一、安全路由器源起 安全路由器這個詞是Infonetics市場研究公司在2005年所提出來的,主要是指整合了以往在防火墻或VPN網關功能,提供給企業應用的新型路由器產品。在2006年的市場報告中,Infonetics指出2004到2005年全球安全路由器收入激增121%,出貨量增長近兩倍,整個市場由標準路由器向安全路由器過渡,未來路由器市場份額增長主要的拉動力量就是安全路由器。
安全路由器快速成長的原因是企業持續進行網絡升級,由過去的只要求連接,轉而為尋找整合安全特性、QoS和支持VoIP的平臺。在這個風潮之下,以前的路由器顯得功能不足,具有防火墻、加密VPN、帶寬管理以及URL過濾等安全功能的路由器產品應運而生。思科所推出的ISR產品,在2005/2006年取得很大的成功,就是這個風潮的影響。
但是,Qno俠諾從各地的市場反應發現,安全路由器在過去幾年還是針對較大型企業所提供,價位偏高,模塊化的設計也使管理較為困難。另外,安全路由器在大企業網絡拓樸的角色,是在核心層上實現用戶路由信息轉發的安全控制,而在企業內網有其它專門安全設備配合針對特定安全事件進行管理,彌補了網絡上有可能存在的網絡安全漏洞,使得安全設備之間相得益彰,最大化的減少了網絡安全事件的發生。
二、安全路由器進入中小企業
在2007年開始,由于全國各地發生的網絡攻擊及持續進行的寬帶網絡升級,安全路由器的概念將正式進入中小企業的應用。Qno俠諾發現中國網絡攻擊,包括SYN及ARP攻擊,有漸漸從網吧向企業漫延的現象。對于企業而言,購買獨立的防火墻不但成本高昂,而且設定管理又很復雜,不如一次升級到適合的安全路由器,一次解決網絡安全的問題,又能達到網絡升級,為未來建置VPN及VoIP進行準備。
對于中小企業及大型企業的分支機構來說,他們沒有足夠的資金和人員維護配置各種類型的安全設備,因此需求的產品概念和以前的安全路由器是不太一樣的。Qno俠諾總合市場上各式針對中小企業的安全路由器產品,總結并整理出了主要針對中小企業安全路由器的特色:
l 容易管理的界面:對于中小企業而言,由于沒有專門的網管維護人員,因此容易管理的界面是最好不過的選擇。很多網管都認為文字模式的管理界面,是給較高級產品的。但是,連思科也在其ISP采用基于Web的直觀設備管理工具SDM (Security Device Manager ),可見Web管理界面及直觀配置的重要。Qno俠諾全線產品自2004年采用Web管理界面及直觀配置,也是近年來才受到企業用戶的認同。
l 性價比高的網絡芯片:為了整合多種功能,及進行功能的集成,以前的安全路由器通常采用高階或是訂制的網絡芯片。這些芯片的確是功能強大,而且運作穩定,但相對的高昂的價格及特殊的管理軟件,使得產品整體的價格居高不下。這帶出了中小企業需求的第二個特點,就是性價比要高,因為中小企業費用控制較嚴格,對于高價產品接受度較低。例如Qno俠諾產品所采用的Intel IXP系列網絡處理器,由于采用廠家多,生產數量大,因此相對成本能壓低,相對可以作到中小企業較易接受的價位。
l 適當的整合功能:網絡芯片是網絡產品的動力來源,由于價位的限制要求較平價的處理器,因此中小企業要求的整合功能較為有限,不會天馬行空。也就是中小企業對于安全路由器的要求的是夠用就好,而不會希望通過模塊的彈性升級,持續增加新的功能。最好是現有的功能,足夠未來兩年內的使用,價格合理即可。一般來說相對于以前數萬元的安全路由器,現在大多數千元的安全路由器更能讓中小企業接受。
l 強調防攻擊及穩定運作:在近一年中國互聯網上,前有BT、點點通下載軟件的,最近則有ARP、SYN攻擊,對于寬帶接入造成很大影響。相對于中毒、或是垃圾郵件等造成單機運作影響的網絡安全威脅,中小企業更注重會造成全網掉線或是中止企業運作的防攻擊及穩定功能。也就是強調路由器必須協助企業保持營運,而單機的安全則由單機負責。
三、中小企業安全路由器功能面面觀
安全路由器的分類一般可分為高性能安全路由器和VPN安全路由器,后者是指具有VPN功能,可讓中小企業建置VPN。不過由于中小企業的要求差異不大,因此這二者要求的功能是近似的,只是后者多了VPN功能。筆者就以Qno俠諾接觸企業用戶經驗,列出中小企業用戶較注重的安全路由器功能,提供有意購買讀者參考:
l 基本配置:是否支持多線路?是否支持備援?是否支持不同ISP分流?是否支持DDNS?是否支持IP管理/群組管理?
l 配置及管理:是否支持Web界面;是否支持中文界面;是否支持遠程接入/管理/報表/日志/流量統計等
l 管理政策:是否支持用戶群組管理;是否支持MAC/IP鎖定;是否支持不合法MAC排除
l 帶寬控制:是否支持上網權限;是否支持帶寬使用政策;是否支持帶寬限制/聯機數限制;是否能對BT下載及實時通等軟件進行管理
l 防御功能:是否能防御蠕蟲、ARP攻擊、DoS、惡意攻擊;是否能提供信息進行糾錯;是否能協助找出攻擊的來源
l 警示功能:是否支持電子郵件警示;是否支持完整直觀的日志;是否支持語音警示;是否支持短訊通知
l VPN建置:是否支持國際標準協議;是否很容易進行配置;是否能解決跨網VPN不穩定問題;是否能提供VPN備援;是否支持VPN匯聚
以上種種功能,都是中小企業在考慮安全路由器時,常碰到的問題。未來筆者將會一一介紹以上各個功能。
(新聞稿 2007-01-23)