DFL-1500 - это межсетевой экран/VPN маршрутизатор, обеспечивающий высокий уровень защиты сети, производительности и надежности. Это устройство предоставляет средства для организации безопасности сети предприятия, позволяя реализовать надежную защиту от несанкционированного доступа, обеспечивая поддержку Virtual Private Network (VPN), доступность сети с помощью резервирования каналов связи/распределения нагрузки и простоту администрирования.

DFL-1500 предоставляет широкий набор средств защиты от внешних атак, плюс всестороннюю защиту, включающую аутентификацию пользователей, создание правил защиты и поддержку Virtual Server Mapping. Экран обеспечивает трансляцию IP адресов внутренней частной сети в IP адреса общественной сети (NAT).

В качестве части межсетевой защиты, DFL-1500 поддерживает фильтрацию потенциально вредоносных кодов, внедренных в web-страницы, для удаления объектов Active, java, JavaScript и других потенциальных угроз.

В устройстве реализован интеллектуальный алгоритм автоматической маршрутизации для динамического распределения выходящего трафика между двумя WAN каналами связи (два порта 10/100Мбит/с Fast Ethernet DFL-1500 могут быть настроены как порты WAN). Это не требует создания сложных таблиц маршрутизации, как в обычных маршрутизаторах, уменьшая, таким образом, усилия администраторов сети на их создание.

Multihoming - это механизм, позволяющий подключить локальную сеть к Интернет через двух и более провайдеров. Основное преимущество этого механизма - получение резервного канала связи при обрыве соединения с одним провайдером и постоянного доступа к Web-сервисам, что особенно важно для предприятий и организаций, коммерческая деятельность которых зависит от Интернет. DFL-1500 предлагает полнофункциональную функцию Multihoming, которая распределяет входящий трафик, а также определяет и перенаправляет трафик с неработающих каналов связи. В этом случае не требуется сложная настройка BGP или помощь от провайдеров Интернет.

Для повышения отказоустойчивости, два устройства DFL-1500 могут работать в связке "ведущее устройство - ведомое устройство". Обычно ведущее устройство является активным, а ведомое устройство - резервным. Как только ведущее устройство выйдет из строя, ведомое станет активным и начнет выполнять функции ведущего устройства до тех пор, пока оно не вернется в рабочее состояние. Отказоустойчивый режим предлагает максимальное сохранение работоспособности для предприятий, которым требуется высокая степень доступности.

Качество обслуживания может ухудшиться или даже не предоставляться из-за неправильного использования полосы пропускания. Предоставление гарантированного качества обслуживания (QoS) становится важным вопросом для сегодняшних предприятий. Увеличение полосы пропускания не является реальным решением, т.к. не гарантирует доступность. Наиболее правильный способ решения данной проблемы - использование управления полосой пропускания. Благодаря встроенной в DFL-1500 возможности управления полосой пропускания, можно легко создать правила использования полосы пропускания, на основе конфигурации сети и политиках компании. DFL-1500 будет проверять, что потребность в полосе пропускания ожидаемого трафика удовлетворяется, а также отслеживать и контролировать использование полосы пропускания неожидаемым трафиком. Правила использования полосы пропускания в DFL-1500 могут быть созданы на основе адресов источника, назначения (IP или подсети) и приложений.

В устройстве поддерживается внутренняя база данных для аутентифицированного доступа пользователей к различным сервисам. DFL-1500 ставит в соответствие внешние IP адреса информационным серверам внутренней сети для организации общественного доступа к ним. В DFL-1500 также можно запретить доступ к определённым WEB-сайтам, используя механизмы блокировки URL.

Применение правил межсетевой защиты может быть задано для различного времени дня/недели/месяца и для однократного или повторного использования.

Устройство поддерживает функции VPN, включая IPSec, безопасность ESP в туннельном режиме, LAN- to-LAN и мобильный удаленный доступ.

В DFL-1500 используется специально разработанная микросхема ASIC для выполнения шифрования и декодирования VPN. Это разгружает центральный процессор благодаря использованию дополнительных аппаратных средств.

DFL-1500 поддерживает web-интерфейс управления, используя безопасное SSL подключение с удаленного терминала во внутренней сети, либо с внешнего удаленного сайта. Также устройство может конфигурироваться локально, используя последовательное подключение по интерфейсу RS-232.

Характеристики:

Процессор

• Intel Celeron 1.2 ГГц

Системная память

• Встроенная 256 Mб

Flash память

• 32 Mб Compact Flash card

Сетевые интерфейсы

• 5 портов 10/100 Mбит/с (каждый порт может быть настроен как доверительный (LAN) или DMZ или не доверительный (WAN) порт, макс. 2 WAN порта, 1 DMZ порт)

Индикаторы

• Power
• Status
• link и Activity для каждого интерфейса

Функции безопасности

Межсетевой экран:

• Stateful Packet Inspection (SPI) для предотвращения атак
• Denial of Service (DoS) (Syn flood, ICMP flood, UDP flood, "ping of death", IPspoofing, land attack, tear drop attack, IP address sweep attack, Win Nuke attack),
• Intrusion Detection System (IDS) включая создание журнала регистрации, отчетов и уведомление по e-mail, адрес, сервис и протокол,
• фильтрация содержания Web URL.

Функциональность VPN:

• 2,000 выделенных туннелей VPN,
• управление ключами вручную и назначение IKE Security Association (SA),
• алгоритм шифрования 56-bit (DES) или 168-bit (3DES) IPsec,
• алгоритм аутентификации MD5 или SHA-1,
• preshared key,
• perfect forward secrecy (поддержка клиентов Diffie-Helman и Oakley),
• настройка времени жизни ключа и времени жизни IKE,
• предотвращение replay атак,
• удаленный доступ VPN (клиент-сеть),
• сеть-сеть VPN.

Режимы работы:

• Network Address Translation (NAT),
• статическая маршрутизация,
• неограниченное количество пользователей на порт.

Поддерживаемые протоколы

• Сетевые:
• IP маршрутизация, TCP/IP, UDP, ICMP, PPPoE
• IP адресация: DHCP (клиент и сервер)
• Маршрутизация: RIP v1, RIP v2 (статическая, динамическая маршрутизация)
• VPN/ Безопасность:
• Алгоритм шифрования данных: IPSec ESP
• Методы аутентификации: MD5, SHA-1
• Управление ключами: IKE
• Алгоритмы шифрования: DES, 3DES
• VPN серверы: PPTP, L2PT

Поддерживаемые RFC

• PPTP cpent and server (RFC 2637)
• IPSec tunnel mode (RFC 2401)
• HMAC-MD5-96 (RFC 2403)
• HMAC-SHA1-96 (RFC 2404)
• Encapsulation Security Payload Protocol (RFC 2406)
• DHCP server (RFC 2131)
• DHCP cpent (RFC 2131)
• TFTP cpent (RFC 1350)
• IP routing (RIP1, RIP2) (RFC 2453)
• NAT (many-to-one) (RFC 1631)
• PPPoE (RFC 2516)

Аутентификация

• HMAC MD5 или HMAC SHA-1 Authentication/data integrity

Обмен ключами

• Автоматический IKE на основе Pre-Shared Key

Обеспечивается защита от атак:

• IP Source Routing
• IP Spoofing
• SYN flood attack
• ICMP flood
• UDP flood
• Land attack
• Address sweep attack
• Tear drop attack
• Win nuke attack
• Port Scan attack
• Ping of Death

Количество выделенных VPN туннелей

• 2,000 (макс.)

Количество параллельных сессий

• 460,000 (макс.)

Поддержка аутентификации пользователей

• Через внешний RADIUS - сервер

Локальное конфигурирование

• Через консольный порт RS-232

Физические параметры

Питание

От 100 до 250 В переменного тока внутренний переключаемый источник питания

Мощность

120 Вт (макс.)

Размер

426 x 240 x 46 мм (стандартная ширина для установки в стойку, высота 1 U)

Рабочая температура

0 до 60 C

Температура хранения

-25 до 70 C

Влажность

5% до 95% без образования конденсата