UTM
Az eszköz elnevezése: UTM Firewall, azaz Unified Threat Management (egységesített veszélykezelés). Ezek a szoftver gerincét adó szolgáltatások, amelyek a gépeken áthaladó forgalom folyamatos figyelésével, rendszeresen frissülő adatbázissal történő összevetésével garantálják a belső hálózat védelmét. A termék automatikusan frissül, ez az egyik újdonsága: az ide tartozó szolgáltatások adatbázisát a hagyományos, asztali gépeken futtatott vírusellenőrző és biztonsági szoftverekhez hasonlóan rendszeres időközönként frissíti - ha előfizetünk erre. Az eszközzel automatikusan egyéves előfizetést kapunk, az után azonban meghatározott díj ellenében meg kell újítani.
Az egységesített veszélykezelés egyik oszlopa egy tartalomszűrés, amely az áthaladó forgalomban különböző támadás- és behatolásmintákra keres, és találat esetén az általunk beállított szabály szerint jár el (például eldobja a csomagot, figyelmeztetést küld, stb.). A program veszélyes utasításokat, tartalomrészleteket vizsgál, ezt hasonlítja össze a már említett rendszeresen frissülő adatbázisban található jellemző behatolási mintákkal. A másik oszlop egy vírusellenőrző rendszer, amely a Kapersky Antivirus vírusdefiníciós fájljaival dolgozik, és a fájlletöltéseket elemzi. A fájlletöltés történhet HTTP, FTP és SMTP protokollon (levélcsatolmány-letöltés) keresztül.
A fenti két szolgáltatást is szabályok alapján alhálózatokhoz, portokhoz, külső IP-khez és egyéb feltételekhez rendelhetjük, meghatározva, hogy kinek mikor és mit ellenőrizzen.
ALG
Mivel a sima címfordítás és az alapvető tűzfalszabályok csak a csomagok fejléceit vizsgálják, lehetséges úgy visszatámadni a belső hálózatba, hogy egy kimenő csomagra küldött válaszként álcázzuk a behatolásunkat. Ennek kivédését szolgálja az ALG (Access Layer Gateway ~ Hozzáférési Szintű Átjáró), amely egyfajta közvetítő szerepet tölt be a ki- és bemenő csomagok között. Nem csak a fejlécet vizsgálja meg, de kibontja a csomagot, elemzi, majd újracsomagolja a másik hálózatban található gép számára. A fenti szolgáltatás HTTP, FTP, SMTP, illetve H.323 protokollok felett működtethető.
VPN
Az eszköz támogatja a virtuális magánhálózatok használatát kliens és szerver módban egyaránt. A támogatott protokollok: IPsec, PPTP, L2TP. A VPN-azonosításhoz, -csatlakozáshoz, -működtetéshez szükséges kulcsokat és tanúsítványokat az eszköz tanúsítványkezelő részében tölthetjük fel és tárolhatjuk, majd a kapcsolat kezelésénél felhasználhatjuk. Mint már említettem, az erőforrások előre történő definiálása szinte minden beállítási opciónál előkerül az eszközben.
A fenti protokollok közül hiányolható az OpenVPN támogatása, amely az egyik legelterjedtebb (legegyszerűbb) linuxos, nyílt forráskódú VPN megoldás. Reméljük, hogy egy későbbi firmware frissítés után ez is belekerül majd a repertoárba.
A VPN-kapcsolatok fenntartása és az eddigiekben említett összes szolgáltatás meglehetősen számításigényes. Ha ehhez hozzávesszük, hogy a D-Link legfeljebb 50 felhasználóig ajánlja az eszközt, jogosan félhetünk attól, hogy nagy terhelés mellett az lelassul. Ennek kiküszöbölésére az összes nagy processzorigényű műveletet célhardverek alkalmazásával próbálták gyorsítani. Ha hihetünk a termékleírásnak, nem lesz gondunk a sebességgel.
Forgalomszabályozás
Előző cikkünkből kimaradt egy lényeges szolgáltatás, amely nem annyira a biztonság, mint inkább a szabályozás témakörébe tartozik. Az eszköz egy fejlett QoS megvalósítást biztosít a kimenő, illetve bejövő forgalom szabályozására. Ez a szabályozás jelentheti a sávszélesség korlátozását (csomagok várakoztatását), csomagok eldobását, ha túlterhelt az eszköz, a különböző hálózati forgalomfajták rangsorolását, valamint garantált sávszélességet is biztosíthatunk egyes gépeknek, illetve alhálózatoknak. A könnyebb kezelhetőség érdekében a tűzfalban a forgalmi szabályok alapegysége a csővezeték (pipe), s a valódi szabályozást a csővezetékek szabályhalmazokba (ruleset) történő rendezésével végezhetjük el.
Az eszköz beállítása egyébként nem egyszerű, a profibb felhasználók is segítségre szorulnak. Szerencsére a mellékelt elektronikus dokumentáció és a webes beállító felületről elérhető online segédlet egészen jól bemutatja a beállítási lehetőségeket, valamint kellő alapossággal ismerteti az egyes szolgáltatások műszaki hátterét. Ha valakinek ez kevés volna, a CD-n konkrét példákat találunk az egyes beállítások (például DCHP-továbbítás) lépésről lépésre történő bemutatásával.
A dokumentációból az is ki fog derülni, hogy mennyi mindent nem érintettünk ebben a két cikkben, s amiről szó volt, arról is csak felületesen beszéltünk. Az eszköz egyes szolgáltatásait tényleg olyan részletekbe menően lehet testre szabni, hogy felfogni is sok az egyes lehetőségeket. És akkor még nem említettem a kimaradt alacsonyabb szintű beállítási lehetőségeket, amelyek hatására tényleg minden igényt kielégítően a hálózatunk igényeihez alakíthatjuk a szoftvert. Nem érintettük az ARP szintű biztonsági ellenőrzések lehetőségét, az útválasztási szabályok finomhangolását, a DoS támadások elleni védekezést és a Zone Defense nevű szolgáltatást sem, amely - együttműködve más D-Link hálózati kapcsolókkal - képes kitiltani a hálózatból a vírussal fertőzött gépeket. A terjedelmi korlátok miatt tehát minden érdeklődőnek azt javaslom, hogy ne csak a cikk alapján ítélje meg a tűzfalat, hanem ássa bele mélyen magát a D-Link oldalán elérhető leírásokba. n
