在目前经济形势仍然不见明显好转的情况下，企业特别是小型企业对于IT投资变得极其慎重。小企业对IT的主要需求集中在解决眼前急迫的生存问题上，明显有别于更多关注长期效益、无形效益、战略和管控等问题的大企业。企业决策层希望以最经济、最实用的方式进行IT投资。

　　但是，部署在企业网络上的应用并不会因为预算的大幅度压缩而减少，有关统计数据表明，目前在东部发达地区的中小企业信息化正在逐步向纵深发展，中小企业互联网接入的普及程度已近饱和，宽带接入日渐普及。在互联网应用上，已从前期的电子邮件和商业信息搜寻，逐步扩展到通过网络发布信息、商务采购、寻找潜在客户和市场、销售商品和提供服务、网络电话及传真、视频会议、获取订单、实现支付等一系列功能。

　　原本已经不堪重负的企业网络，受到了诸如ARP攻击等安全问题的严重考验。同时，还要监督、管理员工上网行为，分析、充分利用有限的网络带宽等新的要求。犹如遭遇数十年来最严重衰退的全球经济，在“甲型H1N1流感(猪流感)”的侵袭下更是雪上加霜，在不断的挑战小企业网络管理员的神经。

　　如何在有限的预算下，规划、部署一个令公司各方都比较满意、管理起来更加方便，大大减轻网管员工作量的网络环境呢?挑选合适的网络设备最为重要。我们从小企业网络中的常见问题入手，讨论如何选择非常好的的设备。

　　首先，是如何防范ARP攻击等安全问题。

　　ARP欺骗的目的就是为了实现全交换环境下的数据监听，大部分的木马或病毒使用ARP欺骗攻击也是为了达到这个目的，局域网内一旦有ARP的攻击存在，会欺骗局域网内所有主机和网关，让所有上网的流量必须经过ARP攻击者控制的主机。其他用户原来直接通过网关上网，现在却转由通过被控主机转发上网。由于被控主机性能和程序性能的影响，这种转发并不会非常流畅，因此就会导致用户上网的速度变慢甚至频繁断线。另外ARP欺骗需要不停地发送ARP应答包，会造成网络拥塞。

　　因此，防范ARP的攻击可以从主机和网关两个方面入手，最简单的解决办法就是为局域网内的每个电脑安装软件防火墙，但是事实证明，很多情况下只能看到每次的ARP攻击，并不能真正的拦截成功，网络依然拥塞。或者通过IP地址与MAC地址绑定的方式，一旦发现网内的ARP攻击，可以手工排查到中毒的机器，从而手工杀毒。但是这种方式一方面仅仅适合于公司电脑不多的情况，一方面也大大增加了网管的工作量，实在是不得已而为之的方法。

　　第二种方法就是安装单独的硬件防火墙。但是硬件防火墙国际品牌价格动辄上万甚至几十万，较便宜的国产品牌往往也有大几千元，最便宜的也超过1000元。如果公司预算充裕，这当然是最好的解决办法，但是如果公司预算少，特别是在现今的经济条件下，本着为公司节省成本的目的，解决ARP攻击，从网关入手是比较实际和实惠的方法。

　　未知的事物是最可怕的，虽然目前ARP攻击十分令人头疼，但是ARP攻击却有其致命的缺陷，就是它的存在原理：ARP工作时，首先请求主机发送出一个含有所希望到达的IP地址的以太网广播数据包，然后目标IP的所有者会以一个含有IP和MAC地址对的数据包应答请求主机。这样请求主机就能获得要到达的IP地址对应的MAC地址，同时请求主机会将这个地址对放入自己的ARP表缓存起来，以节约不必要的ARP通信。ARP缓存表采用了老化机制，在一段时间内如果表中的某一行没有使用，就会被删除。

　　可见，ARP表是ARP攻击存在的基础，如果没有了ARP表，ARP攻击自然就成了无源之水，无根之木了。因此，一些有远见的厂家根据ARP攻击的这个特点，抛弃了网关中的ARP表，采用了PPPoE的上网方式，从而在根源上杜绝了ARP攻击的产生基础。

　　PPPoE，全名(point to point protocal over Ethernet)，是PPP协议在以太网中的完美结合。因为PPPoE不使用ARP协议，也就不会产生ARP信息，彻底杜绝了目前网络上无所不在的ARP攻击。并且PPPoE组网不会改变原来的局域网拓扑结构，极大简化了网管人员的工作量。因此，在目前很多高端的网络安全产品中均采用了该协议来提高网络的安全性。

　　目前市面上绝大多数具有PPPoE协议的网络安全产品都在万元以上，显然并不适用小企业购买使用。但是，市场上也存在着采用PPPoE协议的网关/路由器产品，它们在性价比方面非常适合中小企业、SOHO和社区网络使用。艾泰科技的HiPER 841和HiPER 811产品就是其中的代表作。

　　HiPER 841四WAN智能宽带网关/路由器

　　HiPER 841是四WAN口的智能宽带网关/路由器，适合于多ADSL接入的小型企业、网吧、宽带社区等机构。它采用Intel IXP 533MHz CPU硬件核心，使用艾泰科技自主研发的ReOS网络操作系统，融合上网行为管理、网络安全管理、网络维护管理于一身，除具备智能NAT、防火墙、带宽管理、IP/MAC绑定、业务管理等宽带路由器常见的功能之外，还具备安全性强、易用性好、性价比高等突出特点。

　　HiPER 811智能宽带网关/路由器

　　HiPER 811智能宽带网关/路由器同样适用于小型、SOHO企业、宽带社区等机构，采用Intel IXP 533MHz CPU硬件核心、 ReOS网络操作系统， HiPER 811支持IPSec、L2TP以及PPTP等多种形式的VPN功能，可以通过Site-to-Site或远程拨号的多种方式建立互联互通的VPN网络。

　　HiPER 811和HiPER 841除了本身是采用的PPPoE协议，不会被ARP攻击外，还提供了解决局域网内其他终端ARP攻击的方法，这两款产品的管理界面中都有一个系统状态的菜单，里面包括用户统计、接口统计、NAT统计等多种方式，从中可以查询内网主机的数据收发情况，对于正常的上网行为来说，数据应该是有收有发的;若发现某主机发送数据包很大，接收基本为0，则基本可以断定该主机中毒，反之亦然。若某主机广播包计数很大，也可以断定该主机中毒(当该主机在运行某些特殊程序除外)。

　　通过接口统计，可以查询路由器各物理接口的数据包收发情况，正常情况下，路由器各接口的数据收发以及平均速率状态应该为：lan /in=wan/out wan/in=lan/out

　　例如：wan/in方向平均速率很大，lan/out速率很小，基本可以确定为外网攻击;若lan/in方向速率很大，wan/out很小，则基本可以确定为内网攻击。

　　通过这些功能，网管可以直观、迅速的定位网内ARP攻击，从而在最短的时间内解决。

　　例如下面的图片：

　　艾泰科技的HiPER 841和HiPER 811除了有效解决ARP攻击外，可以设置了其他的常见安全功能。如下：

　　其次，是如何管理员工的上网行为，有效利用带宽资源。

　　上网行为管理是近几年才兴起的一种新的网络管理需求，这是随着企业应用互联网范围的扩大和对网络的依赖造成的。其表现形式为网速越来越慢，企业为增加带宽付出了巨大的成本;由于内部员工导致的网络安全事故不断出现;员工利用公司网络进行和工作无关的事情等等。这些行为导致了企业对自身网络合理利用的强烈需求。例如，有关统计数据表明，在企业网中，以迅雷、BT、电驴等为代表的P2P应用，消耗了40%以上的有效网络带宽。而在企业租用的有限带宽里，充斥着大量P2P下载、网络电视等应用流量，导致大量带宽被非工作应用所占用。而且，由于P2P的应用特征，使得企业高额投资的带宽成了互联网公共服务。

　　企业对规范员工的上网行为的强烈需求甚至催生了专业的上网行为管理设备，但是，与硬件防火墙类似，这种专业的上网行为管理设备价格很高，绝大部分都超过了万元，显然，并不适合小企业使用。

　　其实，对于小企业来说，网络承担的业务并不是很复杂，员工的上网行为管理起来也并不是很麻烦，用多功能的路由器中带的管理功能，则完全可以满足这些需求。

　　常见的上网行为管理采用的策略一般有2种方式： 1、通过封锁特定应用的网络服务器IP，达到应用无法连接到服务器的目的，实现行为封锁。2、通过协议分析识别上网行为身份，进行特定协议的拦截，实现行为封锁。

　　这两种方式各有优缺点，艾泰选择的是第一种方式，实现起来较为简单，而且对路由器的性能损耗最小。并且当网络中特定应用添加或变更服务器IP时，艾泰科技路由器可以迅速更新策略库。

　　第二种方式是采用协议分析的方式，直接分析网络数据协议，效果彻底。但是对于路由器的性能损失比较大，并且市面上的路由器大部分都不支持。

　　艾泰科技的HiPER 841和HiPER 811则充分考虑到了小企业网络的应用状况，以及小企业网管的技术状况，提供了简单方便的管理员工的上网行为、有效利用带宽的功能，行为管理的两种技术方式结合使用。如下图是对URL的过滤，可以非常简单方便的对某一类网站或者网站群进行策略控制。

　　　　例如，在管理界面中，有“上网监控”的菜单，如下。

　　在这个界面中，可以对内网所有上网行为进行查询，每一条NAT会话的源地址、源端口、目的地址、目的端口、协议等一目了然，若是内网病毒主机发起的NAT会话，在该页面也可以很显示地表示出来。

　　在“带宽信用管理信息列表”中，网管可以很方便地查看某一时刻内网主机的上传及下载速度，可以大致判断出该主机的上网行为。

　　HiPER 841和HiPER 811的价格

　　不买贵的，只买对的，是小企业采购设备的法则。即使性能再优越，如果没有合适的价格，也不会被纳入小企业的采购预算中。HiPER 841和HiPER 811则真正做到了物美价廉，除了上述的优秀性能之外，其价格也十分令人动心：HiPER 841的报价只有1600元左右，HiPER 811则更是千元以下，报价999元!

　　最新的报价和经销商联系方式可以查询IT168报价中心：http://product.it168.com/list/b/index.aspx?typeid=0409&brandid=2660&BackUrl=http://product.it168.com/list/b/04092660_1.shtml&RefUrl=http%3A%2F%2Fproduct.it168.com%2Fdetail%2Fdoc%2F212589%2Fprice.shtml