随着网络应用的普及和发展,网络安全问题成为整个IT产业广泛关注的问题。人们对网络的可靠性、操作系统能否正常运行、以及各种应用软件和系统设备是否会被病毒侵扰或黑客攻击的关注程度,超过了以往任何一个时代。
可以说,网络安全问题已经延伸到整个网络体系结构的任何一个层面。近两年,防火墙、杀毒防毒软件、入侵检测和VPN产品的热销也说明了这一点。可是,这些安全系统并不能保证网络系统的整体安全。将防火墙与VPN加密技术应用到路由器之中,使路由器成为一个新的安全设备,也成为一种新的安全解决之道,而这种设备就是安全路由器。 其实安全路由器只是一个松散的产品概念,它通常是指集常规路由与网络安全防范功能于一身的网络安全设备。安全路由器大多在设计时强化了数据传输加密这一关键技术问题,增强了信息保护与数据加密性能,能够有效检测及防范各类攻击事件的发生。 安全路由器能够提供常规路由器所不具备的,诸如IPSec协议支持、基于规则集的防火墙、基于OSPE V2路由协议的安全认证、信息加密与分布式密钥管理等功能;能够实现身份鉴别、数据签名和数据完整性验证;能够对IP数据包进行智能加密,可提供安全VPN通道、抗源地址欺骗、抗源路由攻击、抗极小数据和抗重叠分片的分组过滤功能及实现基于硬件的信息加密;能够阻止非授权人员的入侵等。 一般说来,具备IPSec(IP Security)协议支持、利用IPSec保证数据传输机密性与完整性,或能够通过其他途径获得安全性能的路由器,都可以称之为安全路由器。与常规路由器产品相比,安全路由器能够提供常规路由器所不具备的IPSec协议支持、基于规则集的防火墙、基于OSPF V2路由协议的安全认证、信息加密与分布式密钥管理(通常采用IKE协议)等安全功能。 由于安全路由器融合了路由交换和安全两种功能,所以产品的性能势必要受到影响。 当前市场上的安全路由器产品主要是用于中小用户的安全接入产品,用户对路由器的性能要求不是很高, 在这种网络中,它也可以成为整个网络的核心设备,承担网络的路由转发和安全防护双向功能。 满足三方面安全 从安全功能角度解释,安全路由器应该担当三个方面的安全功能:首先是网络系统的安全。在整个网络结构中,即使网络里配置了防火墙和IDS等安全设备,也不能完全保证整个网络系统的安全。尤其是网络中的黑客会篡改路由信息,或伪装成路由器发送一些虚假信息,使网络系统瘫痪。
安全路由器网络连接示意图 其次是路由器本身的安全。以前,多数的网络安全问题出现在主机操作系统方面,各种漏洞和后门让那些非法入侵者有机可乘。随着网络技术的普及和发展,越来越多的人对路由器技术有所了解,这样使得路由器的安全漏洞呈现出来,从路由表到路由协议,成为新的安全隐患。所以保护路由器自身的安全就是安全路由器的一项重要功能了。 第三是网络信息的安全。安全路由器的加密模块解决的就是这个问题,它要求路由器不但能够正确地转发信息,并且保证信息在网络中传输的私密性,不会被人偷窥,从而保证了网络信息的安全性。 适用中小企业 当前安全路由器的产品形态和使用的关键技术主要有以下几种:传统的防火墙技术、VPN技术和加密技术。由于加入了安全功能,无疑会使路由器的路由转发速度变慢,影响路由器的整体性能。对于这个问题,多数厂商采用了配置加速芯片的方法。但是,目前的整体效果并不很理想,这也是高端路由器不能完全采用安全模块的原因。当然,整体的技术也是在不断发展的,随着安全路由器的广泛应用,这个问题也会得到较为妥善的解决。
由于安全路由器融合了路由交换和安全两种功能,所以产品的性能势必要受到影响。当前市场上的安全路由器主要是用于中小用户的安全接入产品。用户对路由器的性能要求不是很高,在这种网络中,它也可以成为整个网络的核心设备,承担网络的路由转发和安全防护双向功能。
凯创的技术经理陈欣道出了安全路由器的生存空间,他认为,安全路由器所使用的VPN技术,主要是针对拥有远程接入用户的网络环境设计的,尤其是网络系统存在上联出口和下联出口的情况。比如,大企业的分支机构和中小企业的核心网络,它们既存在与上级公司网络或Internet网络的上联出口安全问题,又要保证自己内部网络的安全,同时还必须兼顾远程接入用户的网络安全。而从整体来看,这种网络对安全路由器的路由功能要求并不是特别苛刻,所以这种集接入、路由、VPN和防火墙于一体的设备就成为公司的首选。 据了解,在国外的安全市场中,安全路由器已经被广泛应用在许多行业中。随着中小用户对安全问题越来越多的关注,我国的应用范围也会逐渐扩大。安全路由器的出现对于网络的整体结构来讲并没有产生非常大的变动,由于安全路由器是一种边缘接入路由器,所以对整个网络尤其是主干网络没有多大的影响。对于中小用户来讲,新建的网络就可以采购安全路由器,因为它集几种重要功能于一体,从管理成本的角度来说,肯定比管理多个产品要简单很多。当然,产品的价格比普通路由器会有所提高,但仍然可以接受。 选择安全路由器的七点注意: 1. 可靠性与线路安全:可靠性主要体现在接口故障和网络流量增大两种情况下,为此备份是路由器不可或缺的手段之一。当主接口出现故障时,备份接口应可以自动投入工作。当网络流量增大时,备份接口又可承当负载分担的任务。 2. 身份认证:路由器中的身份认证主要包括访问路由器时的身份认证、对端路由器的身份认证和路由信息的身份认证。 3. 访问控制:对于路由器的访问控制,需要进行口令的分级保护,有基于IP地址的访问控制和基于用户的访问控制。
4. 信息隐藏:与对端通信时,不一定需要用真实身份,通过地址转换,可以隐藏网内地址。除了由内部网络首先发起的连接,网外用户不能通过地址转换直接访问网内资源。 5. 数据加密。 6. 攻击探测和防范。 7. 安全管理。