливать весь скачанный архив нет необходимости; в нем масса ненужной информации, да и не хватит места в файловой системе роутера. На самом деле довольно распаковать содержимое папки rules из архива в папку /snort/rules маршрутизатора, а после этого в веб-интерфейсе надавить кнопку "Import".

В качестве более легкой альтернативы, можно легко нажать кнопку download в веб-интерфейс; тогда файл с правилами загрузится автоматически с сайта производителя. Однако, стоит иметь в распоряжении виду, что эта опция у нас почему-то не завсегда срабатывала, и может понадобиться вышеупомянутая операция с доступом по ftp.

После импорта можно углядеть в меню file разделы правил, при клике на которые в основном окне отображается детальный список. Каждое из правил можно свершить активным или неактивным, регулируя, тем самым, порядок защищенности системы. Естественно, при активации ВСЕХ правил падение скорости может показаться чрезмерным, оттого администраторам рекомендуется остановить свой выбор ?оптимальное соотношение скорости и защищенности.

Оригинальный файл

IP Balancer: Данный раздел представляет из себя опциональный модуль, и требует дополнительного лицензирования. Балансинг - это способ распределения нагрузки, применяемый, когда несколько серверов отвечают за один сетевой ресурс (типичный пример - обеспечение доступа в режиме 24/7 к популярному веб-сайту).

Настроить балансинг несложно. Базовая настройка содержится в создании нового балансера, в свойствах которого указывается список серверов, между которыми необходимо распределять нагрузку, и порт, по которому клиенты обращаются к ресурсу. Необходимо также сформировать правило в разделе Policies,чтобы балансер мог обрабатывать клиентские запросы. Посреди дополнительных настроек стоит направить внимательность на отбор метода, по которому осуществляется распределение нагрузки.

Virtual Private Networks (VPN): Помните гипотетическую задачу в самом начале статьи? Данный раздел является ключевым для ее решения. Для того, чтобы угодить из одной сети в другую через пространство публичного Интернета, необходим шифрованный туннель, в который инкапсулируется рядовой сетевой трафик.

H/OS поддерживает две разновидности инкапсулирующих протоколов: PPTP и IPSec. PPTP более гибок и проще настраивается "из коробки "; он лучше подходит для работы отдельных клиентов. При туннелировании трафика между двумя шлюзам предпочтительнее использовать IPSec; впрочем, данный протокол, считающийся более безопасным, можно использовать и для клиентского доступа (Mobile IPSec).

В H/OS поддерживается шесть (!) видов шифрования для IPSec-туннеля, включая что ни на есть теперешний и сильный способ RIJNDAEL-CBC (AES). Для обеспечения безопасной авторизации предлагается два алгоритма - MD5 и HMAC-SHA-1.

Оригинальный файл

Для упрощения процесса создания IPSec-туннеля существует режим Automated IPSec. Особый протокол ISAKMP (Internet Security Association and Key Management Protocol) обеспечивает автоматический подбор общего для обеих сторон способа шифрования и обмен ключами. Этот же протокол обеспечивает безопасность подключения клиентов Mobile IPSec.

Оригинальный файл

Несмотря на то, что протокол PPTP имеет более значительный возраст и считается менее безопасным, чем IPSec, его применение оправдано во многих случаях, особенно если речь идет о едином способе подключения для клиентов с разными операционными системами. Для обеспечения централизованной аутентификации и авторизации имеется помощь RADIUS.

Оригинальный файл

Стоит произнести несколько слов для тех энтузиастов, которые, возможно, захотят использовать SX-101X в домовых сетях. Интернет-провайдеры таких сетей нередко применяют для организации доступа различные варианты подключения через VPN. Невзирая на всю мощь H/OS, существует вероятность, что именно с вашим провайдером без фабричной кастомизации прошивки Halon SX-101X подружить не удастся, оттого что способ подключения вашего провайдера роутером не поддерживается. То же самое можно заявить для целого ряда других задач, которые могут быть возложены на маршрутизатор: не проверишь на практике - рискуешь бесполезно потратить деньги. Именно потому представительство марки HALON принимает заявки на предоставление оборудования на тестирование; возможность не уникальная, но редкая и шибко полезная.

Help: Не удивляйтесь тому, что этот раздел заслужил отдельное упоминание в этой статье; он интереснее, чем вы могли бы предположить. В подразделе Documentation держится прямая ссылка на сайт www.halonsecurity.com, с которой можно скачать различные руководства в формате pdf. Подраздел Glossary окажется как снег на голову интересным для тех, кто подзабыл, что именно значит та или иная аббревиатура или термин. С учетом того, что в настройках SX-101X они используются в изрядном количестве, этакий справочник под рукой окажется окончательно не лишним.

Оригинальный файл

И, наконец, подраздел Wizards содержит в себе два мастера: базовой настройки роутера затем отката к фабричным установкам, и создания с нуля IPSec-туннеля. Пустячок, а приятно.

Оригинальный файл

Условия тестирования

Halon SX-101X тестировался в режиме роутера в течение недели. К сожалению, произвести его основным маршрутизатором корпоративной сети не представлялось возможным, вследствие этого тестовая модель включала до 5 компьютеров, подключенных к SX-101X через свитч и/или через порты самого маршрутизатора. В процессе работы создавались тестовые настройки политик, работала система UTM в режиме POP3. В среднем, падение производительности, по сравнению с режимом "без маршрутизатора" составило не более 5%*.

*В связи с неравномерностью загрузки канала, был взят усредненный итог за неделю.

Ценообразование и лицензирование

Вот мы и подошли к вопросу, с которого, по сути, и начали наше исследование. В том, что Halon SX-101X - устройство интереснейшее, мы уже успели убедиться. Но во сколько денег - казенных или заработанных собственным тяжким трудом - обойдется приобретение таковой радости?

Прежде чем на этот вопросительный мотив ответить, я хотел бы поведать про разговор, произошедший у меня с представителем компании, занимающейся сетевыми решениями. "Скажите, пожалуйста, - спросил я его, - сколько бы стоил аппаратный маршрутизатор, рассчитанный на такие вот задачи?" И выложил на столик бумажку с описанием ключевых свойств Halon SX-101X. Агент попросил таймаут на наведение справок, и через некоторое период выдал мне результат: обладающее перечисленными свойствами решение одного из крупнейших производителей будет базироваться на модульной платформе, располагать цена возле шести с половиной тысяч долларов - и это не считая подписки на обновления сигнатур системы UTM. Тех, кто давнехонько имеет занятие с активным сетевым оборудование, результат, полагаю, не удивит. А вот те, кто привык к собранным из хлама linux-шлюзам, при виде таких цифр наверно сделают большие глаза. И спросят: "Э-э, так почем там ваш Halon?"

В данный миг ценовая политика компании в России только формируется, поэтому предварительные суммы будут базироваться на европейских расценках. А они таковы: SX-101X с лицензией на антиспам-модуль (1 год обновлений), поддержкой 25 VPN-туннелей, плюс регулярные обновления программного обеспечения, Load Balancer и расширенные гарантия и сервис, обойдется вам - внимание! - в сумму менее чем 2500 долларов США. Домашний энтузиаст или предприниматель, стремящийся защититься от спама и признающий необходимость обновлений (не нужен балансер и расширенная гарантия) может обрести SX-101X за сумму менее чем $1500! Да, разумеется, такое решение имеет свои ограничения, его запрещено нарастить в случае серьезного расширения сетевой инфраструктуры. Но если вы ясно представляете себе перспектива вверенной вам сети, и Halon SX-101X заинтересовал вас тем, что он способен дать вашей компании здесь и в текущее время - не стесняйтесь, свяжитесь с представительством Halon.

В конце концов, именно ваш заинтересованность и является гарантией того, что это впрямь неординарное устройство появится, наконец, на отечественном рынке.

Обсудить роутер Halon SX-101X на форуме

Keywords: