安全了,就轻松了 ---- HiPER 3300VF VPN安全网关测试报告
2004-11-09
优点:具有带宽管理和流量控制功能、支持线路备份、负载均衡
缺点:暂无
上海艾泰科技有限公司的HiPER 3300VF 是一款将虚拟专用网、防火墙和流量控制等功能集中于一体的VPN安全网关。
HiPER 3300VF VPN安全网关体积为356mm×240mm×43mm,重量3KG ,机身采用风格凝重的纯黑色硬铁板外壳,机身两侧均匀的分布着很多散热孔,这样的设计有利于长时间连续工作时内部元件产生热量的散发。 HiPER 3300VF具有1个电源接口,1个10/100Mbps WAN口,比较特别的是还拥有一个DMZ/WAN2端口,该端口特点是既能支持独立的DMZ主机,又能和WAN口配合使用,支持双WAN口流量负载均衡以及线路冗余备份。除此以外3300VF还具备了4个10/100Mbps交换式LAN口,相当于四台交换机,用于连接局域网内的计算机成HuB级联,对中小型企业特别实用。3300VF支持FTTX+LAN、固定IP、PPPoE(ADSL拨号上网)、PPTP连接方式。
HiPER 3300VF VPN安全网关的系统指示灯位于前面板左方,在企业网络管理时可以从指示灯来识别此时的工作状况。最左边的是Power指示灯,电源工作正常时常亮;旁边是System指示灯,成功连接后以每秒2次的频率闪烁,系统负担较大时,闪烁频率降低,有故障时常亮;Traffic指示灯启动时亮,有网络流量时闪烁,无流量时灭;Fault指示灯启动时亮,然后常灭,有故障时不停闪烁,闪烁一定次数后重启。
HiPER 3300VF VPN安全网关的设置和大多数网关一样,可以通过Web浏览器进行配置,全中文的配置界面简单易懂。首先将计算机连接到HiPER的局域网端口,接下来设置计算机的IP地址。HiPER 3300VF出厂时默认的IP地址是192.168.16.1,所以要设置计算机的IP地址为192.168.16.2-192.168.16.254中的任意一个地址,子网掩码255.255.255.0,网关为192.168.16.1。然后打开浏览器,在浏览器的地址栏里输入HiPER的IP地址:http://192.168.16.1,在弹出的登录界面输入系统管理员的用户名和密码(用户名的出厂设置为“Default”,密码的出厂设置为空),以管理员身份进入主设置界面。
值得一提的是,HiPER 3300VF VPN安全网关在网络控制、管理方面比较出色,其突出的功能特点如下:
1.HiPER 3300VF VPN安全网关可以随意添加Web界面管理员。还能对不同管理员划分不同使用权限,包括“浏览权限”、“执行权限”及“系统管理权限”三种级别的权限。如果你还想使用远程管理,那么就必须把“允许telnet远程管理”这一选项选中,但是只有系统管理权限的用户才能设置是否允许Telnet远程管理,有Telnet权限的用户最多只能建三个;而且一次只能由一个管理员通过Web管理界面管理HiPER。
2.基于CBQ的IP QoS,提供带宽业务管理功能。可以根据用户数据传输的IP地址提供不同的带宽分配与管理,能限制每台电脑带宽不能超过512K。根据用户传输流的协议提供不同的带宽分配与管理,根据用户传输流的应用类型提供不同的带宽分配与管理。还可以将 ISP 分配的带宽二次分配给各工作组。针对各工作组不同的上网要求,分配不同大小的带宽并设定不同的优先级。这样,上网要求高的工作组不仅可以获得较高的带宽,还可以获得较大的优先级,从而保证其用户在网络繁忙时可以优先上网,避免因为带宽不足影响应用(比如视频会议等)的有效运行。同时,还可以通过“平均分配本类带宽给组内用户”,避免组内某用户占用过多带宽,导致影响组内其他用户正常上网。HiPER还支持不同工作组之间带宽共享,避免空闲带宽浪费。通过“允许借用其他组空闲带宽”,实现本组业务繁忙带宽不足时可以借用其他组空闲带宽;通过“允许本组带宽空闲时外借”,实现其他组业务繁忙时可以借用本组空闲带宽。这个功能非常适合企业各部门间的相互协调,使带宽得以合理利用。
小提示:当物理接口带宽或ISP分配带宽发生变化时,原有的带宽分配策略全部失效,这时候需要重新配置带宽分配策略;各组分配带宽之和不能超过ISP分配带宽;系统会自动生成一个带宽策略,将没有分配的剩余带宽分配给没有配置带宽策略的其他用户;目前带宽业务管理功能在NAT环境下只能实现对下行(下载)带宽的管理。
3.VPN功能。支持L2TP/PPTP两种协议,能满足128个分支机构的VPN互连的需求,让公司内部,无论地理位置相隔都远,能够做实时的沟通。
4.组管理功能。在HiPER引入了工作组这个概念,可以将具有共同性质(如业务要求相同)的用户划分在同一个工作组中,并给他们分配连续的IP地址。这样就可在Web管理界面→高级配置→业务管理中为工作组的用户定义上网权限和时间,在Web管理界面→带宽业务中定义上网下行带宽。路由器支持内建多个工作组,其中IPSSG为系统默认工作组,系统默认组用户起止IP地址不能修改,包括局域网中除去已配置业务策略工作组之外的所有用户,该工作组不能编辑和删除;还值得注意的是工作组之间的IP地址不能重复设置。
5.IP地址和MAC地址绑定。IP地址和MAC地址绑定可以保护HiPER和网络不受IP地址欺骗的攻击。IP地址欺骗攻击是一台主机企图使用另一台受信任的主机的IP地址连接到HiPER或者通过HiPER。HiPER 3300VF可以在添加“用户绑定选项”中输入可信的计算机的静态IP地址和对应的MAC地址,IP地址和MAC地址绑定可以应用于来自于局域网内部,连接到HiPER的数据包或者经过HiPER上网的数据包。用户管理功能只能影响用户访问HiPER或通过HiPER访问其他网络(如Internet),但不能影响局域网内部通信(或不经过该HiPER的通信)。
6.线路组合功能。HiPER 3300VF中,有线路备份和负载均衡这两种线路组合方式。线路备份:实现线路备份后,HiPER 3300VF将监控主线路的状态。当WAN口线路为ADSL接入时,HiPER 3300VF将监控PPPoE的线路状态,当主线路断开时,则自动切换到WAN2口线路上。当WAN口线路为固定IP地址接入时,HiPER 3300VF将每隔1秒钟向主线路网关发送一个ICMP包,当连续3个ICMP包没有回应之后将会认为此线路失效,自动切换到WAN2口线路上。当WAN口线路恢复时,HiPER 3300VF将自动切换到主线路上。负载均衡能使带宽分配更合理。
注意:负载均衡时,HiPER 3300VF的路由表里面会有两条缺省路由,实际使用时,系统默认IP地址为偶数的用户(例如192.168.16.2)将会从第一条缺省路由实现上网,IP地址为奇数的用户(例如192.168.16.3)将会从第二条缺省路由实现上网;在配置WAN2线路之前,必须保证WAN口线路已经配置完成。WAN口线路是PPPoE拨号接入时,WAN2口线路必须也是PPPoE接入;WAN口线路是固定IP接入时,WAN2口线路可以是PPPoE接入或者固定IP接入;固定IP接入时,当该线路网关不接受ICMP包(禁ping)时,可能会导致HiPER错误认为线路失效,关闭该线路的ICMP链路检测(将生命周期设置为0);当某条线路中断进行线路切换时,某些用户应用(比如部分网络游戏)可能会意外中断,这是由于TCP会话的属性决定的。
7.SNMP管理功能。启用了SNMP功能,就可以在远程使用SNMP软件管理和监视HiPER。首先要配置SNMP社区名(必须和SNMP网络管理软件配置相匹配),然后选中“只允许以下主机管理”后,可以设置1~3台主机,只有这三台主机可以通过SNMP管理HiPER,填写管理HiPER的主机的IP地址就可以实现该功能。
8.时时监控功能。该功能可以查询局域网内任何IP地址用户当前的上网行为,也可以查询局域网内目前所有访问某一指定网站的用户,更可以细致到可以查询局域网内目前使用MSN的用户,还可以查询到局域网内目前使用WAN口上网的用户信息。主要是根据内网地址、外网地址/域名、外网端口、NAT地址/域名以及全部记录等条件查询内网用户上网情况。此时查询的是局域网用户当前使用NAT的信息,并不是NAT统计信息。当内网中有主机向外发出连接请求时,将会在NAT表中为该请求建立一条NAT Session(NAT 会话)的记录,从而将该主机内部的IP地址转化为合法的IP地址进行通信。
9.安全功能。能及时发现“冲击波”、“震荡波”病毒。感染了“冲击波”、“震荡波”病毒的个人电脑会随机向外发送大量的ICMP包以及向目的端口为135/137/139/445的端口发送大量的广播包,造成HiPER端口拥塞,直至整个内部网络、外部网络的瘫痪。在WEB管理界面→上网监控中,“选择查看条件”为“全部记录”,查看“查询结果列表”,如果在全部“协议类型”一列中,发现很多类型为ICMP的条目;在“外网端口”一列中,发现很多端口为135/137/139/445的条目,这些条目占用了大量的NAT Seesion条目,则很可能有主机感染了“冲击波”、“震荡波”病毒。还能及时发现ARP FLOOD类型的网络攻击。在WEB管理界面→系统状态→用户统计中,查看“用户统计信息列表”,查询是否有“发送广播包”数量很大,大于其“发送数据包”数量的10%的用户。如果某用户“发送广播包”数量与“发送数据包”数量的百分比大于10%,则该用户很可能正在进行ARP FLOOD型攻击。在WEB管理界面→系统状态→系统信息→系统历史记录中,查看系统历史记录,如果发现某IP地址的MAC地址经常变化(例如显示出信息“MAC CHGED 192.168.16.221”、“MAC OLD 00:22:AA:00:22:AA”以及“MAC NEW 00:22:AA:00:22:BB”),则该用户很可能正在进行ARP FLOOD型攻击。
在正常情况下,可以在WEB管理界面→系统管理→配置管理→恢复出厂配置中,选择“恢复设备出厂配置”选项来恢复出厂值。但是当无法登录进网关时该怎么办呢?还可以通过“超级终端”来恢复设备的出厂配置(为了安全起见,并没有设置Reset按钮),步骤如下:首先,将随机附带的配置线一端(RJ45接头)接入HiPER的TERMINAL接口,另一端(DB9接头)接入计算机的串口。单击“开始”à“程序”à“附件”à“通讯”à“超级终端”(如果没有安装这个工具,请选择“我的电脑”à“控制面板”à“添加/删除程序”à“添加/删除Windows组件”à“通讯”,然后安装这个程序)。在“名称”中填入“HiPER1”,单击“确定”按钮。
在“选择连接时使用”中选择COM X(根据实际情况选择配置线实际连接的计算机的串口),单击“确定”按钮。
选择“每秒位数”:9600;“数据位”:8;“奇偶校验”:无;“终止位”:1;“数据流控制”:无,单击“确定”按钮,然后敲回车键
输入用户名Default,输入密码为空,紧接着输入nvramc回车,此时HiPER已经成功恢复出厂值,重启HiPER,然后可以通过局域网端口登WEB管理界面(默认IP地址:192.168.16.1;用户名Default;密码为空)。
附HiPER 3300VF VPN安全网关产品资料(表)
支持网络协议 TCP/IP,PPPOE,HTTP,DHCP,L2TP,PPTP,IPSec
固定的广域网接口 1个10/100M自适应WAN口,1个10/100M自适应DMZ/WAN2口
固定的局域网接口 4个10/10Mb快速以太网交换端口
管理方式 中文Web界面
市场参考价 8000元
咨询电话 021—58352901 (上海艾泰科技有限公司)
缺点:暂无
上海艾泰科技有限公司的HiPER 3300VF 是一款将虚拟专用网、防火墙和流量控制等功能集中于一体的VPN安全网关。
HiPER 3300VF VPN安全网关体积为356mm×240mm×43mm,重量3KG ,机身采用风格凝重的纯黑色硬铁板外壳,机身两侧均匀的分布着很多散热孔,这样的设计有利于长时间连续工作时内部元件产生热量的散发。 HiPER 3300VF具有1个电源接口,1个10/100Mbps WAN口,比较特别的是还拥有一个DMZ/WAN2端口,该端口特点是既能支持独立的DMZ主机,又能和WAN口配合使用,支持双WAN口流量负载均衡以及线路冗余备份。除此以外3300VF还具备了4个10/100Mbps交换式LAN口,相当于四台交换机,用于连接局域网内的计算机成HuB级联,对中小型企业特别实用。3300VF支持FTTX+LAN、固定IP、PPPoE(ADSL拨号上网)、PPTP连接方式。
HiPER 3300VF VPN安全网关的系统指示灯位于前面板左方,在企业网络管理时可以从指示灯来识别此时的工作状况。最左边的是Power指示灯,电源工作正常时常亮;旁边是System指示灯,成功连接后以每秒2次的频率闪烁,系统负担较大时,闪烁频率降低,有故障时常亮;Traffic指示灯启动时亮,有网络流量时闪烁,无流量时灭;Fault指示灯启动时亮,然后常灭,有故障时不停闪烁,闪烁一定次数后重启。
HiPER 3300VF VPN安全网关的设置和大多数网关一样,可以通过Web浏览器进行配置,全中文的配置界面简单易懂。首先将计算机连接到HiPER的局域网端口,接下来设置计算机的IP地址。HiPER 3300VF出厂时默认的IP地址是192.168.16.1,所以要设置计算机的IP地址为192.168.16.2-192.168.16.254中的任意一个地址,子网掩码255.255.255.0,网关为192.168.16.1。然后打开浏览器,在浏览器的地址栏里输入HiPER的IP地址:http://192.168.16.1,在弹出的登录界面输入系统管理员的用户名和密码(用户名的出厂设置为“Default”,密码的出厂设置为空),以管理员身份进入主设置界面。
值得一提的是,HiPER 3300VF VPN安全网关在网络控制、管理方面比较出色,其突出的功能特点如下:
1.HiPER 3300VF VPN安全网关可以随意添加Web界面管理员。还能对不同管理员划分不同使用权限,包括“浏览权限”、“执行权限”及“系统管理权限”三种级别的权限。如果你还想使用远程管理,那么就必须把“允许telnet远程管理”这一选项选中,但是只有系统管理权限的用户才能设置是否允许Telnet远程管理,有Telnet权限的用户最多只能建三个;而且一次只能由一个管理员通过Web管理界面管理HiPER。
2.基于CBQ的IP QoS,提供带宽业务管理功能。可以根据用户数据传输的IP地址提供不同的带宽分配与管理,能限制每台电脑带宽不能超过512K。根据用户传输流的协议提供不同的带宽分配与管理,根据用户传输流的应用类型提供不同的带宽分配与管理。还可以将 ISP 分配的带宽二次分配给各工作组。针对各工作组不同的上网要求,分配不同大小的带宽并设定不同的优先级。这样,上网要求高的工作组不仅可以获得较高的带宽,还可以获得较大的优先级,从而保证其用户在网络繁忙时可以优先上网,避免因为带宽不足影响应用(比如视频会议等)的有效运行。同时,还可以通过“平均分配本类带宽给组内用户”,避免组内某用户占用过多带宽,导致影响组内其他用户正常上网。HiPER还支持不同工作组之间带宽共享,避免空闲带宽浪费。通过“允许借用其他组空闲带宽”,实现本组业务繁忙带宽不足时可以借用其他组空闲带宽;通过“允许本组带宽空闲时外借”,实现其他组业务繁忙时可以借用本组空闲带宽。这个功能非常适合企业各部门间的相互协调,使带宽得以合理利用。
小提示:当物理接口带宽或ISP分配带宽发生变化时,原有的带宽分配策略全部失效,这时候需要重新配置带宽分配策略;各组分配带宽之和不能超过ISP分配带宽;系统会自动生成一个带宽策略,将没有分配的剩余带宽分配给没有配置带宽策略的其他用户;目前带宽业务管理功能在NAT环境下只能实现对下行(下载)带宽的管理。
3.VPN功能。支持L2TP/PPTP两种协议,能满足128个分支机构的VPN互连的需求,让公司内部,无论地理位置相隔都远,能够做实时的沟通。
4.组管理功能。在HiPER引入了工作组这个概念,可以将具有共同性质(如业务要求相同)的用户划分在同一个工作组中,并给他们分配连续的IP地址。这样就可在Web管理界面→高级配置→业务管理中为工作组的用户定义上网权限和时间,在Web管理界面→带宽业务中定义上网下行带宽。路由器支持内建多个工作组,其中IPSSG为系统默认工作组,系统默认组用户起止IP地址不能修改,包括局域网中除去已配置业务策略工作组之外的所有用户,该工作组不能编辑和删除;还值得注意的是工作组之间的IP地址不能重复设置。
5.IP地址和MAC地址绑定。IP地址和MAC地址绑定可以保护HiPER和网络不受IP地址欺骗的攻击。IP地址欺骗攻击是一台主机企图使用另一台受信任的主机的IP地址连接到HiPER或者通过HiPER。HiPER 3300VF可以在添加“用户绑定选项”中输入可信的计算机的静态IP地址和对应的MAC地址,IP地址和MAC地址绑定可以应用于来自于局域网内部,连接到HiPER的数据包或者经过HiPER上网的数据包。用户管理功能只能影响用户访问HiPER或通过HiPER访问其他网络(如Internet),但不能影响局域网内部通信(或不经过该HiPER的通信)。
6.线路组合功能。HiPER 3300VF中,有线路备份和负载均衡这两种线路组合方式。线路备份:实现线路备份后,HiPER 3300VF将监控主线路的状态。当WAN口线路为ADSL接入时,HiPER 3300VF将监控PPPoE的线路状态,当主线路断开时,则自动切换到WAN2口线路上。当WAN口线路为固定IP地址接入时,HiPER 3300VF将每隔1秒钟向主线路网关发送一个ICMP包,当连续3个ICMP包没有回应之后将会认为此线路失效,自动切换到WAN2口线路上。当WAN口线路恢复时,HiPER 3300VF将自动切换到主线路上。负载均衡能使带宽分配更合理。
注意:负载均衡时,HiPER 3300VF的路由表里面会有两条缺省路由,实际使用时,系统默认IP地址为偶数的用户(例如192.168.16.2)将会从第一条缺省路由实现上网,IP地址为奇数的用户(例如192.168.16.3)将会从第二条缺省路由实现上网;在配置WAN2线路之前,必须保证WAN口线路已经配置完成。WAN口线路是PPPoE拨号接入时,WAN2口线路必须也是PPPoE接入;WAN口线路是固定IP接入时,WAN2口线路可以是PPPoE接入或者固定IP接入;固定IP接入时,当该线路网关不接受ICMP包(禁ping)时,可能会导致HiPER错误认为线路失效,关闭该线路的ICMP链路检测(将生命周期设置为0);当某条线路中断进行线路切换时,某些用户应用(比如部分网络游戏)可能会意外中断,这是由于TCP会话的属性决定的。
7.SNMP管理功能。启用了SNMP功能,就可以在远程使用SNMP软件管理和监视HiPER。首先要配置SNMP社区名(必须和SNMP网络管理软件配置相匹配),然后选中“只允许以下主机管理”后,可以设置1~3台主机,只有这三台主机可以通过SNMP管理HiPER,填写管理HiPER的主机的IP地址就可以实现该功能。
8.时时监控功能。该功能可以查询局域网内任何IP地址用户当前的上网行为,也可以查询局域网内目前所有访问某一指定网站的用户,更可以细致到可以查询局域网内目前使用MSN的用户,还可以查询到局域网内目前使用WAN口上网的用户信息。主要是根据内网地址、外网地址/域名、外网端口、NAT地址/域名以及全部记录等条件查询内网用户上网情况。此时查询的是局域网用户当前使用NAT的信息,并不是NAT统计信息。当内网中有主机向外发出连接请求时,将会在NAT表中为该请求建立一条NAT Session(NAT 会话)的记录,从而将该主机内部的IP地址转化为合法的IP地址进行通信。
9.安全功能。能及时发现“冲击波”、“震荡波”病毒。感染了“冲击波”、“震荡波”病毒的个人电脑会随机向外发送大量的ICMP包以及向目的端口为135/137/139/445的端口发送大量的广播包,造成HiPER端口拥塞,直至整个内部网络、外部网络的瘫痪。在WEB管理界面→上网监控中,“选择查看条件”为“全部记录”,查看“查询结果列表”,如果在全部“协议类型”一列中,发现很多类型为ICMP的条目;在“外网端口”一列中,发现很多端口为135/137/139/445的条目,这些条目占用了大量的NAT Seesion条目,则很可能有主机感染了“冲击波”、“震荡波”病毒。还能及时发现ARP FLOOD类型的网络攻击。在WEB管理界面→系统状态→用户统计中,查看“用户统计信息列表”,查询是否有“发送广播包”数量很大,大于其“发送数据包”数量的10%的用户。如果某用户“发送广播包”数量与“发送数据包”数量的百分比大于10%,则该用户很可能正在进行ARP FLOOD型攻击。在WEB管理界面→系统状态→系统信息→系统历史记录中,查看系统历史记录,如果发现某IP地址的MAC地址经常变化(例如显示出信息“MAC CHGED 192.168.16.221”、“MAC OLD 00:22:AA:00:22:AA”以及“MAC NEW 00:22:AA:00:22:BB”),则该用户很可能正在进行ARP FLOOD型攻击。
在正常情况下,可以在WEB管理界面→系统管理→配置管理→恢复出厂配置中,选择“恢复设备出厂配置”选项来恢复出厂值。但是当无法登录进网关时该怎么办呢?还可以通过“超级终端”来恢复设备的出厂配置(为了安全起见,并没有设置Reset按钮),步骤如下:首先,将随机附带的配置线一端(RJ45接头)接入HiPER的TERMINAL接口,另一端(DB9接头)接入计算机的串口。单击“开始”à“程序”à“附件”à“通讯”à“超级终端”(如果没有安装这个工具,请选择“我的电脑”à“控制面板”à“添加/删除程序”à“添加/删除Windows组件”à“通讯”,然后安装这个程序)。在“名称”中填入“HiPER1”,单击“确定”按钮。
在“选择连接时使用”中选择COM X(根据实际情况选择配置线实际连接的计算机的串口),单击“确定”按钮。
选择“每秒位数”:9600;“数据位”:8;“奇偶校验”:无;“终止位”:1;“数据流控制”:无,单击“确定”按钮,然后敲回车键
输入用户名Default,输入密码为空,紧接着输入nvramc回车,此时HiPER已经成功恢复出厂值,重启HiPER,然后可以通过局域网端口登WEB管理界面(默认IP地址:192.168.16.1;用户名Default;密码为空)。
附HiPER 3300VF VPN安全网关产品资料(表)
支持网络协议 TCP/IP,PPPOE,HTTP,DHCP,L2TP,PPTP,IPSec
固定的广域网接口 1个10/100M自适应WAN口,1个10/100M自适应DMZ/WAN2口
固定的局域网接口 4个10/10Mb快速以太网交换端口
管理方式 中文Web界面
市场参考价 8000元
咨询电话 021—58352901 (上海艾泰科技有限公司)
2025 ©上海艾泰科技有限公司 版权所有 沪ICP备05037453号-1
沪公网安备 31011702003579号