D-Link DFL-210:分支机构的高级安全系统

的最小单位友讯科技NetDefend family, DFL-210是一个深灰色的金属盒，约6x8英寸，在测试组中是第二大的，但仍然相对较小。所有的连接都在后面，电源和状态指示灯、以太网、广域网和DMZ端口在前面。在两端和顶部的通风口意味着你需要把设备放在开放的空气流动。

超大你湾

包括两个以太网补丁电缆，电源和一个文档CD。不幸的是，快速安装指南只在CD上，没有纸质版。更糟糕的是，指南有错误。还包括一个防火墙注册手册(在纸面上)和一个命令行接口的串行控制台电缆。

最后两项说明了DFL-210的强大之处——它是一个支持双wan连接的复杂防火墙，而不是一个带有防火墙的小型商业路由器。D-Link的营销称，这是一款小型办公室/家庭办公室(SOHO)产品，但事实远非如此。在所有经过测试的安装和配置最困难的单元中，这个单元将使大多数试图自行安装它的小型企业受挫。也就是说，一旦启动并运行，该单元就会变得坚如磐石，并且在双广域网连接方面比其他单元的速度稍好一些。

特性

DFL-210有四个快速以太网(100Mbps)网络连接，一个专用的广域网端口和一个作为第二个广域网端口的DMZ端口。防火墙的最大吞吐量是80Mbps，这比大多数其他单元都要好。VPN吞吐量最高可达25Mbps，分布在最多100个隧道中。高度可配置的防火墙引导安全包，包括入侵检测和入侵预防。包括流量管理和QoS工具以及SNMP支持。

通过RADIUS和LDAP的用户身份验证可以帮助DFL-210集成到一个大型网络中，这表明它并不是一个真正的SOHO设备，但是可以在分支机构环境中很好地工作。远程管理控制由一些防火墙策略设置，包括NAT、端口地址转换(PAT)和静态地址转换(SAT)。

在开始安装DFL-210之前，带上你的幸运符，抚摸你的兔脚，祝你好运。在你安装电脑的时候，关掉浏览器里的弹出窗口拦截器。为什么?安装屏幕只出现一次，作为一个弹出窗口，如果你没有抓住它，你必须使用不同的计算机或重置单位到工厂设置，然后再试一次。设置屏幕应该是可见的主要状态行管理软件,但它只出现一次在每台计算机用于运行管理,再也没有出现在状态栏或其他任何地方,除非单位重置为工厂设置和流程从头开始。

由于DHCP被禁用(唯一经过测试的配置单元)，您必须在192.168.1中准备一台PC。启动安装过程的x地址范围。第一个屏幕要求您更改管理员用户的密码，但不强制甚至不建议创建一个强密码。接下来是时间和时区设置，但是添加外部timeservers的选项直到稍后才出现。

接下来，为WAN接口选择宽带连接。与所有其他单元一样，静态、DHCP、PPPoE和PPTP的标准选项也是如此。作为对D-Link国际销售的肯定，Big Pond的一个选择排在了名单的最后。

最后，您有机会打开DHCP服务器来分配客户端地址，并为客户端设置您的地址范围。接下来，您必须添加默认网关(在其他单元中不必要)并键入您的DNS服务器IP地址。

DFL-210不包括DNS服务器。如果您将相同的IP地址作为默认网关放在DNS字段中，就像这里测试的所有其他单元一样，您的网络客户端将无法解析url，因为它们将无法链接到真正的DNS服务器。在我们的测试中，我们使用了谷歌的免费公共DNS地址8.8.8.8和8.8.4.4，这两个地址都是按要求传递给客户机的。

接下来是“助手”服务器，包括最多两个syslog服务器和另外两个外部时间服务器的地址。这样就结束了设置过程，当您单击Activate按钮时，所有的细节都将保存到DFL-210中。

这实际上是一个很好的触摸。通过浏览器使用管理实用程序，Configuration下拉菜单有三个选项:保存和激活(就像刚刚完成的那样)、放弃更改和查看更改。当我们通过更复杂的配置来使单位可用时，就像我们不得不做几次的那样，一个计划的变更列表准备好了，在点击保存和激活之前给了我们一个机会去复查。

操作

一旦重新启动，网络客户端将可以通过DFL-210的防火墙和安全策略通过WAN端口访问Internet。将DMZ端口转换为第二个WAN端口需要一些工作，手册中没有详细介绍这些工作。幸运的是，我们使用的技术支持人员非常了解他的产品，沟通也更加清晰。

所有规则和策略都引用命名对象，如lan_ip和wan_dns2，而不是实际地址。匹配名称到地址的表是地址簿，我们在其中更改了DMZ端口地址以匹配第二个宽带IP地址，然后创建了一个组，将LAN流量连接到WAN和DMZ(现在是WAN2)端口。

WAN负载平衡有三种选择:循环、目标和溢出。轮询通过可选的广域网端口发送可选的包，结果比我们测试的任何其他路由器都有更好的带宽使用。但是，如果外部客户端出于任何原因通过secur - http进行连接，轮询替代源会使客户端感到困惑，因此在这种情况下，目的地是最佳选择。

反馈几乎是不存在的。要跟踪有多少包进出，您必须在状态行上选择Status，然后选择Interface。将出现一个名为Interface Status的屏幕，每次显示单个接口的详细信息。唯一的性能反馈是该接口的数据包和字节的输入输出的文本列表，以及错误和丢失数据包的数量。

尽管改变了默认的192.168.1的局域网IP地址。x到我们测试实验室的10.0.1.1在技术上只是改变了lan_ip、lannet和lan_dhcpserver_range并激活了这些改变，我们错过了使用从我们的管理计算机中改变的LAN地址进行连接的时间窗口。在此之后，我们将永远无法连接到该单元，直到我们将其重置为工厂默认设置并重新开始安装。然后，我们将DHCP地址保留为默认值，因为不值得再尝试一次。

D-Link喜欢宣传它的小型企业产品具有“企业特性”，而DFL-210肯定具有这些特性。但是，它在设置和配置方面也具有企业复杂性。然而，在我们的测试过程中，DFL-210提供了最快的平均吞吐率。