NETGEAR FVS318.doc

评测工程师点评：FVS318是美国网件（Netgear）公司推出的ProSafe产品家族中的一员，是一款定位低端市场的宽带接入设备，采用WEB图型管理界面，设置操作得到最大程度简化，安全方面提供了灵活的防火墙策略设置功能，FVS318同时还是一款成本低廉的VPN接入设备。优点：FVS318端口搭配合理，具有8个10/100Mbps LAN端口，1个10/100Mbps WAN端口，适合小型网络环境，支持多种宽带接入方式，支持实现灵活的防火墙规则，用户可定制日志记录内容，并支持邮件通知功能，使用FVS318用户可实现低成本的VPN接入，为分支办公室和移动办公人员提供远程接入服务。不足：没有QoS，VLAN等内网管理功能，操作界面为全英文，这会给使用者带来一些不便，三层吞吐量只有10Mbps左右，这点让小编非常费解，虽然FVS318定位是款低端产品。NETGEAR FVS318 图库评测论坛报价测试环境： 硬件平台CPUIntel T2390主板Intel GM965内存DDR2 2G网络100M以太网卡软件平台系统软件Windows XP SP3 EN测试软件Ixia - IxChariot, Version 5.4 (011) Netgear ProSafe FVS318 VPN 防火墙为中小企业提供了低成本高可靠的网络接入方案，支持多种接入方式，具有灵活的防火墙策略设置功能；日志记录功能，内置完全状态包检测（SPI）防火墙，拒绝服务（DoS）攻击保护，具有关键字过滤功能，可过滤网址亦可进行内容可滤。从设备名称可以看出，FVS318也是一款VPN接入设备，最多支持8路并发的VPN隧道，可为分支办公室和移动办公职员提供远程接入服务。NETGEAR FVS318 图库评测论坛报价简化网管 实测网件千元宽带接入路由出处：pconline 2009年01月12日 作者：Contemporary Jazz 责任编辑：gaohongjunNETGEAR FVS318 图库评测论坛报价FVS318的前面板设计非常简洁，指示灯从左至右依次排列为PWR，TEST，INTERNET，LOCAL，在这里只说一下TEST指示灯，查阅安装手册，发现此指示灯的作用是显示设备的工作状态，FVS318从开机到就绪状态整个过程大约需要17秒左右，在此期间，TEST灯处于长明状态，当设备处于就绪状态后，TEST灯熄灭，如果开机2分钟后TEST灯依然处于长明状态，则说明FVS318发生了故障。当链路工作在100Mbps模式时上面一排的指示灯才会亮起FVS318的背面，最左侧是用来连接地线的，因为FVS318使用的是外部“电源适配器”供电，无法为设备提供地线接入，用户如果有需要，可以自行连接地线。Factory Defaults 按扭，用于手动将设置恢复到默认状态，FVS318上的这个按扭设计得有点不够隐避，用户不需借助任何工具也可以将其按下，这种设计可能会有些问题，尤其在移动设备时，可能会发生误按的情况，而且Factory Defaults 按扭也没有设计延时机制按下即生效，这也算是FVS318的一点不足。其它部分依次为8个10/100Mbps局域网接口，1个10/100Mbps WAN（INTERNET）接口，12VDC（直流）1.2A电源适配器插口，以及供电开关。FVS318的侧面，两侧采用栅栏设计，保障了良好的散热，在上图中的右上角，我们可以看到一个“锁”标志，没错，我们可以使用笔记本锁将FVS318锁住。由于FVS318的体积很小，只有3.5 x 25.3 x 18.1CM，这样的小个头，很多用户可能会将其固定在墙上在这里小编再多说一说FVS318的做工，用料很足！铁皮很厚！周身为全金属外壳，没有任何塑料部件，异常坚固，适用于“各种”用途FVS318标配的12V直流电源适配器，各位同学注意看它的插头，呈“八”字状，这样插在插座上时会是个什么效果？“独占效果”。这样设计有它的好处，插接在如下图中的“线板”上时虽然牺牲掉了一个孔位，但很稳固，而在某些场合可能也会因此带来一些麻烦。FVS318的二层和三层交换芯片均采用REALTEK的产品，二层交换芯片型号是RTL8309SB，三层交换芯片型号是RTL8650B，内存容量16M，ISSI颗粒，型号是IS42S16800A，闪存容量2M，Macronix颗粒，型号是29LV160CBTC-70G。Basic SettingsFVS318的“首页”，左侧是功能树状图，中间是每项功能展开后的具体设置页面，右边是帮助文档，与其它网件产品一样，全英文操作界面。在Basic Settings页面中，我们可以看到FVS318支持多种宽带接入方式，包括小区宽带接入（以太网方式），ADSL接入（PPPOE方式），支持修改WAN端口的MAC地址，在某些网络中，ISP会将分配给用户的IP地址与特定设备的MAC地址进行绑定，限制用户随意更换宽带接入设备，FVS318提供了修改WAN端口MAC地址功能，可以轻易突破这一限制。SecurityFVS318支持自定义日志项目，用户可以有选择的记录系统事件，具体包括：已知DOS攻击和端口扫描；访问被禁止的网址；路由器管理条目（开机，系统时间同步，登录等）；网站及新闻组访问记录；本地PC对路由器的访问；入站及出站流量记录。FVS318提供了丰富的日志记录功能，但在产品手册中同时也建议用户有选择的记录实际需要的系统事件，不然日志的体积会过于宠大。如果用户使用Syslog Server采集系统事件，也可以在此处配置。FVS318提供了基于关键字的内容过滤功能，用户可以借助此功能屏蔽特定的网址，小编填入了一个简单的关键字，打开两个网址，这两个网址中均含有“PC”这个键字，果然是杀无赦，看来为了避免“滥杀无辜”，还是应当把关键字尽量设置得具体一些。被阻拦网址的LOG记录，此时的网页无法打开，在IE窗口中提示Blocked by NETGEAR。在某些情况下，用户可能需要过滤掉网页中的部分内容，而非整个网页，这样做的好处有很多，例如可以很大程度上保护网络的安全，阻断恶意程序在我们上网时被下载到本地，小编将“JPG”作为过滤关键字，在上图中的日志中可以看到，这部分内容被过滤掉了，但网页还是可以被打开的。相同的方法，用户可以将EXE、BAT、COM、SCR、DLL等设置为关键字，这样用户在上网时会变得安全很多。简化网管 实测网件千元宽带接入路由出处：pconline 2009年01月12日 作者：Contemporary Jazz 责任编辑：gaohongjunFVS318提供了出站及入站访问控制功能FVS318的出站服务默认规则是允许所有出站请求，用户可以根据具体需求制定服务，并应用规则，例如小编设定了两条名称为QQ的规则，通过限制端口的策略，阻制QQ出站请求。在灵活性上，用户可以选择规则持续性有效或时段性有效。接下来同学们请看出站服务的第三条规则，这条规则的意思是持续性的禁止用户对IP 98的HTTP访问，当然用户也可以设置该策略时段性有效。下图是针对第三条规则的LOG记录：由于FVS318的访问策略是基于端口（port）的，通过这种方式，管理者可以设置这样的规则，开放用户访问服务器A上的WEB服务，但禁止访问服务器A上的FTP服务。FVS318的入站服务默认规则是禁止所有入站请求，但在一些网络环境中，内网可能运行着例如WEB、FTP等服务器，管理者可以设置入站服务规则，开放指定端口，如第一条入站规则，来自INTERNET的HTTP请求，将通过开放的端口，直接被发送至内网WEB服务器 10。在灵活性上，用户可以选择规则持续性有效或时段性有效，也可以通过限制WAN IP，过滤外网用户。在网络资源管理上，用户往往会提出这样的需求：默认禁止所有用户访问INTERNET，上网权限只对特定用户开放，在这种情况下就需要对策略进行排序，如上图中的出站策略，因为默认情况下，FVS318允许所有出站请求，如果想改变这一默认规则，就需要建立一条禁止所有出站请求的规则，在这里小编建立了一条名称为ALL的服务，包含所有端口号（1-65535），然后对该服务设置规则规则2，接下来小编又建立了规则1，在进行了这样的排序后，便可以实现限制所有用户，开放特定用户的目的。设置DMZ服务器及是否响应来自INTERNET的PING请求功能也在此页面中。所谓Services关注的是端口设置，在设置完不同的条目后，配合之前介绍的Rules规则，可以实现对网络资源的灵活管理。在这里小编要说一下FVS318的不足，如果一条SERVICE记录被定义了Rules，就是说该SERVICE被引用了，那么管理者便无法对此SERVICE进行修改，即使暂停相关Rules生效也无法修改SERVICE内容，必须删掉相关Rules后才能进行修改，然后再重新建立Rules，这多少会给策略设置带来一定不便。规则（Rules）生效时间设置，时区及网络时间服务器（NTP Server）设置。FVS318的事件邮件提醒功能MaintenanceFVS318运行状态Attached Devices页面显示的是内网客户机状况Diagnostics页面提供了简单的网络诊断功能，包括Ping , Trace an IP address，这两个命令效果等同于WINDOWS下的 Ping 和 Tracert。FVS318还提供了一个比较有趣的功能查找INTERNET域名的IP地址。在这个页面中用户可以手动重起FVS318，也可以设定时间，每天某一时刻自动重起FVS318。AdvancedFVS318内网参数设置页面FVS318远程管理设置页面。远程连接到FVS318时，使用的连接类型是https，而非http。性能测试，小编使用的是IxChariot，首先采用单pair测试，测试脚本选用High Performance Throughput.scr 。测试结果让小编感到诧异，只有10.465Mbps，难道是哪里出了问题？小编又试着建立了一个IIS服务器，看看实际应用如何在客户端下载大体积文件，速度果然是1MB左右。在向网件公司的技术人员确认后得知，FVS318的三层吞吐量确实是11.2Mbps，与小编的测试结果非常接近。在测试完大包的吞吐量后，小编测试的是小包吞吐量，因为在应际应用环境中，小包所占的比例是相当大的，依然使用IxChariot，小编建立了一个31 pairs的脚本集，修改每个pair产生不同体积的小包，pairs组成比例参照的是在我们公司一台交换机上所取得的数据，该设备是公司网络中的一台接入交换机。这样做的目的是为了用尽量直实的流量组成来测试设备的吞吐量。FVS318在组合数据包试测中吞吐量是6.006Mbps总结：FVS318的设计亮点主要表现在其防火墙策略设置方面，用户可以灵活的设置服务规则（Rules），实现对入站及出站流量的有效管理，基于关键字的