路由器安全技術(shù)解析及產(chǎn)品選購(gòu)注意事項(xiàng)

隨著網(wǎng)絡(luò)應(yīng)用的普及和發(fā)展，網(wǎng)絡(luò)安全問題成為整個(gè)IT產(chǎn)業(yè)廣泛關(guān)注的問題。人們對(duì)網(wǎng)絡(luò)的可靠性、操作系統(tǒng)能否正常運(yùn)行、以及各種應(yīng)用軟件和系統(tǒng)設(shè)備是否會(huì)被病毒侵?jǐn)_或黑客攻擊的關(guān)注程度，超過了以往任何一個(gè)時(shí)代?？梢哉f，網(wǎng)絡(luò)安全問題已經(jīng)延伸到整個(gè)網(wǎng)絡(luò)體系結(jié)構(gòu)的任何一個(gè)層面。近兩年，防火墻、殺毒防毒軟件、入侵檢測(cè)和VPN產(chǎn)品的熱銷也說明了這一點(diǎn)?？墒牵@些安全系統(tǒng)并不能保證網(wǎng)絡(luò)系統(tǒng)的 整體安全。將防火墻與VPN加密技術(shù)應(yīng)用到路由器之中，使路由器成為一個(gè)新的安全設(shè)備，也成為一種新的安全解決之道，而這種設(shè)備就是安全路由器。
    其實(shí)安全路由器只是一個(gè)松散的產(chǎn)品概念，它通常是指集常規(guī)路由與網(wǎng)絡(luò)安全防范功能于一身的網(wǎng)絡(luò)安全設(shè)備。安全路由器大多在設(shè)計(jì)時(shí)強(qiáng)化了數(shù)據(jù)傳輸加密這一關(guān)鍵技術(shù)問題，增強(qiáng)了信息保護(hù)與數(shù)據(jù)加密性能，能夠有效檢測(cè)及防范各類攻擊事件的發(fā)生。
    安全路由器能夠提供常規(guī)路由器所不具備的，諸如IPSec協(xié)議支持、基于規(guī)則集的防火墻、基于OSPE V2路由協(xié)議的安全認(rèn)證、信息加密與分布式密鑰管理等功能；能夠?qū)崿F(xiàn)身份鑒別、數(shù)據(jù)簽名和數(shù)據(jù)完整性驗(yàn)證；能夠?qū)P數(shù)據(jù)包進(jìn)行智能加密，可提供安全VPN通道、抗源地址欺騙、抗源路由攻擊、抗極小數(shù)據(jù)和抗重疊分片的分組過濾功能及實(shí)現(xiàn)基于硬件的信息加密；能夠阻止非授權(quán)人員的入侵等。
    一般說來，具備IPSec（IP Security）協(xié)議支持、利用IPSec保證數(shù)據(jù)傳輸機(jī)密性與完整性，或能夠通過其他途徑獲得安全性能的路由器，都可以稱之為安全路由器。與常規(guī)路由器產(chǎn)品相比，安全路由器能夠提供常規(guī)路由器所不具備的IPSec協(xié)議支持、基于規(guī)則集的防火墻、基于OSPF V2路由協(xié)議的安全認(rèn)證、信息加密與分布式密鑰管理（通常采用IKE協(xié)議）等安全功能。
    由于安全路由器融合了路由交換和安全兩種功能，所以產(chǎn)品的性能勢(shì)必要受到影響。
    當(dāng)前市場(chǎng)上的安全路由器產(chǎn)品主要是用于中小用戶的安全接入產(chǎn)品，用戶對(duì)路由器的性能要求不是很高，
    在這種網(wǎng)絡(luò)中，它也可以成為整個(gè)網(wǎng)絡(luò)的核心設(shè)備，承擔(dān)網(wǎng)絡(luò)的路由轉(zhuǎn)發(fā)和安全防護(hù)雙向功能。
    滿足三方面安全
    從安全功能角度解釋，安全路由器應(yīng)該擔(dān)當(dāng)三個(gè)方面的安全功能：首先是網(wǎng)絡(luò)系統(tǒng)的安全。在整個(gè)網(wǎng)絡(luò)結(jié)構(gòu)中，即使網(wǎng)絡(luò)里配置了防火墻和IDS等安全設(shè)備，也不能完全保證整個(gè)網(wǎng)絡(luò)系統(tǒng)的安全。尤其是網(wǎng)絡(luò)中的黑客會(huì)篡改路由信息，或偽裝成路由器發(fā)送一些虛假信息，使網(wǎng)絡(luò)系統(tǒng)癱瘓。
    安全路由器網(wǎng)絡(luò)連接示意圖
    其次是路由器本身的安全。以前，多數(shù)的網(wǎng)絡(luò)安全問題出現(xiàn)在主機(jī)操作系統(tǒng)方面，各種漏洞和后門讓那些非法入侵者有機(jī)可乘。隨著網(wǎng)絡(luò)技術(shù)的普及和發(fā)展，越來越多的人對(duì)路由器技術(shù)有所了解，這樣使得路由器的安全漏洞呈現(xiàn)出來，從路由表到路由協(xié)議，成為新的安全隱患。所以保護(hù)路由器自身的安全就是安全路由器的一項(xiàng)重要功能了。
    第三是網(wǎng)絡(luò)信息的安全。安全路由器的加密模塊解決的就是這個(gè)問題，它要求路由器不但能夠正確地轉(zhuǎn)發(fā)信息，并且保證信息在網(wǎng)絡(luò)中傳輸?shù)乃矫苄?，不?huì)被人偷窺，從而保證了網(wǎng)絡(luò)信息的安全性。
    適用中小企業(yè)
    當(dāng)前安全路由器的產(chǎn)品形態(tài)和使用的關(guān)鍵技術(shù)主要有以下幾種：傳統(tǒng)的防火墻技術(shù)、VPN技術(shù)和加密技術(shù)。由于加入了安全功能，無疑會(huì)使路由器的路由轉(zhuǎn)發(fā)速度變慢，影響路由器的整體性能。對(duì)于這個(gè)問題，多數(shù)廠商采用了配置加速芯片的方法。但是，目前的整體效果并不很理想，這也是高端路由器不能完全采用安全模塊的原因。當(dāng)然，整體的技術(shù)也是在不斷發(fā)展的，隨著安全路由器的廣泛應(yīng)用，這個(gè)問題也會(huì)得到較為妥善的解決。
    由于安全路由器融合了路由交換和安全兩種功能，所以產(chǎn)品的性能勢(shì)必要受到影響。當(dāng)前市場(chǎng)上的安全路由器主要是用于中小用戶的安全接入產(chǎn)品。用戶對(duì)路由器的性能要求不是很高，在這種網(wǎng)絡(luò)中，它也可以成為整個(gè)網(wǎng)絡(luò)的核心設(shè)備，承擔(dān)網(wǎng)絡(luò)的路由轉(zhuǎn)發(fā)和安全防護(hù)雙向功能。凱創(chuàng)的技術(shù)經(jīng)理陳欣道出了安全路由器的生存空間，他認(rèn)為，安全路由器所使用的VPN技術(shù)，主要是針對(duì)擁有遠(yuǎn)程接入用戶的網(wǎng)絡(luò)環(huán)境設(shè)計(jì)的，尤其是網(wǎng)絡(luò)系統(tǒng)存在上聯(lián)出口和下聯(lián)出口的情況。比如，大企業(yè)的分支機(jī)構(gòu)和中小企業(yè)的核心網(wǎng)絡(luò)，它們既存在與上級(jí)公司網(wǎng)絡(luò)或Internet網(wǎng)絡(luò)的上聯(lián)出口安全問題，又要保證自己內(nèi)部網(wǎng)絡(luò)的安全，同時(shí)還必須兼顧遠(yuǎn)程接入用戶的網(wǎng)絡(luò)安全。而從整體來看，這種網(wǎng)絡(luò)對(duì)安全路由器的路由功能要求并不是特別苛刻，所以這種集接入、路由、VPN和防火墻于一體的設(shè)備就成為公司的首選。
    據(jù)了解，在國(guó)外的安全市場(chǎng)中，安全路由器已經(jīng)被廣泛應(yīng)用在許多行業(yè)中。隨著中小用戶對(duì)安全問題越來越多的關(guān)注，我國(guó)的應(yīng)用范圍也會(huì)逐漸擴(kuò)大。安全路由器的出現(xiàn)對(duì)于網(wǎng)絡(luò)的整體結(jié)構(gòu)來講并沒有產(chǎn)生非常大的變動(dòng)，由于安全路由器是一種邊緣接入路由器，所以對(duì)整個(gè)網(wǎng)絡(luò)尤其是主干網(wǎng)絡(luò)沒有多大的影響。對(duì)于中小用戶來講，新建的網(wǎng)絡(luò)就可以采購(gòu)安全路由器，因?yàn)樗瘞追N重要功能于一體，從管理成本的角度來說，肯定比管理多個(gè)產(chǎn)品要簡(jiǎn)單很多。當(dāng)然，產(chǎn)品的價(jià)格比普通路由器會(huì)有所提高，但仍然可以接受。
    選擇安全路由器的七點(diǎn)注意：
    1. 可靠性與線路安全：可靠性主要體現(xiàn)在接口故障和網(wǎng)絡(luò)流量增大兩種情況下，為此備份是路由器不可或缺的手段之一。當(dāng)主接口出現(xiàn)故障時(shí)，備份接口應(yīng)可以自動(dòng)投入工作。當(dāng)網(wǎng)絡(luò)流量增大時(shí)，備份接口又可承當(dāng)負(fù)載分擔(dān)的任務(wù)。
    2. 身份認(rèn)證：路由器中的身份認(rèn)證主要包括訪問路由器時(shí)的身份認(rèn)證、對(duì)端路由器的身份認(rèn)證和路由信息的身份認(rèn)證。
    3. 訪問控制：對(duì)于路由器的訪問控制，需要進(jìn)行口令的分級(jí)保護(hù)，有基于IP地址的訪問控制和基于用戶的訪問控制。
    4. 信息隱藏：與對(duì)端通信時(shí)，不一定需要用真實(shí)身份，通過地址轉(zhuǎn)換，可以隱藏網(wǎng)內(nèi)地址。除了由內(nèi)部網(wǎng)絡(luò)首先發(fā)起的連接，網(wǎng)外用戶不能通過地址轉(zhuǎn)換直接訪問網(wǎng)內(nèi)資源。
    5. 數(shù)據(jù)加密。
    6. 攻擊探測(cè)和防范。
    7. 安全管理。