解析安全路由 企业边界网络的守护神

　　IPSec:实现全面安全

　　隧道加密和安全的路由协议从数据层和控制层确保了网络的安全。而目前很多路由器厂商在产品中提供的多是IPSec协议。

　　IPSec协议套件是为Internet上用户数据传输提供安全保障的一整套方案。整个套件包括多个标准，其中有规定对数据报文进行封装的各种格式的标准; 有对报文进行加密和附加认证信息所采用算法的各种标准; 有规定IP协议栈如何处理报文、对报文实施安全策略的标准。除此之外，还定义了密钥交换协议IKE，来为通信双方协商密钥。

　　IPSec为报文传输提供的安全机制是通过安全联盟(SA，Security Association)实现的。对什么样的报文采用什么样的安全措施，是由安全策略(SP，Security Policy)决定的。通过定义安全策略和配置相应的SA，可以实现VPN和防火墙的功能。

　　随着下一代网络IP协议标准的制定，IPv6也被加入了安全功能。IPv6弥补了IPv4在很多设计上的缺陷，增加了新的功能。它要求任何实现IPv6的路由器都必须强制实现IPSec，所以一旦IPv6开始部署，其路由器必定具备一定的安全功能。

　　多种思路发展安全路由器

　　众多路由器厂商对于是否在路由器中添加功能已经达成了共识，越来越多的路由器都具有了一定的安全功能。目前，市场上的安全路由器产品一般分成具有VPN、防火墙或配置加密卡的方式，其产品的功能和性能也就各不相同。可以说如何提供一个安全的网络建设方案，已经成为各大厂商争夺市场的筹码，Radius(防止未经授权的访问)，PPTP(提供VPN服务)，Kerberos(通过第三方提供的认证服务来确认用户的身份)，IPSec/IKE，访问控制列表(ACL)等技术的引入，成为网络安全非常重要的一个部分。另外还有一些厂商将防火墙与VPN的功能作为一个安全模块加入到路由器当中。

　　众多厂商采用VPN技术是因为它为用户提供了一种通过公用网络安全地对企业内部专用网络进行远程访问的连接方式。它采用隧道作为传输通道，这个隧道是建立在公共网络或专用网络基础之上的，如Internet或Intranet。搭建VPN的目的在于解决隐秘数据在公共网络或专有网络上传输时安全性较低的问题，非常特别适合远程办公的分支机构与总部进行信息互连，很多安全路由器都针对这方面的需求作了加强。

　　防火墙主要用来防止不安全数据、恶意数据和非法数据流入某个内部网络，可以在很大程度上降低子网被攻击的可能性，所以，支持防火墙功能，成为面向接入的路由器的重要功能之一。

　　一些路由器厂商从安全加密角度对路由器进行加密，成为安全加密路由器。从技术角度来说，加密是一个完整的流程，相对不加密来说，必然要附加一些动作，因此，效率的降低也是必然的,所以会对路由器的整体性能产生影响。而厂家在设计产品时也考虑到了这一层，因此在产品中安装了加速卡，在保密和效率之间进行了有效的平衡。

　　专用区别通用

　　安全路由器是在通用路由器上配置了具有特殊安全功能的专用路由器。

　　与通用的路由器相比，它采用了一些新的安全技术，最突出的就是将IPSec协议标准融入到产品中。另外，安全路由器内置了传统的VPN和防火墙技术，具有包过滤功能，使流经路由器的信息更加安全可靠。一些安全路由器还在产品中加装了专用的加密卡，提供密钥交换技术和身份认证功能，弥补了通用路由器的不安全性问题。

　　　　从两者在网络中的工作位置来看，通用路由器主要是承担路由包的转发功能，相比之下，由于加入了安全功能，所以安全路由器的路由性能要求不像通用路由器那样高。因此，市场上的安全路由器主要是为中小型网络和大型网络的分支机构设计的，它属于边缘接入路由器。