网络安全检测|网络安全服务|网络安全扫描-香港墨客投资移动版

　　【IT168 专稿】最近网件（Netgear）公司推出了一款针对中小企业的安全产品——FVS336G，这是一款双WAN千兆端口防火墙，它提供两种类型的虚拟专用网（VPN）通道：安全套接字层（SSL）和IP安全（IPSEC），实现最佳的安全连接到你的网络。SSL VPN的通道为个人获得随时随地提供无需任何客户端远程访问你的企业数据，而IPsec VPN技术提供安全的站点至站点间的通道和支持基于客户端的远程访问。

　　从外形上看，FVS336G的外形大小是25.4 x 17.8 x 3.96 厘米，比网件的其它4口路由器要略大一些，不过其电源是内置设计的，安全起来非常方便。

　　网件这款产品的颜色是蓝色金属色，显得高雅深沉，设备上的指示灯包括电源、WAN口和LAN口的状态灯。图1是其前面板图，图2是后面板图。

图1、前面板

图2、后面板

　　网件的VPN防火墙FVS336G可以支持多达25条 IPsec VPN 通道和10条块 SSL VPN 通道;具有状态检测防火墙，可以防止拒绝服务(DoS)攻击、多线程VPN 穿透、SYSLOG 和 Email 报告等功能;同时它还具有四个千兆局域网端口，可以保持你的数据高速传输，而两个千兆WAN 端口采用负载均衡或链路备份模式，以确保最大的吞吐量和可靠地连接到互联网上。支持网络地址转换(NAT)和传统路由，支持多达253个用户同时访问宽带连接。

　　对于网络管理员来说，在FVS336G上还可以设置很多选项来进行优化，而且对于多数设置来说它是非常直观的。表1列出了它的几个主要配置部分及相应的子菜单设置。

表1、FVS336G菜单组成

　　在FVS336G的配置中比较重要的部分是实现网络访问、安全和VPN设置菜单等，这也将是本篇评测文章所要重点关注的。让我们先来看一下它的VPN功能。

　　两种通道模式 VPN功能实测

　　网件的FVS336G是一个VPN设备，它可以同时支持高达25个IPSec和10个SSL VPN通道。无论是通过SSL通道，还是通过IPSec通道，都可以实现远程访问，而且有足够多的IPSec通道来支持多个站点到站点的安全连接。

　　我们可以通过站点对站点配置或网件的VPN客户端软件来创建IPSec通道。SSL VPN通道是一个新增加的功能，与复杂的IPSec VPN相比，SSL通过简单易用的方法实现信息远程连通。任何安装浏览器的机器都可以使用SSL VPN， 这是因为SSL内嵌在浏览器中，它不需要象传统IPSec VPN一样必须为每一台客户机安装客户端软件。

　　在FVS336G上你可以迅速的建立IPSec站点到站点通道。我在通过公网将FVS336G连接到一个SonicWALL TZ190W的过程中没遇到任何问题。使用网件的VPN向导，按照以下过程我创建了如下图3所描述的一个VPN策略：

　　1、选择网关通道类型。

　　2、在连接名称和预共享密钥字段中输入一个名称和密码。在下面的例子中，我输入了“VPN to Other Site”作为我的连接名称，“mypassword”作为预共享密钥。

　　3、为每一个终端输入WAN口IP地址或域名称，诸如下面的“Othersite.domain.com”和“thissite.domain.com”。如果你使用的是一个具有静态地址的网络服务提供商服务，那么IP地址是一个更可靠的终端识别方式。

　　4、输入远程网路的子网和掩码(注意，远程网络是在通道另一端的网络，它应该是一个与本地网络不同的子网。)在图3的例子中，我输入了192.168.1.0和255.255.255.0。点击应用保存这个新的策略。

图3、IPSec VPN向导

　　使用这个VPN向导创建一个VPN策略的同时会自动创建一个相应的IKE(因特网密钥交换)策略。我发现修改本地和远程的标示类型(Identifier Type)部分为Local WAN IP和Remote WAN IP效果最好，甚至当你使用的是域名而不是静态IP的时候也是如此。注意图4中的Identifier已经变灰。

图4、因特网密钥交换策略配置

　　VPN和IKE策略被创建后，也可以被编辑修改。举个例子来说，如果需要的话，可以将加密方法从3DES改到AES-256。注意使用VPN向导的时候，阶段1的Main Mode和阶段2的完全转发安全性(PFS)是自动选择的。这些选项需要根据通道另一端来进行设置。

　　根据我的经验，配置本地和远程标识选项的时候非常容易发生配置不匹配的情况。注意通道安全性已经通过一个预共享密钥建立起来了。