网络安全检测|网络安全服务|网络安全扫描-香港墨客投资移动版

　　为SSL VPN客户端使用不同的子网，其思路与NETGEAR的IPSec VPN客户端的Mode Config选项非常相似，它在VPN客户和主局域网之间创建分开的路由网络。然后我们可以在VPN子网上应用限制策略，通过针对源IP地址的限制访问来提高安全性。

　　分离通道模式要求在VPN客户子网和NETGEAR的LAN子网之间创建一个静态的路由。这个设置需要两步操作就可完成。如图9所示，首先禁用全通道模式支持，然后输入局域网子网地址。

图9、建立分离通道模式

　　通过分离通道模式，一个远程客户端无论是在连接到因特网的任何地方，都可以通过路由访问NETGEAR的LAN子网192.168.3.0/24。使用NETGEAR的SSL VPN实现，我能够通过远程桌面、VNC和SSH服务访问我的Windows和Linux服务器，同样也可以映射我的网络驱动器。

　　还有一件令我印象深刻的事情是，通过VPN通道ping局域网设备几乎没有延时上的增加。正如上面的表2所示，在通过VPN通道来ping广域网WAN接口和LAN设备的时候，延时几乎没有什么不同。毫无疑问，在一个VPN通道内进行封装和加密等操作，难免会增加一点延时。令我印象深刻的是两者之间的延时只有1ms或没有区别。

　　更多的SSl VPN客户端配置可以通过使用User、Group和域配置来完成。而且，FVS336G可以被配置使用一个RADIUS服务器来实现用户认证。最后，你还可以创建用户策略来定义哪一个浏览器可以允许实现终端用户访问。

　　VPN防火墙网络配置体验

　　在选中WAN和LAN选项的时候可以进行网络配置。每一个WAN端口可以连接到一个不同的ISP商中，无论是使用PPPoE，还是以太网，无论是具有动态分配地址，还是静态IP地址。和FVX538和FVS124G中一样，它的双WAN口连接可以用来配置实现自动切换或复杂均衡模式。

　　在自动切换模式中，以WAN1作为主连接，一旦预定义的重试间隔次数被耗尽的时候，会自动切换到WAN2。在图10中的配置，切换时间是经过4次间隔为30秒的重试连接，也就是经过2分钟后，如果还是连接失败则自动切换到另一个WAN口。

图10、WAN失效转移设置

　　为了测量实际的失效转移效果，我选择了重试间隔为30秒，重试两次失败后进行转移。平均测试结果是，一般在WAN1失效后1分钟10秒左右WAN2口被激活。

　　除了失效转移模式外，双WAN口连接可以实现负载均衡模式。有的朋友可能以为同时使用两个因特网连接具有优势，但是这种配置可能会导致某些路由问题。这些问题可以通过设置协议绑定(Ptotocol Binding)将特定的通信类型映射到不同的接口上。

　　举个例子来说，映射网页和电子邮件(协议是HTTP、SMTP和POP3)通信到一个WAN接口上，而将其他所有通信映射到另外一个WAN接口，这就是将通信数据通过不同的WAN接口实现分离的最简单的方法，使用这个功能你可以根据你的通信类型的需要实现数据分流。

　　对于FVX，还有多个LAN配置选项。LAN子网可以被定制为任何网络;我设置我的子网为192.168.3.0/24。我非常喜欢NETGEAR的LAN Groups菜单。这个FVS设备被设计使用在小型办公网络的核心，可以支持253个节点。

　　如图11所示，我的测试FVS连接了15个不同的设备。使用LAN Groups菜单，一个系统管理员可以轻松的为每一个设备命名，一旦一个设备被起了名字并保存在LAN Groups中后，就可以通过这个漂亮的表格来组织管理这个LAN设备。

　　在下面的例子中，我将我的所有的设备妨在Group 1中。在实际工作中，网络管理员可以把设备放到不同的分组中，然后对不同的组来设置应用不同的安全策略。

图11、LAN Groups设置

　　FVS336G同时支持静态和动态路由。在动态路由协议方面，FVS336G支持RIPv1和RIPv2。

　　更多安全功能测试

　　FVS336G具有多个安全选项来定制它的状态数据包检测(SPI)防火墙。默认情况下，一个状态数据包检测防火墙阻挡所有不是由LAN设备发起的WAN-LAN通信。NETGEAR具有54个预置的TCP/UDP服务，诸如HTTP和FTP等，以简化打开防火墙上的端口的操作。如果需要定义更多的端口，可以通过Services菜单来实现增加需要的定义。