网络通信 频道

全面剖析千元内宽带路由器:艾泰HiPER 811评测

  性能特点

  HiPER811使用HiPER科技自主研发的ReOS网络操作系统,融合上网行为管理、网络安全管理、网络维护管理于一身,除具备智能NAT、防火墙、带宽管理、IP/MAC绑定、业务管理等宽带路由器常见的功能之外,还具备安全性强、易用性好、性价比高等突出特点。同时,HiPER 811支持IPSec、L2TP以及PPTP等多种形式的VPN功能,可以通过Site-to-Site或远程拨号的多种方式建立互联互通的VPN网络。

  • 安全配置:

  HiPER 811在安全方面考虑非常周全,安全配置模块主要包含基本选项、策略库、ARP欺骗防御和设备访问限制等内容。初级用户可通过打勾的形式在基本选项中进行设置,选择是否允许响应外部Ping,启用ARP欺骗防御、冲击波和DoS/DDoS防御等。

  ARP欺骗类病毒在各行业网内屡有发现,当某台电脑感染了这类 ARP 欺骗病毒后,会不定期发送伪造的 ARP 响应数据报文和广播报文,导致网络内其它电脑因学习到错误的网关信息而无法上网。HiPER 811针对ARP欺骗问题提供了很好的防护措施,首先可以对MAC地址进行绑定,HiPER 811非常人性化的设置了“全部绑定”的功能,可一次性绑定全部条目,同时提供扫描网络功能,可以扫描局域网中所有开启的PC,学习并显示最新的动态ARP信息;其次可以向局域网定期广播正确的网关ARP信息,防止局域网的PC遭受ARP欺骗,并且广播的间隔可以自由设定,防止广播包占用过多带宽。通过模拟ARP攻击测试,发现设置ARP绑定及网关ARP广播功能后HiPER 811能有效防止ARP的攻击。配置页面见图7:

  图7 ARP欺骗防御配置

  HiPER 811还提供了DDoS攻击防护和冲击波等病毒防御。另外,为了防御来自内部网络的DDoS攻击,HiPER 811提供了是否“启用设备访问限制”的功能,限制局域网内主机从LAN口访问设备;按网络性能和用户需求,可设置每秒允许通过设备的数据包的数量,并给出了建议值,防止由于瞬时流量过大而导致设备运行异常。

  HiPER 811还能够设置局域网中每台主机能占用的最大并发NAT会话数,甚至可以根据不同的协议设置不同NAT会话数(如图8)。

图8 NAT会话限制

  HiPER 811提供的上述几项安全功能,基本覆盖了常用的防护措施,能有效的减少相应的安全威胁。

  • 用户管理

  HiPER 811在用户管理方面有很出色的表现。在带宽管理方面,该产品实行三个可供选择的带宽限速策略,实现分时段对内网用户进行带宽限速,并限制其上传和下载的传输速度。这一功能能够有效的降低少数用户通过电驴、迅雷等P2P软件占用大量的带宽而导致内网用户正常工作受到的影响。

  企业和单位可通过设置工作时间和工作外时间,对上传和下载速度做不同的处理,满足不同时期用户的需求。HiPER 811更为人性化的地方在于可选择“解除邮件限速”,使得邮件业务不受带宽限速的影响,可以正常收发,保障部分用户正常的工作(如图9)。

图9 带宽限制配置

  同时,HiPER 811按不同需求提供了组管理和个性化管理。如果某些用户有特别需求,则可进行个性化配置,通过在个性化配置中时段策略来实现对个人用户的分时段策略管理。另外在个性化管理中,也可以对某个指定用户的NAT会话进行设置。

  HiPER 811还支持PPPoE Server功能,其独特的PPPoE功能摆脱了ARP协议的弊端,彻底解决内网ARP欺骗问题。PPPoE Server功能对于小区网络经营者来说,无疑为网络管理提供了新的解决方案。通过账号管理,有效的控制用户上网行为、上网时间、带宽占用,既可以针对不同收费用户进行带宽管理,也可以在用户网络费用到期时禁用帐号,轻松实现用户管理(如图10)。

图10 PPPoE用户状态列表
  • 系统管理

  HiPER 811从低到高提供三种级别的管理权限:浏览、执行和系统管理。用户可以根据实际需求划分管理员的权限,以达到最小权限的安全目的,防止因管理员权限过大而造成的安全风险。另外,HiPER811还向管理员提供了Telnet的管理方式,这在同档次的产品中是不多见的。

  HiPER811支持配置文件备份与导入,可将HiPER当前配置文件保存到管理计算机,也可将备份的配置文件导入到HiPER中,节省重复配置的时间;支持WEB升级方式,方便功能扩展。

  HiPER811提供标准的SNMP接口,可供远程SNMP服务器管理;并且,提供系统日志功能,可通过远程SYSLOG服务器记录。

  • NAT

  HiPER 811支持NAT静态映射(如图9),用户可以自定义映射名,选择设置协议、IP和内、外部起始端口号,设置完成后所有对该端口的服务请求将被重新定位给指定的局域网中的服务器,从而广域网中的计算机就可实现对局域网服务器的访问。支持DMZ主机,向外提供WWW、Telnet、FTP等服务;支持NAT Re-routing和反向NAT;提供NAT ALG功能,并支持FTP、PPTP、IPSec ESP等特殊应用协议(如图11)。

图11 NAT设置

  HIPER 811提供了三种NAT规则,管理员或用户根据自己的需求实现内部IP和外部IP的多对一或一对一的映射关系。在一对一的映射中,用户可设置一个虚拟服务器(DMZ),完全暴露给 Internet ,实现双向通讯。系统允许配置一个全局 DMZ 主机,多个局部 DMZ 主机。同时,用户若设置NAT规则为Passthrough类型,那么指定的内部IP地址直接与Internet连接,而不做NAT转化,从而为不同用户提供不同的功能。

  综合看HiPER811 在NAT功能上做的非常全面,从基本的NAT映射功能到端口映射、正反向地址映射都能实现。

  • 系统监控

  利用HiPER 811监控功能,网管人员可实时监测CPU利用率、内存利用率、NAT表等关键系统资源,可以及时发现潜在的各种攻击;通过实时查看各个接口的带宽,查看各个用户的上传/下载带宽以及NAT会话数,查看上传/下载带宽排行榜和NAT会话数排行榜,能够快速定位网速慢、卡等网络异常。

  HiPER 811为了便于管理员管理,还在“系统状态”中给出了用户统计信息(如图12),对每个IP的发送数据包和发送广播包进行统计,并利用广播包/发送包作为判断主机是否感染病毒的参考量,方便了网络管理人员对故障的排查。

 

图12 用户统计信息表
  • VPN功能

  HiPER 811支持IPSec、L2TP以及PPTP等多种形式的VPN功能,提供网关对网关、客户端(HiPER 811)对网关、网关(HiPER 811)对客户端模式,可以通过Site-to-Site或远程拨号的多种方式建立互联互通的VPN网络,方便小型分支机构与总部或其他分支机构构建安全的局域网办公环境。

  HiPER 811在IPSec支持方面提供多种算法包括3DES、MD5、AES等,有很好的兼容性,并能满足不同安全级别的需求。

  • 访问控制

  HiPER 811提供了专门的防火墙设置界面可实现基于源/目的IP地址、协议、端口、源/目的MAC地址的包过滤,还可按时间段、地址组进行过滤。

  HiPER 811还支持域名过滤(如图13),可以实现禁止内网用户对某些指定域名的访问,将一些常见的恶意网站加入过滤列表能有效的防止内部主机遭受攻击。支持“*”通配符的过滤方式,大大简化了网管人员的工作。

图13 域名过滤配置界面
0
相关文章