《電子技術應用》
您所在的位置:首頁 > 通信與網絡 > 設計應用 > 中小企業(yè)安全路由器的選擇
中小企業(yè)安全路由器的選擇
摘要: 安全路由器通常是集常規(guī)路由與網絡安全功能于一身的網絡安全設備,,從主要功能來講,,它還是一個路由器,主要承擔網絡中的路由交換任務,只不過更多地具備了安全功能,,包括可以內置防火墻模塊,。
Abstract:
Key words :

安全路由器" title="路由器">路由器通常是集常規(guī)路由與網絡安全" title="網絡安全">網絡安全功能于一身的網絡安全設備,,從主要功能來講,,它還是一個路由器,主要承擔網絡中的路由交換任務,,只不過更多地具備了安全功能,,包括可以內置防火墻" title="防火墻">防火墻模塊。

目前,,市場上的安全路由器產品一般分成具有VPN,、防火墻或配置加密卡的方式,其產品的功能和性能也就各不相同,。從安全功能角度解釋,安全路由器應該擔當三個方面的安全功能:網絡系統(tǒng)的安全,、路由器本身的安全以及網絡信息的安全,。

主要來說,安全路由融合了路由交換和防火墻兩種功能,,因此,,對了中小企業(yè)來說,安全路由所集成的防火墻功能,,是否能夠充當一般專業(yè)防火墻產品的角色,,成為了非常關鍵的問題。

專業(yè)防火墻是專用的網絡安全設備,,它采用綜合的網絡技術,,是設置在被保護網絡和外部不可信任網絡之間的一道關卡,用以分隔被保護網絡與外部網絡系統(tǒng),,防止發(fā)生不可預測的惡意入侵,。它是不同網絡或網絡安全域之間信息的唯一出入口,能根據(jù)相應的安全策略控制出入信息流,,防止非法信息流入被保護的網絡內,。防火墻工作在大型企業(yè)的網絡中,成為網絡中的主要安全設備,,主要布置在一個網絡或子網與另一個網絡的接口處,,保障整個網絡的安全。

硬件防火墻性能在網絡層的訪問控制包括規(guī)則編輯、IP/MAC地址綁定,、NAT(網絡地址轉換),,在應用層的訪問控制包括支持http、SMTP和FTP協(xié)議的內容過濾,,防火墻管理分為基于WEB界面的WUI管理方式,、基于圖形用戶界面的GUI管理方式和基于命令行CLI的管理方式,目前絕大多數(shù)防火墻都提供了審計和日志功能,。而安全路由器性能則包括地址映射,、數(shù)據(jù)轉換、路由選擇和協(xié)議轉換的網絡互連,,網絡的隔離,、流量的控制、安全控制與安全管理功能,,包括安全審計,、追蹤、告警和密鑰管理以及VPN,。

而安全路由器主要應用在中小型企業(yè)的網絡中央,,承擔主要的路由功能,同時兼顧網絡安全,,但是整個設備不能因為安全功能而導致整體網絡性能的下降,。也就是說,安全是安全路由器的輔助功能,。在中小型網絡中,,安全路由器的部署使防火墻的某些功能得到實現(xiàn),因此網絡中就沒有必要再部署防火墻了,。但是在大型企業(yè)的網絡中,,防火墻和安全路由器則是發(fā)揮路由和安全功能不同作用的設備。

與專業(yè)防火墻相對應的,,除了安全路由外,,還有軟件防火墻、UTM等產品,,它們又如何呢,?

軟件防火墻運行于特定的計算機上,它需要客戶預先安裝好的計算機操作系統(tǒng)的支持,,一般來說這臺計算機就是整個網絡的網關,。俗稱“企業(yè)/個人防火墻”。軟件防火墻就像其它的軟件產品一樣需要先在計算機上安裝并做好配置才可以使用,。防火墻廠商中做網絡版軟件防火墻最出名的莫過于Checkpoint,。使用這類防火墻,,需要網管對所工作的操作系統(tǒng)平臺比較熟悉。UTM(UnITed Threat Management)意為統(tǒng)一威脅管理,,行業(yè)內一般將防病毒,、防火墻和入侵檢測等概念融合到被稱為統(tǒng)一威脅管理的新類別中,這類UTM設備集成了多種安全技術于一身,,包括防火墻,,虛擬專用網(VPN),入侵檢測和防御(IDP),,網關防病毒等威脅管理安全設備,,無需任何用戶軟件安裝,能有效的防御目前流行的混合型數(shù)據(jù)攻擊的威脅,,能大大的提高了企業(yè)的安全和管理能力,。

UTM集成包括防火墻、VPN,、IDS/IPS,、防病毒、防垃圾郵件,、網址過濾,、內容過濾等多種功能于一體的安全設備,相比安全路由器來說,,功能比較強,,但價格比較高;目前的UTM產品在多種功能同時運行時,性能會大打折扣,,作為集成網關,這將直接影響到用戶的業(yè)務應用,。對于安全設備來說,,穩(wěn)定性是尤其重要的,UTM軟件系統(tǒng)的復雜性帶來了穩(wěn)定性的損失和Bug的增加,。UTM第三方廠商的軟件升級如病毒庫,、URL庫、攻擊規(guī)則庫等每年都需要一筆不少的費用,,UTM規(guī)范性還需進一步統(tǒng)一和加強,,以推動UTM市場的進一步發(fā)展。

總之,,從性能和功能上比較來看,,專業(yè)防火墻由于性能好、工作穩(wěn)定,,而且低端防火墻價格也在幾萬元;UTM產品功能強大,,但性能不是那么太好,,而且價格再加上軟件升級的費用估計費用要比低端防火墻的價格高;安全路由器從價格上來說,幾千元就可以完全搞定,,相比防火墻和UTM,,性價比較高,再加上VPN以及具有防火墻的某些安全功能,,因此比較適合中小企業(yè)使用,。

安全路由器在中小企業(yè)中應用

當前市場上的安全路由器主要是用于中小用戶的安全接入產品。用戶對路由器的性能要求不是很高,,在這種網絡中,,它也可以成為整個網絡的核心設備,承擔網絡的路由轉發(fā)和安全防護雙向功能,。安全路由器所使用的VPN技術,,主要是針對擁有遠程接入用戶的網絡環(huán)境設計的,尤其是網絡系統(tǒng)存在上聯(lián)出口和下聯(lián)出口的情況,。

比如,,大企業(yè)的分支機構和中小企業(yè)的核心網絡,它們既存在與上級公司網絡或Internet網絡的上聯(lián)出口安全問題,,又要保證自己內部網絡的安全,,同時還必須兼顧遠程接入用戶的網絡安全。而從整體來看,,這種網絡對安全路由器的路由功能要求并不是特別苛刻,,所以這種集接入、路由,、VPN和防火墻于一體的設備就成為公司的首選,。安全路由器的出現(xiàn)對于網絡的整體結構來講并沒有產生非常大的變動,由于安全路由器是一種邊緣接入路由器,,所以對整個網絡尤其是主干網絡沒有多大的影響,。對于中小用戶來講,新建的網絡就可以采購安全路由器,,因為它集幾種重要功能于一體,,從管理成本的角度來說,肯定比管理多個產品要簡單很多,。當然,,產品的價格比普通路由器會有所提高,但仍然可以接受,。

從實際的市場與應用效果來看,,安全路由器受到中小型企業(yè)的喜愛,是因為安全路由器可以隱藏公司內部的網絡拓撲結構圖,,同時還可以加密需要傳輸?shù)臄?shù)據(jù),,從而做到即使傳輸?shù)臄?shù)據(jù)在公網上給其它用戶攔截到時,,他們也不能通過IP包來獲取公司內部的網絡IP地址及了解到內部的網絡拓撲結構圖,經過加密的數(shù)據(jù),,沒有專門的解密工具一般的用戶是不可能知道所傳輸?shù)臄?shù)據(jù)包的內容,。

因此相對于中小企業(yè)而言,由于資金預算有限,,購買獨立的防火墻不但成本高昂,,而且設定管理又很復雜;對于中小企業(yè)及大型企業(yè)的分支機構來說,他們沒有足夠的資金和人員維護配置硬件防火墻;因此采用適合的安全路由器,,由于價格較低,,可以一次解決網絡安全的問題,又能達到網絡升級,,為未來建置VPN及VoIP進行準備,。
 

此內容為AET網站原創(chuàng),未經授權禁止轉載,。