D-Link DFL-900 - аппаратный межсетевой экран с поддержкой VPN, который является экономически эффективным решением проблемы безопасности, обеспечивая полноценную защиту сети, высокую производительность и надежность. Данный межсетевой экран/маршрутизатор VPN является идеальной системой по обеспечению безопасности сетей уровня предприятия, предлагая надежную защиту от внешних вторжений, поддержку VPN (Virtual Private Network) и простоту управление.

Межсетевой экран предоставляет широкий спектр функций защиты от внешних атак и обеспечения безопасности, которые включают аутентификацию пользователей, настройку политики безопасности и Virtual Server Mapping. DFL-900 обеспечивает NAT трансляцию IP-адресов внутренней частной сети в IP-адреса общедоступной сети.

В качестве одной из функций межсетевого экрана, DFL-900 обеспечивает фильтрацию потенциально опасных кодов, встроенных в Web-страницы, удаляя объекты ActiveX, Java, JavaScript и другие потенциальные угрозы.

Межсетевой экран DFL-900 защищает сеть от атак Denial of Service (DoS) и обеспечивает стабильность работы сети посредством анализа содержимого пакетов (Stateful Packet Inspection, SPI). Устройство может обнаруживать атаки хакеров и отбрасывать вредоносные пакеты, предотвращая их проникновение в сеть. 

DFL-900 защищает сеть от таких атак как SYN Flood, Ping of Death, Spoof, Tear Drop, ICMP Flood, UDP Flood и т.д. Его можно настроить на протоколирование этих атак, определение IP-адреса источника атаки и посылку предупреждений об атаках в виде отчета по электронной почте. Помимо этого можно задать правила ограничения потока данных с указанных IP-адресов.

DFL-900 поддерживает функции VPN, включая IPSec и безопасность ESP в режиме туннеля. DFL-900 имеет встроенную поддержку VPN, что позволяет создавать множество туннелей IPSec для удаленных офисов. Реализация IPSec в DFL-900 использует надежное шифрование DES, 3DES, AES и управление ключами Automated Key Management согласно спецификации IKE/ISAKMP. Туннель VPN может быть активирован от экрана к удаленному офису или мобильному пользователю для надежной передачи потока данных с использованием шифрования triple DES. Это позволяет пользователям конфиденциально получать доступ и передавать важную информацию. Множество туннелей VPN может быть легко создано без необходимости определения правил протокола обмена ключами (Internet Key Exchange - IKE).

Доступ к управлению может быть настроен как из внутренней защищенной сети, так и из внешней сети Интернет. DFL-900 содержит внутреннюю базу данных для аутентификации пользователей обращающихся к различным сервисам. Для организации к ним общественного доступа устанавливается связь между внешними IP-адресами и информационными серверами внутренней сети. Помимо этого, используя систему задания шаблонов URL, можно ограничить доступ к определенным Web-сайтам.

Политики межсетевой защиты могут применяться в соответствии с расписанием, составленным для различных дней/недель/месяцев и для однократного или периодического использования.

DFL-900 использует специально разработанные микросхемы ASIC для выполнения шифрования и дешифрования VPN, что разгружает центральный процессор.

DFL-900 имеет один 10/100BASE-TX порт LAN с автоопределением режима работы для подключения внутренней сети офиса и выделенный порт DMZ, позволяющий организовать доступ к почтовому, Web или FTP серверу компании непосредственно из Интернет. Функция DMZ очень полезна, т.к. снижает трафик от сервера во внутренней сети и защищает ее компьютеры от атак из Интернет, скрывая их за межсетевым экраном.

DFL-900 имеет удобный Web-интерфейс управления. Для соединения с управляющим терминалом во внутренней корпоративной сети или в удаленном офисе используется безопасное соединение SSL. Помимо этого, для локального управления DFL-900 можно использовать последовательный порт RS-232.

Характеристики:

Параллельные сессии 

• 300 000 макс.

Открытие новых сессий за секунду 

• 4 000 макс.

Пропускная способность межсетевого экрана 

• 100 Мбит/с

Пропускная способность при шифровании 3DES

• 60 Мбит/с

Количество политик безопасности 

• 1 000 макс.

Расписаний применения политик безопасности 

• 256 макс.

Количество VPN туннелей 

• 1 000 макс.

MTBF 

• 36119 часов

Интерфейсы

• 3 10/100BASE-TX порта (1 внутренний, 1 внешний, 1 DMZ)

SDRAM

• 256 МБ

FLASH память

• 32 Mб

Консольный порт

• DB-9 RS-232 (асинхронный последовательный DTE)

Индикаторы диагностики

• На устройство: Power
• На порт Ethernet: Speed 100 Мбит/с, 10 Мбит/с, Link/Act

Программное обеспечение

Режимы работы

• Режим Transparent *
• Режим NAT/Route

Stateful Packet Inspection (SPI)

• IP-адрес и номер порта
• Счетчик пакетов и байтов
• Номер последовательности и подтверждения
• Временной штамп
• История изменения нагрузки
• Динамическое связывание

Denial of Service (DOS) атаки

• IP Source Routing
• IP Spoofing
• SYN Flooding
• ICMP Flood
• UDP Flood
• LAND Attack
• Address sweep attack
• Tear drop attack
• Winnuke attack
• Port scan attack
• Ping of death

Network Address Translation (NAT) (на порт)

• PAT
• NAT через IPSec

Проверка содержимого пакетов

• Динамическая фильтрация URL
• Блокирование HTTP URL: по ключевому слову/полному URL *
• Проверка содержимого HTTP: блокирование URL, объектов Java, JavaScript, ActiveX, Cookie
• Proxy для приложений: POP3, SMTP, FTP
• Назначение IP-адреса: статическое, клиент PPPoE для порта WAN, клиент DHCP для порта WAN, сервер DHCP для порта LAN, DHCP relay

IDS (Intrusion Detection System)

• Модель NIDS
• Определение домена атаки
• Уведомление об атаке (через электронную почту)
• Протоколирование и отчет

Virtual Private Network (VPN)

• VPN туннель между офисами
• VPN туннель между офисом и клиентом

Управление ключами VPN

• ISAKMP/Oakley (IKE) *
• SKIP *

Шифрование данных VPN

• DES (56-бит)
• 3DES (128-бит)
• AES *
• PKI (X.509) *

Протоколы VPN туннелирования

• Point-to-Point Tunnepng Protocol (PPTP)
• Layer 2 Tunnepng Protocol
• IPSec

Аутентификация VPN IPSec

• MD5
• SHA-1
• Запросы сертификата PKI (PKCS 7 и PKCS 10) *
• Automated certificated enrollment (SCEP) *
• Onpne certificate status protocol (OCSP) *

Аутентификация пользователей через межсетевой экран и VPN

• Встроенная (внутренняя) база данных (до 1500 пользователей) *
• Клиент RADIUS *
• Клиент RSA SecureID *
• Клиент LDAP *
• Аутентификация через сервер RADIUS *
• Аутентификация XAUTH VPN *
• Аутентификация на основе Web

Управление полосой пропускания

• Выделение гарантированной полосы пропускания
• Выделение максимальной полосы пропускания
• Загрузка полосы пропускания по приоритету
• Обработка кода типа сервиса DiffServ *

Протоколы маршрутизации

• RIP-1, RIP-2
• OSPF *

Сетевые протоколы

• TCP/IP
• UDP
• ARP
• ICMP

Управление

• SNMP v1, v2
• HTTP
• Клиент TFTP
• Telnet
• Интерфейс командной строки (Cp) *
• Защищенная командная оболочка (SSH v1.5) *

Протоколирование и мониторинг

• Графическое отображение накопленной статистики *
• Протоколирование фильтрации: регистрация отклоненных внутренних и внешних запросов на соединение
• Протоколирование сеансов связи: регистрация создания и разрыва соединения
• Предупреждения/уведомления при обнаружении атак: запись информации о внешней атаке
• Протоколирование аутентификации пользователей: регистрация момента аутентификации пользователя через межсетевой экран
• Протоколирование доступа через Web
• Таблица DHCP
• Протоколирование системы
• Протоколирование ошибок
• Протоколирование электронной почты
• Мониторинг VPN туннелей
• Протоколирование событий и система предупреждений

* Функции будут доступны в следующей версии ПО

Физические параметры

Питание

Переменный ток 90 - 264 В, 50/60 Гц, внутренний универсальный источник питания

Потребляемая мощность

100 Вт

Размеры

425 x 257 x 44 мм (только устройство), для установки в 19-дюймовую стойку, высота 1 U

Рабочая температура

0 до 50 C

Температура хранения

-25 до 55 C

Рабочая влажность

От 5% до 95% без образования конденсата

Сертификаты EMI

FCC Class A

CE Class A

Безопасность

CSA International