电脑技术学习

性能与安全并重 路由与安全的联姻

dn001

  在网络形成的初期,网络间路由的功能只是由计算机来完成的。随着网络的不断发展,路由功能由单独的路由器来实现了。当初这个不起眼的小家伙发展到现在已经成为不可或缺的网络庞然大物,指挥着网络中的各种交通流。但是随着网络的日益复杂,路由器不应仅担当基本的路由转发角色了,其角色正在逐渐转变成类似于瑞士军刀的角色—可以身兼多职,从而将网络的“污垢之水”阻挡于第一道门户之外,使人们更加享受网络带来的种种便利。
  
  路由器加强安全功能的原因
  内置安全功能的路由器可以说是因为网络应用的不断扩展而产生的,同时,随着网络病毒及黑客攻击现象的不断发生,假如不在接入层实现有效的病毒控制,那么病毒和黑客攻击就会迅速蔓延到网络内部,对网络造成较大的危害。例如,有些攻击方式通过发送虚假路由信息,导致路由器混乱从而造成网络瘫痪,或者攻击者通过改变自己的IP地址来伪装成内部网用户或可信任的外部网络用户,发送特定的报文以扰乱正常的网络数据传输,或者伪造一些可接受的路由报文来更改路由信息,以窃取信息。以上的原因使得在路由器上加强安全措施显得尤为紧迫。
  
  上海博达数据通信有限公司产品经理商鹏飞表示,由于网络应用的普及,政府及金融等机构对互联网了解的增多、黑客通过向路由器发送错误路由信息而使路由器瘫痪,达到了攻击网络的目的。此外,网络设备的同质化现象非常严重,各个厂商为了吸引客户,也不同程度的在路由器中加入了各种安全功能。
  
  思科公司工程师李涛也从用户应用需求方面表达了对这个问题的看法,他认为由于用户希望安装和配置尽可能少的设备和电缆。因此,一个内置安全功能的路由器可有助于节约空间和提高可靠性,减少了部署和治理所需的时间和开支,因为构建一个解决方案所需要的独立设备的数量大为减少,简化了企业对于IT设备的支持服务。
  
  上述催化剂推动了路由器加强安全功能的进程,使得路由器产品更加成熟,支起了网络安全的一片天。
  
  内置安全功能对于用户的意义
  当防火墙等安全设备出现时,改变了人们治理网络的思维方式。例如当网络之间的两台主机Ping不通时,以我们的传统思维来说,可能是基于设备之间物理连接出现了问题,但是防火墙也可能阻断了设备之间的流量。同样对于内置安全功能的路由器来说,也在改变着人们的工作方式。对于中小企业及大型企业的分支机构来说,他们没有足够的资金和人员维护配置各种类型的安全设备,因此配置安全功能或各种安全模块的路由器非常适合他们,达到了节省资金与人员的目的。例如,目前网络运行治理主要依据不同的设备类型及专业子网来安排维护人员,这种方法不论对提高整体服务水平还是对控制运行维护成本来说都是不利的。网络上安全设备分散,一旦故障发生,各维护组很难清楚进行责任定位,同时又要专门询问各类治理人员,让人疲于奔命,从而造成故障周期冗长。此外,各个安全设备的数据不能有效的共享。内置安全功能的路由器的出现,使人们在同一个设备上就可以实现安全治理的功能。目前的低端路由器主要以软件方式实现安全功能,高端路由器可以插入各种安全模块。
  
  而对于大型企业来说,他们完全有能力配置各种类型的安全设备,例如防火墙与IDS等,加入一定安全功能的路由器可以在核心层上实现用户路由信息转发的安全控制,而在企业内网有其他专门安全设备配合针对特定安全事件进行治理,弥补了网络上有可能存在的网络安全漏洞,使得安全设备之间相得益彰,最大化的减少了网络安全事件的发生。
  
  总的来说,对于用户而言,内置安全功能路由器可与其他专业网络安全设备防火墙、IDS、防病毒和VPN配合使用,保证了网络系统的整体安全,实现了让员工随时随地接入企业网络进行无缝办公,以及在网络设备的投资上,进行合理的投入而获取最大的效率。
  
  迈向集成性的路由器
  路由器发展的历史类似于PC主板的发展。PC主板在当初是不集成显卡等功能的,然而发展到现在,PC主板已经集成了越来越多的功能,包括声卡、显卡和USB接口等,可以使人们更加易于治理与配置。同样,路由器不再单单承担一个路由转发的任务。企业需要能在安全的网络上传输融合语音、视频和数据流量的“三网合一”的基础设施。Juniper收购网络安全厂商Netscreen,也从侧面说明了网络设备公司正在加强自身网络设备的安全性。并且Juniper也在其产品中集成了VPN产品、逻辑接口细粒度QoS、基于硬件的IPv6 NAT、状态型防火墙等安全功能。此外,在不影响企业现在和未来部署的多服务应用的情况下,还必须适合多方面的应用,假如仅仅是集成安全功能则显然是远远不够的。
  
  思科的李涛认为,路由器会朝着集成多业务的方向发展,也许过了许多年后,路由器这个名称会越来越模糊,这也是思科的发展理念。最近思科推出的ISR(整合服务路由器)产品也许就是一个明证,ISR产品将话音和网络安全功能集成到路由器中,此外嵌入式入侵保护系统(IPS)也被嵌入到了路由器当中。除内嵌安全性外,ISR产品还集成了话音服务,为电话服务提供了部署的灵活性,同时也在单一平台中提供了更高的数据和话音综合密度。而集成这么多功能,也不代表着易用性的下降,它们全部采用图形化界面治理,大大减化了人员的工作量。例如思科基于Web的直观设备治理工具SDM (Security Device Manager )能逐步指导用户完成路由器配置和安全配置工作流程,对LAN 和WAN 接口、防火墙和VPN进行系统化的配置。
  
  也有人认为把过多的功能集成到一个设备中,当发生问题时,并不能很好地有针对性排查具体应用发生问题的根源,给解决问题造成了一定的困难。
  
  目前路由器所采用的主要安全技术