Выбрать главу

Привязка сервера Loopback (Mapped Server, Loopback). Если на маршрутизаторе настроено перенаправление портов на серверы, находящиеся в сегменте LAN, то добраться до них из этого же сегмента можно достаточно просто — указав внутренний IP-адрес сервера. Пользователи, находящиеся с другой стороны маршрутизатора — WAN, могут обратиться к серверу через внешний адрес маршрутизатора.

Функция «Loopback» позволяет пользователям, находящимся во внутреннем сегменте, обращаться к такому серверу по внешнему IP-ад-ресу маршрутизатора (или по имени, если оно задано). Такая возможность избавит пользователей, находящихся в одной локальной сети с сервером, от необходимости запоминать внутренние адреса, позволив обращаться к серверу точно так же, как всем остальным пользователям, находящимся снаружи маршрутизатора.

Контроль доступа, фильтрация портов (Access Control, Port filtering). В некоторых ситуациях необходимо ограничивать круг пользователей, имеющих доступ к сервисам Интернета: например, разрешить доступ только к электронной почте или только к web-страницам. Для этой цели почти у всех маршрутизаторов есть возможность ограничения доступа. Работает это следующим образом: задаются группы пользователей (на самом деле это группы IP-адресов). Затем для каждой группы указываются сервисы (используемые ими порты), которые разрешается использовать группе.

Различные модели маршрутизаторов позволяют реализовать различные уровни контроля, хотя обычно можно либо разрешить доступ только к указанной группе сервисов (номерам портов), или разрешить доступ ко всем, кроме указанной группы. Когда пользователь пытается использовать неразрешённую службу, например AOL Instant Messenger, она просто не будет работать. Это может показаться странным для пользователей, которые не были предупреждены о фильтрации. Поэтому многие модели маршрутизаторов в данном случае покажут сообщение о том, что доступ к этой службе закрыт.

Обычно маршрутизаторы позволяют задать четыре группы, возможное количество портов в группе различается. Некоторые модели позволяют одновременно указывать не только одиночные порты, но и их диапазоны, другие — только одиночные порты.

Большинство моделей позволяют только включить блокирование или отключить, однако некоторые поддерживают также блокирование портов по расписанию. Конечно, гибкость расписания не слишком велика, обычно она ограничивается одним периодом времени с указанием дней недели, в которые этот фильтр используется.

Ограничение/фильтрация содержания (Content Control, Content filtering). Данная функция предназначена для ограничения доступа пользователей локальной сети к ресурсам Интернета. Она схожа с такими программами, как Cybersitter, NetNanny, CyberPatrol и другими, но более ограничена в возможностях. Некоторые модели позволяют лишь указать URL или IP-адреса и запретить или разрешить доступ только к ним. Другие поддерживают использование списков фильтрации и позволяют использовать такие списки от третьих фирм. Некоторые модели также позволяют настроить и этот фильтр на работу по расписанию.

VPN (Virtual Private Networking). С постоянным ростом внимания к безопасности компьютерных сетей, возможность поддержки VPN становится все более актуальной, особенно это касается тех, кому необходимо подключаться к сети офиса из дома или из гостиницы в случае командировки. Многие организации позволяют подключаться к своей сети лишь с использованием технологий VPN. Производители маршрутизаторов ответили на спрос решений для VPN поддержкой их в своих устройствах. Возможности туннелирования в маршрутизаторах сильно различаются от модели к модели, поэтому необходимо заранее знать, поддержка какого типа туннелей вам необходима.

Протоколы (Protocols). Два наиболее часто используемых протокола для создания VPN — это PPTP и IPsec. PPTP (поддерживается компанией Microsoft) поддерживается в маршрутизаторах наиболее часто, хотя сегодня большинство моделей также поддерживают и IPsec. Третий протокол, L2TP, распространён не так широко, поэтому если ваше подключение VPN использует именно этот протокол, то убедитесь в его должной поддержке маршрутизатором.

Прохождение (Pass-Thru). Простейшая форма поддержки VPN — это обеспечение сквозного прохождения туннелей через маршрутизатор. Маршрутизатор, поддерживающий этот режим, пропускает через себя инкапсулированные пакеты данных, не просматривая их содержимое. Остаётся только настроить соответствующее клиентское ПО на компьютерах во внутреннем сегменте, чтобы клиенты из локальной сети могли свободно подключаться к серверу VPN снаружи. Большинство производителей заявляют, что их модели поддерживают прохождение туннелей VPN, однако на самом деле ситуация может оказаться обратной. Иногда проблемы заключаются в ошибках прошивки маршрутизатора, иногда они связаны с невозможностью работы протокола VPN через маршрутизаторы NAT.

Совет: через маршрутизаторы NAT не могут работать подключения VPN, использующие аутентификацию заголовков IPsec (IPsec Header Authentication) или пакеты IPsec с неинкапсулированным шифрованием FMZ.

Также маршрутизаторы различаются по количеству пропускаемых туннелей. Это не так критично для одиночных пользователей, но может играть важную роль для небольших организаций, использующих соединения между несколькими офисами. Одни модели могут поддерживать прохождение только одного туннеля в один момент времени, другие могут пропускать сразу несколько. Третьи могут пропускать несколько туннелей только в том случае, если они направлены на один сервер VPN. То есть два сотрудника из одного офиса не смогут установить подключение к двум различным удалённым VPN-серверам.

Ещё одна необходимая функция, касающаяся VPN, — это возможность использования серверов VPN внутри сети. Естественно, для этого необходимо будет установить перенаправление портов, или поместить сервер в DMZ, но если маршрутизатор не знает, как обращаться со специально построенными пакетами данных VPN, клиенты не смогут подключиться к серверу. Поэтому, если необходимо установить сервер VPN за маршрутизатором внутри сети, то сначала стоит убедиться, что маршрутизатор поддерживает прохождение туннелей PPTP или IPsec внутрь.

Конечная точка (End Point). Второе название этой функции — «VPN Edge». Так называется способность маршрутизатора создавать и разрывать туннельное соединение. Благодаря ей маршрутизатор может устанавливать туннели сам, что позволяет не использовать программное обеспечение для VPN на клиентских компьютерах. Кроме того, используя два одинаковых (или почти одинаковых) маршрутизатора, можно создать туннельное соединение между двумя сетями без использования какого-либо дополнительного программного или аппаратного обеспечения.

Ранее такая возможность была доступна в устройствах стоимостью от $500, однако сегодня появляются все новые модели устройств, которые стоят дешевле $100 и поддерживают конечные точки VPN. К примеру, SMC 7004.

При выборе маршрутизатора с такой возможностью следует убедиться в наличии конечной точки PPTP, если она вам нужна (некоторые модели поддерживают конечную точку только для IPsec, а для PPTP есть лишь возможность прохождения туннелей). Кроме того, если необходима возможность доступа к сети, например, во время поездок, убедитесь в наличии в комплекте поставки клиентского приложения VPN, если оно необходимо.

Журналирование (Logging). Журналирование — это способ маршрутизатора «сказать», что он выполнял и, что более важно, чем занимались пользователи. Большинство моделей потребительского уровня обладают достаточно скромными возможностями журналирования и предоставляют лишь поверхностные возможности (в лучшем случае) для просмотра активности определённого пользователя.

Обычно в журнал заносятся три типа записей: административные, «hack attempts» (попытки взлома) и трафик пользователей. Административные записи включают в себя такие события как включение/выключение и перезагрузку маршрутизатора. Кроме того, здесь же можно встретить и список попыток административных входов. Записи «Попытки взлома» обычно включают попытки любого доступа к маршрутизатору с внешнего сегмента сети (WAN). Эти попытки обычно не направлены именно на ваш маршрутизатор, а являются результатом сканирования портов всей подсети. Модели с брандмауэрами на базе просмотра содержимого (SPI) могут также определять и записывать потенциально опасные атаки, например Denial of Service (DoS) — отказ в обслуживании, fragmented packet — фрагментированные пакеты и другие, не менее опасные атаки. И, наконец, записи трафик пользователей включают запросы HTTP, FTP и других сервисов Интернет.