如何部署安全路由器

安全路由器这个词是Infonetics研究公司在2005年所提出来的，主要是指整合了以往防火墙或VPN网关功能，提供给企业应用的新类型路由器产品。在2006年的市场报告中，Infonetics指出2004到2005年全球安全路由器收入激增121%，出货量增长近两倍，整个市场由标准路由器向安全路由器过渡，未来路由器市场份额增长主要的拉动力量就是安全路由器。

安全路由器快速成长的原因是企业持续进行网络升级，由以往只要求连接，转而为寻找整合安全特性、QoS和支持VoIP的平台。在这个风潮之下，以往的路由器显得功能不足，具有防火墙、加密VPN、带宽管以及URL过滤等安全功能的路由器产品应运而生。思科所推出的ISR产品，在2005/2006年取得很大的成功，就是受这个风潮的影响。

但是Qno侠诺科技从各地的市场反应发现，安全路由器在过去几年主要针对较大型企业所提供，价位偏高，模块化的设计也使管理益为困难。在2007年开始，由于全国各地发生的网络攻击及网络升级，安全路由器的概念将正式进入中小企业的应用。Qno侠诺科技发现中国网络攻击，包括SYN及ARP攻击，有渐渐从网吧向企业漫延的现象。对于企业而言，购买独立的防火墙不但成本高昂，而且设定管理又很复杂，不如一次升级到适合的安全路由器，一次解决网络安全的问题，又能达到网络升级，为未来建置VPN及VoIP进行准备。侠诺综合市场上各式针对中小企业的安全路由器产品，整理了针对中小企业安全路由器的特色：

易于管理的界面：对于中小企业而言，往往没有专门的网管维护人员，因此易于管理的界面就很容易操作。很多网管都认为文字模式的管理界面，是给较高级产品的。其实不然，思科也在其ISP采用基于Web的直观设备管理工具SDM （Security Device Manager ），可见Web管理界面及直观配置的重要性。Qno侠诺全线产品自2004年采用Web管理界面及直观配置，也是近年来才受到企业用户的认同。

性价比高的网络芯片：为了整合多种功能以及进行功能的集成，以往的安全路由器往往采用高阶或是订制的网络芯片。这些芯片确实是功能强大，而且运作稳定，但相对高昂的成本价格及特殊的工作软件，也使产品整体的价格居高不下。这里带出了中小企业需求的第二个特点，那就是性价比要高，因为中小企业费用控制较严格，对高价产品接受度较低。而Qno侠诺科技产品所采用的Intel IXP系列网络处理器，由于采用厂家多，生产数量大，因此相对成本能压低，其价位可以作到中小企业较易接受。

适当的整合功能：网络芯片是网络产品的动力来源，由于价位的限制，因此中小企业只能追求较平价的处理器，要求的整合功能也较为有限，不会天马行空。也就是中小企业所要求的安全路由器，够用就好，而不会期望经由模块的弹性升级，持续增加新的功能。最好是现有的功能，足够未来二年的使用，价格又很合理。一般来说相对于以往数万元的安全路由器，现在很多数千元的安全路由器更受中小企业青睐。

强调防攻击及稳定运作：在近一年中国互联网上，前有BT、点点通下载软件，最近则有ARP、SYN攻击，对于宽带接入造成很大影响。相对于中毒、或是垃圾邮件等造成单机运作影响的网络安全威胁，中小企业更注重会造成全网掉线或是中止企业运作的防攻击及稳定功能。也就是强调路由器必须协助企业保持营运，而单机的安全则由单机负责。

安全路由器在大企业网络拓朴的角色，是在核心层上实现用户路由信息转发的安全控制，而在企业内网有其它专门安全设备配合针对特定安全事件进行管理，弥补了网络上有可能存在的网络安全漏洞，使得安全设备之间相得益彰，最大化的减少了网络安全事件的发生。对于中小企业及大型企业的分支机构来说，他们没有足够的资金和人员维护配置各种类型的安全设备，因此需求的产品概念和以往的安全路由器是不太一样的。中小企业应该根据自身的需求量身配置合适的安全路由器。安全路由器的分类一般可分为高性能安全路由器和VPN安全路由器，后者是指具有VPN功能，可让中小企业建置VPN。不过由于中小企业的要求差异不大，因此这二者要求的功能是近似的，只是后者多了VPN功能。

以笔者就Qno侠诺接触企业用户经验，列出中小企业用户较注重的安全路由器功能，提供有意购买读者参考：

基本配置：是否支持多线路？是否支持备援？是否支持不同ISP分流？是否支持DDNS？是否支持IP管理/群组管理？

配置及管理：是否支持Web界面？是否支持中文界面？是否支持远程接入/管理/报表/日志/流量统计等？

管理政策：是否支持用户群组管理？是否支持MAC/IP锁定？是否支持不合法MAC排除？

带宽控制：是否支持上网权限？是否支持带宽使用政策？是否支持带宽限制/联机数限制？是否能对BT下载及实时通等软件进行管理

防御功能：是否能防御蠕虫、ARP攻击、DoS、恶意攻击？是否能提供信息进行纠错？是否能协助找出攻击的来源？

警示功能：是否支持电子邮件警示？是否支持完整直观的日志？是否支持语音警示？是否支持短讯通知？

VPN建置：是否支持国际标准协议？是否很容易进行配置？是否能解决跨网VPN不稳定问题？是否能提供VPN备援？是否支持VPN汇聚？

以上种种功能，都是中小企业在考虑安全路由器时，常碰到的问题。以上各个功能在后文中笔者将会一一介绍。