网络通信 频道

免疫墙路由器为何不等同于安全路由器

  二、安全路由器,产品应用和面临的问题

  安全路由器主要的诉求点就是节约成本,它通常使用在信息化投资匮乏的企业。由于它是功能简约化、系统集成化的产品,成本优先,所以在使用效果上无法与专业的安全系统媲美。尽管如此,它低廉的价格仍然赢得了大量小型企业的青睐,从2005年面世以来,得到了迅速的普及。

  现在市面上称之为安全路由器的产品主要有以下三类:

  1、VPN路由器
  提供的安全功能主要是SL VPN、PPTP VPN、MPLS VPN、IPSec VPN等。其主要是利用隧道技术( Tunneling )、加解密技术( Encryption )、密钥管理技术、身份认证技术( Authentication ),对数据进行加密传输,以确保传输数据在公众网络中传输时不被窃取,或即使被窃取了,对方亦无法读取数据包内所传送的资料。解决的是用户数据在公网上传输的安全问题。

  2、防火墙及边界安全路由器
  提供的安全功能主要是防火墙、防毒墙、IDS(入侵检测)、垃圾邮件过滤等。这类型的路由器主要是针对的外网数据,通过包过滤等技术手段将有攻击嫌疑的数据包做丢弃处理,防止因处理非正常的数据包而导致网关的资源耗尽,以致网络崩溃的情况。

  3、应用管理路由器
  它提供的安全功能主要是如何封BT、QQ、MSN,过滤URL、过滤IP、过滤端口等ACL类型的应用管理安全。其技术原理就是使用包过滤技术,在路由器上读取第三层及第四层包头中的信息如源地址、目的地址、源端口、目的端口等,根据预先定义好的规则对包进行过滤,从而达到访问控制的目的。

  安全路由器是一种廉价的功能型产品,能够帮助大企业的小型分支及SOHO企业迅速解决网络应用中的一部分安全问题。但安全路由器目前也面临着一些发展困境,这主要是由应用环境和定位局限引起的。

  企业购置安全路由器的主要目的是解决企业网稳定、高速、安全、可管理的问题,但实际上发生这些问题的概率80%在于内网系统。所以,期待安全路由器解决网络问题,恐怕效果不明显。用户经常对此产生质疑,认为投资浪费,影响了对安全路由器的信任,这属于用户错用现象。

  对于防火墙和边界安全,安全路由器面临适应性的问题。由于中国的网络环境异常糟糕,一旦攻击就是持续大流量高烈度的,是主动的恶意行为,很少发生随机的、温柔的攻击,安全路由器简易的软硬件系统根本无法起作用。众所周知,专业的防火墙产品动辄几千、几万、几十万元,因为有高速的CPU硬件和算法保证,价格相对昂贵。最多几千元的安全路由器从成本上就可以看出它的效能到底怎样。

  其实,VPN路由器也是如此。很多VPN路由器的VPN功能不是由专用硬件来实现的,而是与接入路由器占用同一套软硬件资源,它在进行宽带接入的同时,还要负责VPN的任务,所以转发效率比起专业的VPN产品差距太大。另外,做成硬件芯片的VPN产品价格已经越来越低,与VPN安全路由器同样的价格但性能相差几倍。所以软件集成化的VPN路由器,其性价比已经比不上一台接入路由器加一台外置的VPN设备的方案。

0