一、安全路由器源起
安全路由器这个词是Infonetics市场研究公司在2005年所提出来的,主要是指整合了以往在防火墙或VPN网关功能,提供给企业应用的新型路由器产品。在2006年的市场报告中,Infonetics指出2004到2005年全球安全路由器收入激增121%,出货量增长近两倍,整个市场由标准路由器向安全路由器过渡,未来路由器市场份额增长主要的拉动力量就是安全路由器。
安全路由器快速成长的原因是企业持续进行网络升级,由过去的只要求连接,转而为寻找整合安全特性、QoS和支持VoIP的平台。在这个风潮之下,以前的路由器显得功能不足,具有防火墙、加密VPN、带宽管理以及URL过滤等安全功能的路由器产品应运而生。思科所推出的ISR产品,在2005/2006年取得很大的成功,就是这个风潮的影响。
但是,Qno侠诺从各地的市场反应发现,安全路由器在过去几年还是针对较大型企业所提供,价位偏高,模块化的设计也使管理较为困难。另外,安全路由器在大企业网络拓朴的角色,是在核心层上实现用户路由信息转发的安全控制,而在企业内网有其它专门安全设备配合针对特定安全事件进行管理,弥补了网络上有可能存在的网络安全漏洞,使得安全设备之间相得益彰,最大化的减少了网络安全事件的发生。
二、安全路由器进入中小企业
在2007年开始,由于全国各地发生的网络攻击及持续进行的宽带网络升级,安全路由器的概念将正式进入中小企业的应用。Qno侠诺发现中国网络攻击,包括SYN及ARP攻击,有渐渐从网吧向企业漫延的现象。对于企业而言,购买独立的防火墙不但成本高昂,而且设定管理又很复杂,不如一次升级到适合的安全路由器,一次解决网络安全的问题,又能达到网络升级,为未来建置VPN及VoIP进行准备。
对于中小企业及大型企业的分支机构来说,他们没有足够的资金和人员维护配置各种类型的安全设备,因此需求的产品概念和以前的安全路由器是不太一样的。Qno侠诺总合市场上各式针对中小企业的安全路由器产品,总结并整理出了主要针对中小企业安全路由器的特色:
容易管理的界面:对于中小企业而言,由于没有专门的网管维护人员,因此容易管理的界面是最好不过的选择。很多网管都认为文字模式的管理界面,是给较高级产品的。但是,连思科也在其ISP采用基于Web的直观设备管理工具SDM (Security Device Manager ),可见Web管理界面及直观配置的重要。Qno侠诺全线产品自2004年采用Web管理界面及直观配置,也是近年来才受到企业用户的认同。
性价比高的网络芯片:为了整合多种功能,及进行功能的集成,以前的安全路由器通常采用高阶或是订制的网络芯片。这些芯片的确是功能强大,而且运作稳定,但相对的高昂的价格及特殊的管理软件,使得产品整体的价格居高不下。这带出了中小企业需求的第二个特点,就是性价比要高,因为中小企业费用控制较严格,对于高价产品接受度较低。例如Qno侠诺产品所采用的Intel IXP系列网络处理器,由于采用厂家多,生产数量大,因此相对成本能压低,相对可以作到中小企业较易接受的价位。
适当的整合功能:网络芯片是网络产品的动力来源,由于价位的限制要求较平价的处理器,因此中小企业要求的整合功能较为有限,不会天马行空。也就是中小企业对于安全路由器的要求的是够用就好,而不会希望通过模块的弹性升级,持续增加新的功能。最好是现有的功能,足够未来两年内的使用,价格合理即可。一般来说相对于以前数万元的安全路由器,现在大多数千元的安全路由器更能让中小企业接受。
强调防攻击及稳定运作:在近一年中国互联网上,前有BT、点点通下载软件的,最近则有ARP、SYN攻击,对于宽带接入造成很大影响。相对于中毒、或是垃圾邮件等造成单机运作影响的网络安全威胁,中小企业更注重会造成全网掉线或是中止企业运作的防攻击及稳定功能。也就是强调路由器必须协助企业保持营运,而单机的安全则由单机负责。
三、中小企业安全路由器功能面面观
安全路由器的分类一般可分为高性能安全路由器和VPN安全路由器,后者是指具有VPN功能,可让中小企业建置VPN。不过由于中小企业的要求差异不大,因此这二者要求的功能是近似的,只是后者多了VPN功能。笔者就以Qno侠诺接触企业用户经验,列出中小企业用户较注重的安全路由器功能,提供有意购买读者参考:
基本配置:是否支持多线路?是否支持备援?是否支持不同ISP分流?是否支持DDNS?是否支持IP管理/群组管理?
配置及管理:是否支持Web界面;是否支持中文界面;是否支持远程接入/管理/报表/日志/流量统计等
管理政策:是否支持用户群组管理;是否支持MAC/IP锁定;是否支持不合法MAC排除
带宽控制:是否支持上网权限;是否支持带宽使用政策;是否支持带宽限制/联机数限制;是否能对BT下载及实时通等软件进行管理
防御功能:是否能防御蠕虫、ARP攻击、DoS、恶意攻击;是否能提供信息进行纠错;是否能协助找出攻击的来源
警示功能:是否支持电子邮件警示;是否支持完整直观的日志;是否支持语音警示;是否支持短讯通知
VPN建置:是否支持国际标准协议;是否很容易进行配置;是否能解决跨网VPN不稳定问题;是否能提供VPN备援;是否支持VPN汇聚
以上种种功能,都是中小企业在考虑安全路由器时,常碰到的问题。未来笔者将会一一介绍以上各个功能。