中小企業(yè)安全路由器這樣選

標簽：安全路由

安全路由器通常是集常規路由與網(wǎng)絡(luò )安全功能于一身的網(wǎng)絡(luò )安全設備，從主要功能來(lái)講，它還是一個(gè)路由器，主要承擔網(wǎng)絡(luò )中的路由交換任務(wù)，只不過(guò)更多地具備了安全功能，包括可以?xún)戎梅阑饓δK。

目前，市場(chǎng)上的安全路由器產(chǎn)品一般分成具有VPN、防火墻或配置加密卡的方式，其產(chǎn)品的功能和性能也就各不相同。從安全功能角度解釋?zhuān)踩酚善鲬摀斎齻€(gè)方面的安全功能：網(wǎng)絡(luò )系統的安全、路由器本身的安全以及網(wǎng)絡(luò )信息的安全。

主要來(lái)說(shuō)，安全路由融合了路由交換和防火墻兩種功能，因此，對了中小企業(yè)來(lái)說(shuō)，安全路由所集成的防火墻功能，是否能夠充當一般專(zhuān)業(yè)防火墻產(chǎn)品的角色，成為了非常關(guān)鍵的問(wèn)題。

專(zhuān)業(yè)防火墻是專(zhuān)用的網(wǎng)絡(luò )安全設備，它采用綜合的網(wǎng)絡(luò )技術(shù)，是設置在被保護網(wǎng)絡(luò )和外部不可信任網(wǎng)絡(luò )之間的一道關(guān)卡，用以分隔被保護網(wǎng)絡(luò )與外部網(wǎng)絡(luò )系統，防止發(fā)生不可預測的惡意入侵。它是不同網(wǎng)絡(luò )或網(wǎng)絡(luò )安全域之間信息的唯一出入口，能根據相應的安全策略控制出入信息流，防止非法信息流入被保護的網(wǎng)絡(luò )內。防火墻工作在大型企業(yè)的網(wǎng)絡(luò )中，成為網(wǎng)絡(luò )中的主要安全設備，主要布置在一個(gè)網(wǎng)絡(luò )或子網(wǎng)與另一個(gè)網(wǎng)絡(luò )的接口處，保障整個(gè)網(wǎng)絡(luò )的安全。

硬件防火墻性能在網(wǎng)絡(luò )層的訪(fǎng)問(wèn)控制包括規則編輯、IP/MAC地址綁定、NAT(網(wǎng)絡(luò )地址轉換)，在應用層的訪(fǎng)問(wèn)控制包括支持http、SMTP和FTP協(xié)議的內容過(guò)濾，防火墻管理分為基于WEB界面的WUI管理方式、基于圖形用戶(hù)界面的GUI管理方式和基于命令行CLI的管理方式，目前絕大多數防火墻都提供了審計和日志功能。而安全路由器性能則包括地址映射、數據轉換、路由選擇和協(xié)議轉換的網(wǎng)絡(luò )互連，網(wǎng)絡(luò )的隔離、流量的控制、安全控制與安全管理功能，包括安全審計、追蹤、告警和密鑰管理以及VPN。

而安全路由器主要應用在中小型企業(yè)的網(wǎng)絡(luò )中央，承擔主要的路由功能，同時(shí)兼顧網(wǎng)絡(luò )安全，但是整個(gè)設備不能因為安全功能而導致整體網(wǎng)絡(luò )性能的下降。也就是說(shuō)，安全是安全路由器的輔助功能。在中小型網(wǎng)絡(luò )中，安全路由器的部署使防火墻的某些功能得到實(shí)現，因此網(wǎng)絡(luò )中就沒(méi)有必要再部署防火墻了。但是在大型企業(yè)的網(wǎng)絡(luò )中，防火墻和安全路由器則是發(fā)揮路由和安全功能不同作用的設備。

與專(zhuān)業(yè)防火墻相對應的，除了安全路由外，還有軟件防火墻、UTM等產(chǎn)品，它們又如何呢?

軟件防火墻運行于特定的計算機上，它需要客戶(hù)預先安裝好的計算機操作系統的支持，一般來(lái)說(shuō)這臺計算機就是整個(gè)網(wǎng)絡(luò )的網(wǎng)關(guān)。俗稱(chēng)“企業(yè)/個(gè)人防火墻”。軟件防火墻就像其它的軟件產(chǎn)品一樣需要先在計算機上安裝并做好配置才可以使用。防火墻廠(chǎng)商中做網(wǎng)絡(luò )版軟件防火墻最出名的莫過(guò)于Checkpoint。使用這類(lèi)防火墻，需要網(wǎng)管對所工作的操作系統平臺比較熟悉。UTM(UnITed Threat Management)意為統一威脅管理，行業(yè)內一般將防病毒、防火墻和入侵檢測等概念融合到被稱(chēng)為統一威脅管理的新類(lèi)別中，這類(lèi)UTM設備集成了多種安全技術(shù)于一身，包括防火墻，虛擬專(zhuān)用網(wǎng)(VPN)，入侵檢測和防御(IDP)，網(wǎng)關(guān)防病毒等威脅管理安全設備，無(wú)需任何用戶(hù)軟件安裝，能有效的防御目前流行的混合型數據攻擊的威脅，能大大的提高了企業(yè)的安全和管理能力。

UTM集成包括防火墻、VPN、IDS/IPS、防病毒、防垃圾郵件、網(wǎng)址過(guò)濾、內容過(guò)濾等多種功能于一體的安全設備，相比安全路由器來(lái)說(shuō)，功能比較強，但價(jià)格比較高;目前的UTM產(chǎn)品在多種功能同時(shí)運行時(shí)，性能會(huì )大打折扣，作為集成網(wǎng)關(guān)，這將直接影響到用戶(hù)的業(yè)務(wù)應用。對于安全設備來(lái)說(shuō)，穩定性是尤其重要的，UTM軟件系統的復雜性帶來(lái)了穩定性的損失和Bug的增加。UTM第三方廠(chǎng)商的軟件升級如病毒庫、URL庫、攻擊規則庫等每年都需要一筆不少的費用，UTM規范性還需進(jìn)一步統一和加強，以推動(dòng)UTM市場(chǎng)的進(jìn)一步發(fā)展。

總之，從性能和功能上比較來(lái)看，專(zhuān)業(yè)防火墻由于性能好、工作穩定，而且低端防火墻價(jià)格也在幾萬(wàn)元;UTM產(chǎn)品功能強大，但性能不是那么太好，而且價(jià)格再加上軟件升級的費用估計費用要比低端防火墻的價(jià)格高;安全路由器從價(jià)格上來(lái)說(shuō)，幾千元就可以完全搞定，相比防火墻和UTM，性?xún)r(jià)比較高，再加上VPN以及具有防火墻的某些安全功能，因此比較適合中小企業(yè)使用。

安全路由器在中小企業(yè)中應用

當前市場(chǎng)上的安全路由器主要是用于中小用戶(hù)的安全接入產(chǎn)品。用戶(hù)對路由器的性能要求不是很高，在這種網(wǎng)絡(luò )中，它也可以成為整個(gè)網(wǎng)絡(luò )的核心設備，承擔網(wǎng)絡(luò )的路由轉發(fā)和安全防護雙向功能。安全路由器所使用的VPN技術(shù)，主要是針對擁有遠程接入用戶(hù)的網(wǎng)絡(luò )環(huán)境設計的，尤其是網(wǎng)絡(luò )系統存在上聯(lián)出口和下聯(lián)出口的情況。

比如，大企業(yè)的分支機構和中小企業(yè)的核心網(wǎng)絡(luò )，它們既存在與上級公司網(wǎng)絡(luò )或Internet網(wǎng)絡(luò )的上聯(lián)出口安全問(wèn)題，又要保證自己內部網(wǎng)絡(luò )的安全，同時(shí)還必須兼顧遠程接入用戶(hù)的網(wǎng)絡(luò )安全。而從整體來(lái)看，這種網(wǎng)絡(luò )對安全路由器的路由功能要求并不是特別苛刻，所以這種集接入、路由、VPN和防火墻于一體的設備就成為公司的首選。安全路由器的出現對于網(wǎng)絡(luò )的整體結構來(lái)講并沒(méi)有產(chǎn)生非常大的變動(dòng)，由于安全路由器是一種邊緣接入路由器，所以對整個(gè)網(wǎng)絡(luò )尤其是主干網(wǎng)絡(luò )沒(méi)有多大的影響。對于中小用戶(hù)來(lái)講，新建的網(wǎng)絡(luò )就可以采購安全路由器，因為它集幾種重要功能于一體，從管理成本的角度來(lái)說(shuō)，肯定比管理多個(gè)產(chǎn)品要簡(jiǎn)單很多。當然，產(chǎn)品的價(jià)格比普通路由器會(huì )有所提高，但仍然可以接受。

從實(shí)際的市場(chǎng)與應用效果來(lái)看，安全路由器受到中小型企業(yè)的喜愛(ài)， 是因為安全路由器可以隱藏公司內部的網(wǎng)絡(luò )拓撲結構圖，同時(shí)還可以加密需要傳輸的數據，從而做到即使傳輸的數據在公網(wǎng)上給其它用戶(hù)攔截到時(shí)，他們也不能通過(guò)IP包來(lái)獲取公司內部的網(wǎng)絡(luò )IP地址及了解到內部的網(wǎng)絡(luò )拓撲結構圖，經(jīng)過(guò)加密的數據，沒(méi)有專(zhuān)門(mén)的解密工具一般的用戶(hù)是不可能知道所傳輸的數據包的內容。

因此相對于中小企業(yè)而言，由于資金預算有限，購買(mǎi)獨立的防火墻不但成本高昂，而且設定管理又很復雜;對于中小企業(yè)及大型企業(yè)的分支機構來(lái)說(shuō)，他們沒(méi)有足夠的資金和人員維護配置硬件防火墻;因此采用適合的安全路由器，由于價(jià)格較低，可以一次解決網(wǎng)絡(luò )安全的問(wèn)題，又能達到網(wǎng)絡(luò )升級，為未來(lái)建置VPN及VoIP進(jìn)行準備。