• Thứ Tư, 22/12/2004 15:54 (GMT+7)

    Router băng rộng - Bảo vệ kết nối băng rộng, thiết lập VPN

    Ngày càng có thêm nhiều công ty, văn phòng nhỏ đăng ký dịch vụ kết nối băng rộng ADSL bởi tốc độ cao mà chi phí lại hợp lý, nhất là ngày càng có thêm nhiều nhà cung cấp cạnh tranh bằng nhiều gói dịch vụ hấp dẫn người dùng gia đình. Thế nhưng, rất ít người dùng biết đến những rủi ro khi sử dụng ADSL vì chưa quan tâm đầy đủ đến bảo mật. Mặt khác, dù có quan tâm thì hầu hết lại chưa "đủ sức" để mua thiết bị tường lửa hay thuê riêng chuyên viên để bảo vệ mạng công ty, văn phòng hay mạng gia đình. Với giá thành chấp nhận được, 2 router băng rộng Vigor2900 của Draytek và VRT-311 của Planet đáp ứng được yêu cầu chia sẻ một kết nối băng rộng cho nhiều người dùng, bảo vệ mạng nội bộ và cho phép tạo mạng riêng ảo VPN dễ dàng.

    Xem bảng, bạn sẽ thấy cả hai có nhiều chức năng giống nhau, nhưng cũng không thiếu những đặc điểm nổi trội (xem nhận xét riêng cho từng loại phía dưới). Cả hai đều hỗ trợ kết nối VPN loại LAN-LAN và Client-LAN, tuy số lượng kênh VPN đồng thời có khác nhau, và đều hỗ trợ chuẩn IPSec và chuẩn của Microsoft, nghĩa là các máy chạy hệ điều hành Microsoft Windows 9x/2000/XP không cần phải cài thêm phần mềm riêng để kết nối, thuận tiện và dễ dàng hơn trong việc triển khai. Cả hai đều có trình cài đặt nhanh từng bước rất dễ dùng, có khả năng gửi cảnh báo qua e-mail khi bị tấn công.

    Draytek Vigor2900

                 Draytek Vigor2900

     

    Bốn cổng LAN của Vigor2900 có thể được chia thành 4 VLAN tách biệt nhau và bạn có thể giới hạn băng thông tối đa cho từng cổng (theo bội số của 32Kbps), mức độ ưu tiên cho các ứng dụng. Đây là tính năng hấp dẫn và rất cần cho nhiều công ty, nhưng ít có loại router băng rộng có được. Đặc điểm nổi bật nhất là tường lửa tích hợp trong Vigor2900 được ICSA cấp chứng nhận là tường lửa dành cho doanh nghiệp vừa và nhỏ theo tiêu chuẩn 4.0. Trong rất nhiều router băng rộng mà Testlab đã giới thiệu thì họ Vigor2900 là router đầu tiên có được chứng nhận này. Vigor không chỉ lọc nội dung theo địa chỉ web mà cấm sử dụng trực tiếp địa chỉ IP, ngăn cấm các applet Java, ActiveX, cookies, ngăn cấm tải các tập tin thực thi, nén và đa phương tiện. Ngoài ra, Vigor2900 còn làm chức năng của một máy chủ in ấn (máy in loại giao tiếp USB), tương thích các hệ điều hành Windows 9x/2000/XP, MacOS 9/X.

    Planet VRT-311

     

                      Planet VRT-311

    VRT-311 có riêng hẳn một cổng DMZ dành cho nhánh các máy chủ cung cấp dịch vụ cho cả người dùng mạng nội bộ lẫn Internet mà vẫn đảm bảo an toàn cho mạng. Ngoài ra, nó còn cho phép khai báo thêm 7 DMZ trong mạng cục bộ (dĩ nhiên bạn cần có 7 địa chỉ IP thật nếu muốn cung cấp các dịch vụ Internet trên các DMZ này). Điểm mạnh khác của router này là nó hỗ trợ đồng thời đến 100 kênh kết nối VPN, tính cả kết nối LAN-LAN và Client-LAN. VRT-311 cũng được tích hợp tường lửa phòng chống tấn công DoS, nhưng không có được chứng nhận của ICSA.

    Lắp đặt router băng rộng

    Mô hình mạng chia sẻ kết nối ADSL phổ biến hiện nay như sau: Router ADSL được thiết lập hoạt động như một router và lắp thẳng vào switch/hub của mạng nội bộ để chia sẻ kết nối cho nhiều máy. Mạng nội bộ chỉ được bảo vệ bằng khả năng NAT của router ADSL và hầu hết các router ADSL không tích hợp tính năng tường lửa, lọc web...

    Khi mua thêm router băng rộng, chẳng hạn như 2 loại trên, bạn nối cổng WAN ở router ADSL vào cổng WAN ở router băng rộng, rồi nối cổng LAN ở router băng rộng vào hub/switch mạng nội bộ để chia sẻ kết nối Internet cho nhiều máy. Tuy nhiên, với cách này, nếu không hiểu rõ cơ chế hoạt động của NAT bạn sẽ gặp rất nhiều khó khăn nếu muốn thiết lập VPN và các máy chủ ảo trong mạng nội bộ. Nếu bạn đang sử dụng ADSL Brigde Modem (như Zoom 5515, TGVT A 09/2004, trang 118) chạy kết hợp với các router băng rộng thì bạn không gặp khó khăn này vì ADSL Brigde Modem không thực hiện chức năng NAT và hoàn toàn "trong suốt" với router băng rộng nằm ở phía sau nó. Điều này không có nghĩa là bạn phải mua thêm ADSL Bridge Modem. Một giải pháp rất đơn giản là: thiết lập lại cho router ADSL hoạt động ở chế độ "Brigde", loại bỏ tính năng NAT, thông số VPI/VCI trên router ADSL vẫn không đổi, không phải nhập tên tài khoản và mật khẩu. Thế là xem như bạn đã có một ADSL Brigde Modem. Lúc này, ở router băng rộng, bạn chạy trình cài đặt từng bước (nếu có), chọn kiểu kết nối PPPoE, nhập tên tài khoản và mật khẩu do nhà cung cấp dịch vụ cung cấp.

    Cách này cũng áp dụng được khi bạn cài đặt tường lửa dành cho doanh nghiệp (phần cứng/phần mềm) nằm phía sau router ADSL.

    Thông tin liên quan tới bài
              - Bảng : Bảng so sánh tính năng Broadband Security VPN Router


    Quốc Tuyên
     

     

    Liên hệ

     

     

    Draytek: Danh Thế, Thuận Quốc
    Planet: Netcom.

     

    ID: A0412_68