Vigor 2950 high performance dual WAN security firewall serie
 |
|
De DrayTek Vigor 2950 is een krachtige firewall die uitermate geschikt is voor zakelijke toepassingen. Functionaliteiten zoals VPN, object oriented firewall en gigabit LAN zorgen voor een optimale integratie en beveiliging van uw netwerk. De dual WAN optie met load balancing en fail over zorgt voor een hogere betrouwbaarheid van de internetverbinding. Dit product wordt geleverd in een metalen behuizing en kan eenvoudig in een 19" patchkast worden gemonteerd.
| Beschikbare modellen: |
|
| Hardware Interface | LAN | 5-port 10/100/1000 base-TX switch | |||
| WAN | 2-port 10/100 base-TX Ethernet | ||||
| WLAN | IEEE802.11b/g compliant, Super G™ 108Mbps (n-modellen) | ||||
| WAN Protocol | Ethernet | PPPoE, PPTP, DHCP client, static IP, L2TP, BPA | |||
| Dual WAN | Outbound Policy Based Load Balance |
|
|||
| Bandwidth on Demand | service/IP based preference rules or auto-weight | ||||
| VPN | Protocols | PPTP, IPSec, L2TP, L2TP over IPSec | |||
| Up to 200 sessions simultaneously | LAN to LAN, remote access (teleworker-to-LAN), dial-in or dial-out | ||||
| VPN Trunking | VPN load-balancing and VPN backup | ||||
| SSL VPN | Allow users to use a web browser for secure remote user login tunnel mode, application mode, proxy mode | ||||
| LDAP | Lightweight directory access protocol. The enterprises use LDAP authentication technology to allow administrator, IT personnel and users to be authenticated when trying to access company's intranet environment. | ||||
| VPN Throughput | 50Mbps | ||||
| NAT-Traversal (NAT-T) | VPN over routes without VPN pass-through | ||||
| PKI certificate | Digital signature (X.509) | ||||
| IKE Authentication | Pre-shared key; IKE phase 1 aggressive/standard modes & phase 2 selectable lifetimes | ||||
| Authentication | Hardware-based MD5, SHA-1 | ||||
| Encryption | MPPE and hardware-based AES/DES/3DES | ||||
| RADIUS Client | Authentication for PPTP remote dial-in | ||||
| DHCP over IPSec | Because DrayTek add a virtual NIC on the PC, thus, while connecting to the server via IPSec tunnel, PC will obtain an IP address from the remote side through DHCP protocol, which is quite similar with PPTP | ||||
| Dead Peer Detection (DPD) | When there is traffic between the peers, it is not necessary for one peer to send a keep-alive to check for liveness of the peer because the IPSec traffic serves as implicit proof of the availability of the peer | ||||
| Smart VPN software Utility | Provided free of charge for teleworker convenience ( Windows environment) | ||||
| Easy of Adoption | No additional client or remote site licensing required | ||||
| Industrial-standard Interoperability | Compatible with other leading 3rd party vendor VPN devices | ||||
| Content Filter | URL Keyword Blocking |
|
|||
| Web Content Filter | Dynamic URL filtering database | ||||
| Time Schedule Control | Set rule according to your specific office hours | ||||
| Firewall | Stateful Packet Inspection (SPI) | Outgoing/Incoming traffic inspection based on connection information | |||
| Content Security Management (CSM) | Appliance-based gateway security and content filtering | ||||
| Multi-NAT | You have been allocated multiple public IP address by your ISP. You hence can have a one-to-one relationship between a public IP address and an internal/private IP address. This means that you have the protection of NAT(see earlier) but the PC can be addressed directly from the outside world by its aliased public IP address, but still by only opening specific ports to it (for example TCP port 80 for an http/web server) | ||||
| Port Redirection | The packet is forwarded to a specific local PC if the port number matches with the defined port number. You can also translate the external port to another port locally | ||||
| Open Ports | As port redirection (above) but allows you to define a range of ports | ||||
| DMZ Host | This opens up a single PC completely. All incoming packets will be forwarded onto the PC with the local IP address you set. The only exceptions are packets received in response to outgoing requests from other local PC or incoming packets which match rules in the other two methods. The precedence is as follows : Port Redirection > Open Ports > DMZ |
||||
| Policy-based IP Packet Filter | The header information of an IP packet (IP or MAC source/destination addresses; source/destination ports; DiffServ attribute; direction dependent, bandwidth dependent, remote-site dependent | ||||
| DoS/DDoS Prevention | Act of preventing customers, users, clients or other computers from accessing data on a computer | ||||
| IP Address Anti-spoofing | Source IP address check on all interface: only IP address classified within the defined IP networks are allowed | ||||
| Object-based Firewall | Utilizes object-oriented approach to firewall policy | ||||
| Notification | E-mail alert and logging via syslog | ||||
| Bind IP to MAC Address | Flexible DHCP with 'IP-MAC binding | ||||
| WDS Security | The use of authentication and encryption techniques on a Wireless Distribution System (WDS) link between compatible access points | ||||
| Wireless Access Point (n-modellen) |
Wireless VLAN ( Wireless LAN Isolation) | Blocks users in a VLAN from sending traffic directly to each other | |||
| MAC Address Access Control | Authorizes a defined IP user to use WLAN;this is used by the LAN to identify each client uniquely in order to switch packets correctly | ||||
| VPN over WLAN | Create a secure tunnel between wireless client PC and the router, over the existing wireless connection , thus providing greater security as the traffic between that wireless client and the router is then encrypted and within a private tunnel using IPSec/3DES encryption (or as selected) | ||||
| 64/128-bit WEP | WEP ( Wireless Encryption Protocol) is a method of data encryption for wireless clients, which makes the sending of your data over the wireless interface more secure. By default, WEP is turned off on the router | ||||
| Hidden SSID | Prevent from Wireless sniffing | ||||
| 802.1X Authentication with RADIUS Client | IEEE standard for port-based network access control. The authenticator acts like a security guard to a protected WLAN network | ||||
| WPA/WPA2 | An authentication/encryption standard from the WiFi Alliance; WPA is intended to replace WEP encryption, being considered to be more secure and is a pre-cursor to the eventual IEEE 802.11i standard | ||||
| Wireless Distribution System (WDS) | Provides bridged traffic between two LANs through air. Extend the coverage of a WLAN | ||||
| AP Discovery | Scan all regulatory channels and find working access points in the neighborhood. Users will know which channel is clean for usage | ||||
| Wireless Rate Control | Manage upload/download rate of each VLAN or station | ||||
| System Management | Web-based User Interface ( HTTP/HTTPS) | ||||
| Draytek's Quick Start Wizard | Let administrator adjust time zone and promptly set up the Internet (PPPoE, PPTP, Static IP, DHCP) | ||||
| User Administration | RADIUS user administration for dial-in access (PPP/PPTP) | ||||
| CLI (Command Line Interface, Telnet/SSH) | Remotely administer computers via the telnet | ||||
| DHCP Client/Relay/Server | Provides an easy-to configure function for your local IP network | ||||
| Dynamic DNS | When you connect to your ISP, by broadband you are normally allocated an dynamic IP address. i.e. the public IP address your router is allocated changes each time you connect to the ISP. If you want to run a local server, remoter users cannot predict your current IP address to find you | ||||
| Administration Access Control | The password can be applied to authentication of administrators | ||||
| Configuration Backup/Restore | If the hardware breaks down, you can recover the failed system within an acceptable time. Through TFTP, the effective way is to backup and restore configuration between remote hosts | ||||
| Port-based VLAN | Create separate groups of users via segmenting each of the Ethernet ports. Hence, they can or can't communicate with users in other segments as required | ||||
| Built-in Diagnostic Function | Dial-out trigger, routing table, ARP cache table, DHCP table, NAT sessions table, wireless VLAN online station table, data flow monitor, traffic graph, ping diagnosis, trace route | ||||
| NTP Client/Call Scheduling | The Vigor has a real time clock which can update itself from your browser manually or more conveniently automatically from an Internet time server (NTP). This enables you to schedule the router to dial-out to the Internet at a preset time, or restrict INternet access to certain hours. A schedule can also be applied to LAN-to-LAN profiles (VPN or direct dial) or some of the content filtering options | ||||
| Firmware Upgrade via TFTP/HTTP/FTP | Using the TFTP server and the firmware upgrade utility software, you may easily upgrade to the latest firmware whenever enhanced features are added | ||||
| Remote Maintenance | With Telnet/SSL, SSH (with password or public key), browser (HTTP/HTTPS). TFTP or SNMP, firmware upgrade via HTTP/HTTPS or TFTP | ||||
| Wake On LAN | A PC on LAN can be woken up from an idle/stand by state by the router it connects when it receives a special 'wake up' packet on its Ethernet interface | ||||
| Logging via Syslog | Syslog is a method of logging router activity | ||||
| SNMP Management | SNMP management via SNMP V2, MIB II | ||||
| Bandwidth Management | Traffic Shaping | Dynamic bandwidth management with IP traffic shaping | |||
| Bandwidth Reservation | Reserve minimum and maximum bandwidths by connection based or total data through send/receive directions | ||||
| Packet Size Control | Specify size of data packet | ||||
| DiffServ Codepoint Classifying | Priority queuing of packets based on DiffServ | ||||
| 4 Priority Levels (Inbound/Outbound) | Prioritization in terms of Internet usage | ||||
| Individual IP Bandwidth/Session Limitation | Define session/bandwidth limitation based on IP address | ||||
| Bandwidth Borrowing | Transmission rates control of data services through packet scheduler | ||||
| User-defined Class-based Rules | More flexibility | ||||
| Routing Functions | Router | IP and NetBIOS/IP-multi-protocol router | |||
| Advanced Routing and Forwarding | Complete independent management and configuration of IP networks in the device, i.e. individual settings for DHCP, DNS, firewall, VLAN, routing, QoS etc | ||||
| DNS | DNS cache/proxy | ||||
| DHCP | DHCP client/relay/server | ||||
| NTP | NTP client, automatic adjustment for daylight-saving time | ||||
| Policy-based Routing | Based on firewall rules, certain data types are marked for specific routing, e.g. to particular remote sites or lines | ||||
| Dynamic Routing | It is with routing protocol of RIP v2. Learning and propagating routes; separate settings for WAN and LAN | ||||
| Static Routing | An instruction to re-route particular traffic through to another local gateway, instead of sending it onto the Internet with the rest of the traffic. A static route is just like a 'diversion sign' on a road | ||||
| Internet CSM (Content Security Management) Featuring | URL keyword filtering - whitelist or blacklist specific sites or keyword in URLs | ||||
| Block web sites by category (subject to subscription) | |||||
| Prevent accessing of web sites by using their direct IP address (thus URLs only) | |||||
| Blocking automatic download of Java applets and Active X controls | |||||
| Blocking of web site cookies | |||||
| Block http downloads of file types (binary, compressed, multimedia) | |||||
| Time schedules & exclusions for enabling/disabling these restrictions | |||||
| Block P2P (Peer-to-Peer) file sharing programs (e.g. Kazaa, WinMX etc.) | |||||
| Block Instant messaging programs (e.g. IRC, MSN/Yahoo Messenger) | |||||
| Support | Smart Monitor (Free & Optional Utility ) | Network service analyze, User Management, System Management, System Management, Top10 ranking system, Up to 100 PC Users | |||
| Warranty | 2-year limited warranty, technical support through e-mail and Internet FAQ/Application Notes | ||||
| Firmware Upgrade | Free Firmware upgrade form Internet | ||||
| Temperature | Operating : 0°C ~ 45°C | ||||
| Storage : -25°C ~ 70°C | |||||
| Humidity | 10% ~ 90% ( non-condensing ) | ||||
| Max. Power | 22 Watt | ||||
| Dimension | L273 * W166 * H44.6 ( mm ) | ||||
| Power | AC 100~240V, 50/60Hz | ||||
Management
De geïntegreerde grafische web user interface in de router maakt het mogelijk om op efficiënte wijze management toe te passen op het netwerk. De web user interface is uiteraard bereikbaar vanuit het lokale netwerk, maar door de ingebouwde management access control is ook eenvoudig aan te geven hoe de router vanaf het internet gemanaged kan worden. Toegang van het management via internet kan middels FTP, HTTP, HTTPS, Telnet en SSH, waarbij uiteraard kan worden aangeven vanaf welk IP adres dit mogelijk is en welke poort hiervoor dient te worden gebruikt. De implementatie van het TR.069 protocol in de router maakt management via het centraal management systeem VigorACS mogelijk.
Dual WAN
De routers uit deze serie beschikken over twee ethernet WAN poorten. Als er gebruik gemaakt wordt van meerdere WAN poorten kan load-balancing en fail-over worden toegepast. Door gebruik te maken van beide WAN poorten worden de netwerkprestaties, de schaalbaarheid en de betrouwbaarheid van de internetverbinding verbeterd.
Load-balancing
Als er gebruik gemaakt wordt van beide WAN poorten kan load-balancing worden toegepast. Voor elke datastroom kan gedefinieerd worden over welke WAN poort het verkeer naar buiten gaat.
Onderstaand enkele voorbeelden van toe te passen load-balancing regels.
• Regulier internetverkeer en uitgaande e-mail afkomstig van de mailserver dient te verlopen over WAN poort 1.
• VoIP verkeer dient te verlopen over WAN poort 2.
Er kunnen 20 load-balancing regels aangemaakt worden.
Met de functie “auto weight” bepaalt de router zelf wanneer deze overgaat naar de andere WAN interface. Ook is het mogelijk om zelf in te stellen, dat als een bepaalde bandbreedte verbruikt wordt, de 2e WAN interface automatisch ingeschakeld wordt. Zo is het mogelijk om bijvoorbeeld regulier internetverkeer en uitgaande email afkomstig van de mailserver te laten verlopen over WAN poort 1. VoIP verkeer dient dan te verlopen over WAN poort 2. Ook kan QoS toegepast worden op beide WAN poorten.
Fail-over
Op beide WAN poorten kan “fail-over/backup” worden toegepast. Als één van de twee WAN poorten uitvalt, neemt de andere WAN poort de taken over. Op deze manier is er dus altijd een werkende internetverbinding. Als de weggevallen verbinding hersteld is, wordt automatisch overgeschakeld naar de herstelde verbinding. De gebruikers merken nagenoeg niets van deze overschakeling.
LAN
Standaard beschikt de router over een DHCP server die de IP adressen uitdeelt aan de LAN zijde. Indien gebruik wordt gemaakt van een andere DHCP server kan deze uiteraard ook worden uitgeschakeld. Daarnaast kunnen statische routeringen worden aangemaakt voor LAN en WAN.
Firewall / NAT
Voor optimale beveiliging van het netwerk kan gebruik worden gemaakt van de ingebouwde firewall.
De firewall kan policy-based toestaan of blokkeren van in- en uitgaand verkeer. Aan de hand van regels kan communicatie van en naar een netwerk verboden of juist toegestaan worden. De firewall kan op basis van IP adres, poort nummer en protocol worden toegepast. Alle firewall regels kunnen eveneens voor inkomende VPN verbindingen worden toegepast.
Doordat de firewall van de router is voorzien van Stateful Packet Inspection (SPI) worden alle pakketten gecontroleerd op 'connection state'. Als een pakket volgens de firewall regels wordt doorgelaten, dan wordt het ook gecontroleerd op actieve connecties. Zijn er geen actieve connecties, dan zal de router de pakketten alsnog blokkeren.
DoS / DDoS defense
De router is in staat het netwerk te beschermen tegen DoS aanvallen vanaf het internet. Met een paar simpele handelingen wordt het netwerk beschermd tegen een groot aantal bekende aanvallen zoals port scans, ping of death en onbekende protocollen.
Object oriented firewall
Het is in de firewall tevens mogelijk om groepen aan te maken. Deze groepen kunnen vervolgens gebruikt worden om firewall regels te definiëren. Een groep kan bestaan uit een IP adres of een groep van IP adressen.
Er hoeft dan niet bij elke regel het IP adres of de groep van IP adressen te worden ingevoerd. Ook kan er gebruik worden gemaakt van de vooraf ingestelde regels voor Instant Messaging (IM), Voice over IP protocollen en Peer 2 Peer download programma's (P2P). Het is mogelijk zelf servicetypen te definiëren zoals HTTP of FTP. Zo is de firewall snel en efficiënt in te stellen.
De groepen kunnen bijvoorbeeld als volgt ingedeeld worden:
Er zijn 5 afdelingen in een bedrijf; verkoop, inkoop, directie, administratie en systeembeheer. De administratie heeft toegang tot het internet, maar mag geen P2P programma's of IM clients zoals MSN gebruiken. De verkoop- en inkoopafdeling heeft ook toegang tot het internet en mag wel gebruik maken van IM clients om met hun klanten te communiceren. De directie en de systeembeheerder hebben onbeperkt toegang tot het internet.
Naast de firewall functionaliteiten is het eveneens mogelijk om Port redirection, DMZ host, open ports toe te passen in uw configuratie.
Content Security Management
Middels de CSM (Content Security Management) functionaliteit heeft DrayTek 3 verschillende mechanismen ingebouwd om misbruik van internettoegang tegen te gaan. Via APP enforcement kunnen Instant Messaging / Peer 2 Peer worden geblokkeerd. Via de URL content filtering kunnen bepaalde websites op URL worden afgeschermd en via de web content filtering kan met behulp van een web content filter licentie bepaalde categorieën worden geblokkeerd.
VPN
De modellen uit deze serie beschikken over een geïntegreerde VPN server. Hierdoor kan een VPN tunnel gemaakt worden naar uw netwerk, zonder dat hiervoor een VPN server in het netwerk vereist is. VPN biedt een beveiligde verbinding over het internet naar uw eigen netwerk. Er zijn verschillende vormen van VPN. DrayTek ondersteunt L2TP, IPSec en PPTP.
Met de DrayTek routers is het mogelijk twee netwerken transparant te koppelen. Dit kan door gebruik te maken van de LAN-to-LAN VPN. Met deze VPN tunnel wordt de verbinding opgezet tussen 2 routers. Om vanaf een PC verbinding te kunnen maken met het netwerk, kan gebruik gemaakt worden van een Telewerker profiel. DrayTek stelt een gratis programma beschikbaar om ook een veilige telewerker verbinding op te kunnen zetten.
Bandwidth Management
Met bandwidth management kan de internetverbinding optimaal worden gebruikt. Deze functie bestaat uit 3 onderdelen:
1) Session limit
Met de session limit functie kan het maximaal aantal sessies per IP adres of groep van IP adressen worden aangegeven. Hiermee wordt voorkomen dat één gebruiker alle beschikbare bandbreedte verbruikt.
2) Bandwidth limit
Met behulp van bandwidth limit kan worden aangegeven hoeveel bandbreedte bepaalde IP adressen mogen gebruiken. Er kan een standaard waarde worden ingesteld. Ook kan een groep van IP adressen gedefinieerd worden. Bandwidth limit is toe te passen op zowel up- als download verkeer.
3) Quality of Service
De QoS-functie zorgt ervoor dat datastromen, zowel inkomend als uitgaand, met een bepaalde prioriteit worden behandeld. Er kan bijvoorbeeld per poort of per IP adres de bandbreedte worden aangeven. Quality of Service (QoS) zorgt eveneens voor gegarandeerde VoIP kwaliteit. De toepassing van QoS garandeert dat overige datastromen, zoals HTTP en FTP, geen invloed hebben op de kwaliteit van het telefoongesprek.
Online statistics
Met behulp van de online statistics kan de bandbreedte per service weergegeven worden. Hiermee is in één oogopslag te zien hoeveel bandbreedte door een bepaalde service gebruikt wordt.
Traffic graph
Traffic graph geeft in een grafiek een overzicht van de totale bandbreedte die de laatste 24 tot 48 uur verbruikt is.
Data flow monitor
Geeft aan hoeveel bandbreedte momenteel verbruikt wordt. In dit menu is het tevens mogelijk gebruikers te blokkeren voor een periode van 5 minuten.
Quality of Service
De QoS-functie in deze router zorgt ervoor dat datastromen, zowel inkomend als uitgaand, met een door u bepaalde prioriteit worden behandeld. U kunt bijvoorbeeld per poort of per IP-adres de bandbreedte aangeven.
Quality of Service (QoS) zorgt bij de VoIP modellen eveneens voor gegarandeerde VoIP kwaliteit. De toepassing van QoS in de V-modellen garandeert dat overige datastromen, zoals HTTP en FTP, geen invloed hebben op de kwaliteit van het telefoongesprek. Voor de toepassing van QoS voor VoIP is geen configuratie nodig.
Applicaties
In de router zijn verschillende applicaties geïmplementeerd waardoor toepassingen nog eenvoudiger worden, zo beschikken de modellen uit deze serie over Dynamic DNS, Radius, een uitgebreide scheduler, Wake on LAN, UPnP en IGMP.
Firmware
- 3.3.1
Product-specifieke downloads
Vigor 2950Vigor 2950G200 IPSec VPN tunnels
De DrayTek Vigor 2950 biedt ondermeer ondersteuning voor 200 simultane IPSec VPN tunnels. Hierdoor kan een VPN tunnel naar uw netwerk gemaakt worden, zonder dat hiervoor een VPN server in het netwerk vereist is. VPN biedt een beveiligde verbinding over het internet naar uw eigen netwerk.
Smart VPN client
Smart VPN client is een tool die het mogelijk maakt om een telewerker (remote Dial-in user) een IPSec VPN verbinding te laten maken met een DrayTek modem/router. Deze Smart VPN client van DrayTek is gratis te downloaden.
Klik hier voor de Smart VPN client.
