安全路由器" title="路由器">路由器通常是集常規(guī)路由與網(wǎng)絡(luò)安全" title="網(wǎng)絡(luò)安全">網(wǎng)絡(luò)安全功能于一身的網(wǎng)絡(luò)安全設(shè)備,,從主要功能來(lái)講,,它還是一個(gè)路由器,主要承擔(dān)網(wǎng)絡(luò)中的路由交換任務(wù),,只不過(guò)更多地具備了安全功能,,包括可以?xún)?nèi)置防火墻" title="防火墻">防火墻模塊。
目前,,市場(chǎng)上的安全路由器產(chǎn)品一般分成具有VPN,、防火墻或配置加密卡的方式,其產(chǎn)品的功能和性能也就各不相同。從安全功能角度解釋?zhuān)踩酚善鲬?yīng)該擔(dān)當(dāng)三個(gè)方面的安全功能:網(wǎng)絡(luò)系統(tǒng)的安全,、路由器本身的安全以及網(wǎng)絡(luò)信息的安全,。
主要來(lái)說(shuō),安全路由融合了路由交換和防火墻兩種功能,,因此,,對(duì)了中小企業(yè)來(lái)說(shuō),安全路由所集成的防火墻功能,,是否能夠充當(dāng)一般專(zhuān)業(yè)防火墻產(chǎn)品的角色,,成為了非常關(guān)鍵的問(wèn)題。
專(zhuān)業(yè)防火墻是專(zhuān)用的網(wǎng)絡(luò)安全設(shè)備,,它采用綜合的網(wǎng)絡(luò)技術(shù),,是設(shè)置在被保護(hù)網(wǎng)絡(luò)和外部不可信任網(wǎng)絡(luò)之間的一道關(guān)卡,用以分隔被保護(hù)網(wǎng)絡(luò)與外部網(wǎng)絡(luò)系統(tǒng),,防止發(fā)生不可預(yù)測(cè)的惡意入侵,。它是不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的唯一出入口,能根據(jù)相應(yīng)的安全策略控制出入信息流,,防止非法信息流入被保護(hù)的網(wǎng)絡(luò)內(nèi),。防火墻工作在大型企業(yè)的網(wǎng)絡(luò)中,成為網(wǎng)絡(luò)中的主要安全設(shè)備,,主要布置在一個(gè)網(wǎng)絡(luò)或子網(wǎng)與另一個(gè)網(wǎng)絡(luò)的接口處,,保障整個(gè)網(wǎng)絡(luò)的安全。
硬件防火墻性能在網(wǎng)絡(luò)層的訪問(wèn)控制包括規(guī)則編輯,、IP/MAC地址綁定,、NAT(網(wǎng)絡(luò)地址轉(zhuǎn)換),在應(yīng)用層的訪問(wèn)控制包括支持http,、SMTP和FTP協(xié)議的內(nèi)容過(guò)濾,,防火墻管理分為基于WEB界面的WUI管理方式、基于圖形用戶(hù)界面的GUI管理方式和基于命令行CLI的管理方式,,目前絕大多數(shù)防火墻都提供了審計(jì)和日志功能,。而安全路由器性能則包括地址映射、數(shù)據(jù)轉(zhuǎn)換,、路由選擇和協(xié)議轉(zhuǎn)換的網(wǎng)絡(luò)互連,,網(wǎng)絡(luò)的隔離、流量的控制,、安全控制與安全管理功能,包括安全審計(jì),、追蹤,、告警和密鑰管理以及VPN。
而安全路由器主要應(yīng)用在中小型企業(yè)的網(wǎng)絡(luò)中央,承擔(dān)主要的路由功能,,同時(shí)兼顧網(wǎng)絡(luò)安全,,但是整個(gè)設(shè)備不能因?yàn)榘踩δ芏鴮?dǎo)致整體網(wǎng)絡(luò)性能的下降。也就是說(shuō),,安全是安全路由器的輔助功能,。在中小型網(wǎng)絡(luò)中,安全路由器的部署使防火墻的某些功能得到實(shí)現(xiàn),,因此網(wǎng)絡(luò)中就沒(méi)有必要再部署防火墻了,。但是在大型企業(yè)的網(wǎng)絡(luò)中,防火墻和安全路由器則是發(fā)揮路由和安全功能不同作用的設(shè)備,。
與專(zhuān)業(yè)防火墻相對(duì)應(yīng)的,,除了安全路由外,還有軟件防火墻,、UTM等產(chǎn)品,,它們又如何呢?
軟件防火墻運(yùn)行于特定的計(jì)算機(jī)上,,它需要客戶(hù)預(yù)先安裝好的計(jì)算機(jī)操作系統(tǒng)的支持,,一般來(lái)說(shuō)這臺(tái)計(jì)算機(jī)就是整個(gè)網(wǎng)絡(luò)的網(wǎng)關(guān)。俗稱(chēng)“企業(yè)/個(gè)人防火墻”,。軟件防火墻就像其它的軟件產(chǎn)品一樣需要先在計(jì)算機(jī)上安裝并做好配置才可以使用,。防火墻廠商中做網(wǎng)絡(luò)版軟件防火墻最出名的莫過(guò)于Checkpoint。使用這類(lèi)防火墻,,需要網(wǎng)管對(duì)所工作的操作系統(tǒng)平臺(tái)比較熟悉,。UTM(UnITed Threat Management)意為統(tǒng)一威脅管理,行業(yè)內(nèi)一般將防病毒,、防火墻和入侵檢測(cè)等概念融合到被稱(chēng)為統(tǒng)一威脅管理的新類(lèi)別中,,這類(lèi)UTM設(shè)備集成了多種安全技術(shù)于一身,包括防火墻,,虛擬專(zhuān)用網(wǎng)(VPN),,入侵檢測(cè)和防御(IDP),網(wǎng)關(guān)防病毒等威脅管理安全設(shè)備,,無(wú)需任何用戶(hù)軟件安裝,,能有效的防御目前流行的混合型數(shù)據(jù)攻擊的威脅,能大大的提高了企業(yè)的安全和管理能力,。
UTM集成包括防火墻,、VPN、IDS/IPS,、防病毒,、防垃圾郵件、網(wǎng)址過(guò)濾、內(nèi)容過(guò)濾等多種功能于一體的安全設(shè)備,,相比安全路由器來(lái)說(shuō),,功能比較強(qiáng),但價(jià)格比較高;目前的UTM產(chǎn)品在多種功能同時(shí)運(yùn)行時(shí),,性能會(huì)大打折扣,,作為集成網(wǎng)關(guān),這將直接影響到用戶(hù)的業(yè)務(wù)應(yīng)用,。對(duì)于安全設(shè)備來(lái)說(shuō),,穩(wěn)定性是尤其重要的,UTM軟件系統(tǒng)的復(fù)雜性帶來(lái)了穩(wěn)定性的損失和Bug的增加,。UTM第三方廠商的軟件升級(jí)如病毒庫(kù),、URL庫(kù)、攻擊規(guī)則庫(kù)等每年都需要一筆不少的費(fèi)用,,UTM規(guī)范性還需進(jìn)一步統(tǒng)一和加強(qiáng),,以推動(dòng)UTM市場(chǎng)的進(jìn)一步發(fā)展。
總之,,從性能和功能上比較來(lái)看,,專(zhuān)業(yè)防火墻由于性能好、工作穩(wěn)定,,而且低端防火墻價(jià)格也在幾萬(wàn)元;UTM產(chǎn)品功能強(qiáng)大,,但性能不是那么太好,而且價(jià)格再加上軟件升級(jí)的費(fèi)用估計(jì)費(fèi)用要比低端防火墻的價(jià)格高;安全路由器從價(jià)格上來(lái)說(shuō),,幾千元就可以完全搞定,,相比防火墻和UTM,性?xún)r(jià)比較高,,再加上VPN以及具有防火墻的某些安全功能,,因此比較適合中小企業(yè)使用。
安全路由器在中小企業(yè)中應(yīng)用
當(dāng)前市場(chǎng)上的安全路由器主要是用于中小用戶(hù)的安全接入產(chǎn)品,。用戶(hù)對(duì)路由器的性能要求不是很高,,在這種網(wǎng)絡(luò)中,它也可以成為整個(gè)網(wǎng)絡(luò)的核心設(shè)備,,承擔(dān)網(wǎng)絡(luò)的路由轉(zhuǎn)發(fā)和安全防護(hù)雙向功能,。安全路由器所使用的VPN技術(shù),主要是針對(duì)擁有遠(yuǎn)程接入用戶(hù)的網(wǎng)絡(luò)環(huán)境設(shè)計(jì)的,,尤其是網(wǎng)絡(luò)系統(tǒng)存在上聯(lián)出口和下聯(lián)出口的情況,。
比如,大企業(yè)的分支機(jī)構(gòu)和中小企業(yè)的核心網(wǎng)絡(luò),,它們既存在與上級(jí)公司網(wǎng)絡(luò)或Internet網(wǎng)絡(luò)的上聯(lián)出口安全問(wèn)題,,又要保證自己內(nèi)部網(wǎng)絡(luò)的安全,,同時(shí)還必須兼顧遠(yuǎn)程接入用戶(hù)的網(wǎng)絡(luò)安全,。而從整體來(lái)看,,這種網(wǎng)絡(luò)對(duì)安全路由器的路由功能要求并不是特別苛刻,所以這種集接入,、路由,、VPN和防火墻于一體的設(shè)備就成為公司的首選。安全路由器的出現(xiàn)對(duì)于網(wǎng)絡(luò)的整體結(jié)構(gòu)來(lái)講并沒(méi)有產(chǎn)生非常大的變動(dòng),,由于安全路由器是一種邊緣接入路由器,,所以對(duì)整個(gè)網(wǎng)絡(luò)尤其是主干網(wǎng)絡(luò)沒(méi)有多大的影響。對(duì)于中小用戶(hù)來(lái)講,,新建的網(wǎng)絡(luò)就可以采購(gòu)安全路由器,,因?yàn)樗瘞追N重要功能于一體,從管理成本的角度來(lái)說(shuō),,肯定比管理多個(gè)產(chǎn)品要簡(jiǎn)單很多,。當(dāng)然,產(chǎn)品的價(jià)格比普通路由器會(huì)有所提高,,但仍然可以接受,。
從實(shí)際的市場(chǎng)與應(yīng)用效果來(lái)看,安全路由器受到中小型企業(yè)的喜愛(ài),,是因?yàn)榘踩酚善骺梢噪[藏公司內(nèi)部的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖,,同時(shí)還可以加密需要傳輸?shù)臄?shù)據(jù),從而做到即使傳輸?shù)臄?shù)據(jù)在公網(wǎng)上給其它用戶(hù)攔截到時(shí),,他們也不能通過(guò)IP包來(lái)獲取公司內(nèi)部的網(wǎng)絡(luò)IP地址及了解到內(nèi)部的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖,,經(jīng)過(guò)加密的數(shù)據(jù),沒(méi)有專(zhuān)門(mén)的解密工具一般的用戶(hù)是不可能知道所傳輸?shù)臄?shù)據(jù)包的內(nèi)容,。
因此相對(duì)于中小企業(yè)而言,,由于資金預(yù)算有限,購(gòu)買(mǎi)獨(dú)立的防火墻不但成本高昂,,而且設(shè)定管理又很復(fù)雜;對(duì)于中小企業(yè)及大型企業(yè)的分支機(jī)構(gòu)來(lái)說(shuō),,他們沒(méi)有足夠的資金和人員維護(hù)配置硬件防火墻;因此采用適合的安全路由器,由于價(jià)格較低,,可以一次解決網(wǎng)絡(luò)安全的問(wèn)題,,又能達(dá)到網(wǎng)絡(luò)升級(jí),為未來(lái)建置VPN及VoIP進(jìn)行準(zhǔn)備,。