在企业网络日益复杂,各种网络病毒、攻击肆虐的今天,路由器已经不仅仅承担简单的连接转发作用,安全特性、管理功能等被集成于新型路由器当中,给企业的网络工程师在配置、管理网络的工作带来了极大的便利。这其中的佼佼者之一,北京欣全向科技有限公司新推出的免疫墙路由器更是引起了众多网络工程师的广泛关注。
下面我们就来看一看欣向免疫墙路由器与众不同的特点。
免疫墙路由器的外观
免疫墙路由器是具有内网系统安全和上网行为管理功能的企业级宽带路由器。为解决传统一二代路由器无法解决的内网安全管理问题,免疫墙路由器实现了将宽带接入任务延伸到每一台内网终端。它具备全面独特的功能,完美解决目前企业网络普遍存在的掉线、卡滞、被盗号、难管理、效率低下的顽症,目标是全面替代单纯的普通路由器,成为企业网络的主流核心产品。本次测试的型号为NuR8266M。
NuR8266M的包装盒
拆开后,包装盒里面有主机、电源线、网线、用户手册、保修卡、服务手册、快速配置向导等文件,还有一张光盘。特别需要指出的是,欣向路由器提供了带有厂家Logo的高品质网线、保修卡、三级售后服务体系卡、安装清单等,充分体现了厂家服务的细致入微。
主机外观
正面
欣向免疫墙路由器机壳前面板明显的标有欣向的免费服务电话:400-706-0518,用户有疑问时,可立刻找到服务电话,而不需要网上搜索,找说明书等。"出类拔萃的产品,尽心尽力的服务"得到实实在在的体现。
后面
主机背面的标签
免疫墙路由器的配置
1、 路由器配置
在用随机带的电源线连接路由器,打开路由器背面的电源开关后,用网线连接路由器的LAN口与电脑。路由器的默认IP地址为192.168.1.254,子网掩码为255.255.255.0,所以需要把电脑的IP地址改为和路由器同一网段。路由器出厂状态默认的用户名和密码均为"admin"。
登陆后的界面
(原有界面是8558G,现更换为8266M的)
进入这个界面以后,点击快速配置向导就可以实现对具体网络环境参数的设置了。配置参数完了以后,会形成一个配置清单,可以方便的浏览各种参数的设置。
2、 监控中心和免疫驱动下载服务器安装
欣向的免疫墙路由器的管理功能与安全监控功能是由单独路由器配置和监控中心完成的,路由器配置和监控中心需要安装在服务器上。同时,免疫墙路由器对于终端具有很强的管理性,每个接入公司网络的电脑,都需要安装免疫驱动进行认证并接受安全、上网行为等方面的管理,否则,该终端将不被路由器所接受。所以,在完成了路由器的配置以后,还需要安装监控中心与免疫驱动下载服务器。
在随机配的光盘中可以找到安装程序,开始的运行界面如下:
在安装过程中,由于该程序需要修改注册表,安装了杀毒软件的电脑会提示注册表将被改动,因此会出现下图的提示,选择"同意修改",则表示在开机时自动运行免疫墙路由器监控中心和免疫驱动下载服务器程序;选择拒绝则表示不需要在开机时自动运行这两个程序。
在安装完成以后,在网卡本地连接属性中的"此连接使用下列项目"中,会出现一个ImmunityWall Driver X.X.X.X的字样,如下图,则表示安装成功了。
完成免疫监控驱动的安装后,系统会自动提示继续安装免疫上网驱动下载服务器。
运行监控中心,系统会对网络中的电脑扫描,完成以后,所有联网的电脑都会显示在监控中心。如图:
免疫墙路由器的安全特性
免疫墙路由器,从欣向公司为该系列路由器所起的名字就可以看出,安全是其最大的特点。据了解,该技术为欣向公司所独创,具有网络病毒攻击主动防御、协议安全漏洞防范、上网行为管理等方面的专利。欣向敏锐的意识到,企业内网安全的问题,更多的是管理问题,员工上网行为的复杂性,是引发内网安全问题的首要因素。因此,解决企业网络安全问题,首先就要解决企业内部上网行为的可控性。与业界其他网络厂商所提倡的终端安全的排斥性不同,欣向的免疫墙技术变被动防御为主动出击,采用强制安装客户端软件的方式,通过监控中心,对内网中的终端进行时时监控与管理,从而最大限度的做到了防患与未然。这种措施使得企业的网络工程师可以随时发现异常的电脑,从而采取有效措施把安全问题消灭在萌芽状态。这种设计理念,更加符合企业网络,特别是中小企业的实际状况。
1、免疫上网驱动
为了便于管理内网中的终端,免疫墙路由器强制要求内网每个终端都需要安装免疫上网驱动,免疫墙路由器不允许没有安装免疫上网驱动的主机访问网络,没有安装免疫上网驱动的主机打开任何网页时,免疫墙路由器都会将该网页重新定向到免疫上网驱动下载页面。如下图所示:
免疫墙路由器安装到个人电脑网卡上的免疫驱动是经过微软WHQL徽标认证的,这样保证了该驱动同Windows操作系统的完美兼容,据了解,该项认证十分严格,限于技术条件、开发环境、技术交流环境等各种因素制约,国内硬件厂商在获取WHQL认证的过程中,往往费尽周折,能通过最终认证的寥寥无几。
这种措施有效避免了其他电脑冒充内网的IP地址访问内网,并且可以对终端进行有效管理。
同时,这种措施还可以使得免疫墙路由器对网络协议层的管理可以在路由器和终端上同时展开,路由器的协议管理从NAT开始进行,而上网驱动则安装在每一个终端的网卡驱动层,所有上网数据都经过这一层,每个应用数据都不会被遗漏。
2、 监控中心
网络监控中心分为三个显示区域,包括主机显示区,日志与报警显示区,还有分组权限区。免疫墙路由器配合和监控中心,可以对每一个IP的内外网流量、攻击发生、防护策略等信息进行实时监控。通过监控中心,可以瞬间调整并分发控制策略,不必抓包查障,全网尽在掌握。
分组权限区可以对企业网络中的电脑进行分组设置,每个分组可以设置不同的控制措施和报警措施。
除了限制网络速度以外,控制策略可以对分组中的终端进行QQ、网络银行、游戏等应用的屏蔽,P2P限制等上网行为管理设置。该分组可以按照公司的部门进行分类,按照每个员工的职责不同,给予不同的网络权限,从而管理起来更加方便。按照分组,可对每一个IP进行时间段、流量、控制和报警策略进行精细化控制,约束某个分组或终端按指定的时间段、以指定的最大流量上网。更为方便的是,该分组控制策略可以对内网带宽和外网带宽进行不同的设置。
主机显示区可以对内网中的每一个终端进行时时的监控,显示每个终端的流量状态,通过主机名称、IP地址、MAC地址三种身份来定位终端,并设置了ARP攻击显示、虚拟MAC地址拦截等典型的安全隐患内容。同时,主机名称可以根据企业的具体需求设置为更加直观的名字,例如,试用该电脑的员工名字。更加人性化的是通过不同的颜色来标识不同的终端状态,如下图。
这使得公司的网管员可以一目了然的看到企业中每台电脑的状况。
主机显示区状态一览:
报警显示区则可以显示报警的主机名字、IP地址、时间、详情等参数,可以非常方便的定位报警电脑,显示不安全因素,使网管员可以迅速的解决问题。
3、 整体的全网安全管理
为了检验免疫墙路由器对当前流行的网络攻击的免疫控制,我们使用一些网络攻击手段对实施免疫墙路由器的网络进行了攻击测试。结果证明了免疫墙路由器的确具有彻底的网络安全管理效果,网络稳定性强!
ARP攻击:
使用ARP攻击软件在192.168.1.13的电脑进行ARP欺骗的攻击,免疫墙路由器配置和监控中心立刻报警,"试图发送虚假MAC包",试图发送表明已被拦截,网络运行没有任何异常(我们曾用该软件在其他品牌普通路由器网络中使用,网络立刻中断)。
DDos攻击:
使用阿拉丁攻击软件,将数据包调整至10000字节,启动。免疫墙路由器监控中心马上报警,"已拦截的IP分片:",IP分片攻击数据被免疫驱动拦截,网络运行正常。
洪水攻击
使用阿拉丁等大流量攻击软件,将发包频率调高,启动。免疫墙路由器监控中心报警"公网大量上传:",洪水攻击定位准确,并根据分组带宽设置进行了拦截。
我们仅对目前较流行的攻击方式进行了测试,免疫墙路由器的网络没有受到任何影响,而且准确定位了攻击源。企业网络整体管理第一次通过路由器达到了真正完整全面的效果。
免疫墙路由器的管理性
除了强大的安全特性以外,免疫墙路由器的管理性能也非常强大,对每个终端的时时监控是其管理性的最大特点,这一点前面已经介绍过了。在细节方面,免疫墙路由器也独具匠心。例如前面所说的分组管理策略,除了可以为每个分组的成员制定不同的带宽分配、上网行为管理以外,备受网管青睐的一个功能是动态的智能带宽管理。
该智能带宽管理打破了传统的按照固定分配带宽和群组分配带宽的模式,独创性的采用了弹性带宽管理,暨按照在线的电脑数量以及每个WAN口的实际带宽来动态分配带宽资源,这不仅仅可以避免某个用户大量使用带宽而影响正常上网的用户,而且还可以给某些使用少量带宽的用户少分配一些,把资源赋予带宽需求量大的用户,按照应用的不同调整带宽分配,可以有效节省昂贵的带宽租用费用。如图所示:
综合评价
欣向的免疫墙路由器的创新之处在于利用在终端安装驱动,在服务器上安装监控中心的方式,达到了对企业中的每一个终端进行有效的管理。这种策略不仅仅使得终端的管理可操作性大大增强,还让企业中的网管员非常直观、方便的管理企业的网络。在安全性方面对企业网络中常见的ARP攻击、PING包、虚拟MAC地址欺骗等不安全因素进行了有效的遏制,将上网行为管理功能嵌入到路由器的功能当中,利用分组策略来分配网络资源,以及动态的智能带宽管理,都非常符合企业中的实际应用环境,加上其具有高度竞争性的价格,是企业用户可以优先选择的一款高性价比路由器。