安全路由器的設(shè)置也是很簡(jiǎn)單的，但我們也要特別注意一些細(xì)節(jié)，保證我們的網(wǎng)絡(luò)更加安全穩(wěn)定。目前，越來(lái)越多的政府機(jī)關(guān)和企業(yè)在網(wǎng)絡(luò)上建立網(wǎng)站來(lái)進(jìn)行對(duì)外宣傳，既能體現(xiàn)出快速的時(shí)效性，又能展示自身的風(fēng)采，受到非常多的好評(píng)和肯定。但是，更嚴(yán)峻的網(wǎng)絡(luò)安全問(wèn)題，就顯得至關(guān)重要了。許多政府機(jī)關(guān)及企業(yè)都安裝了防火墻來(lái)保證網(wǎng)絡(luò)服務(wù)器的安全，以為這樣就能夠高枕無(wú)憂了，但是卻忽視了站在最前沿的 "門戶"--安全路由器。

安全路由器是網(wǎng)絡(luò)系統(tǒng)的主要設(shè)備，也是網(wǎng)絡(luò)安全的前沿關(guān)口。實(shí)際上，安全路由器可以看作是一臺(tái)具有中央處理器、內(nèi)存、操作系統(tǒng)的計(jì)算機(jī)，將地理上分散的網(wǎng)絡(luò)連接在一起，實(shí)現(xiàn)它們之間的網(wǎng)絡(luò)通信。所以，安全路由器配置的是否正確、安全會(huì)對(duì)網(wǎng)絡(luò)的通暢起著舉足輕重作用。如果安全路由器連自身的安全都沒(méi)有保障，整個(gè)網(wǎng)絡(luò)也就毫無(wú)安全可言，很多黑客會(huì)利用安全路由器的漏洞發(fā)起攻擊，最后導(dǎo)致浪費(fèi)CPU周期，誤導(dǎo)信息流量，使網(wǎng)絡(luò)陷于癱瘓。因此在網(wǎng)絡(luò)安全管理上，必須對(duì)安全路由器進(jìn)行合理規(guī)劃、配置，采取必要的安全保護(hù)措施，避免因安全路由器自身的安全問(wèn)題而給整個(gè)網(wǎng)絡(luò)系統(tǒng)帶來(lái)漏洞和風(fēng)險(xiǎn)。在介紹安全路由器所采用的安全技術(shù)之前，先來(lái)了解一下網(wǎng)絡(luò)應(yīng)用環(huán)境對(duì)安全路由器提出的安全要求：

保密性：要求安全路由器保證信息在發(fā)送過(guò)程中不會(huì)被竊聽(tīng)，即使信息被竊聽(tīng)也不能被破譯。

可用性：要求安全路由器保證系統(tǒng)或系統(tǒng)資源可被授權(quán)用戶訪問(wèn)并按照需求使用的特性。

可控性：要求安全路由器根據(jù)需要對(duì)轉(zhuǎn)發(fā)信息進(jìn)行安全監(jiān)控，對(duì)可疑的網(wǎng)絡(luò)信息進(jìn)行分析、截留或其他處理。

及時(shí)性：要求安全路由器保證網(wǎng)絡(luò)信息能夠被及時(shí)轉(zhuǎn)發(fā)，不會(huì)因安全處理而使轉(zhuǎn)發(fā)時(shí)間超出限度。

抗攻擊性：要求安全路由器具有抵抗網(wǎng)絡(luò)攻擊的能力。

堵住安全漏洞

限制系統(tǒng)物理訪問(wèn)是確保安全路由器安全的最有效方法之一。限制系統(tǒng)物理訪問(wèn)的一種方法就是將控制臺(tái)和終端會(huì)話配置成在較短閑置時(shí)間后自動(dòng)退出系統(tǒng)。避免將調(diào)制解調(diào)器連接至安全路由器的輔助端口也很重要。一旦限制了安全路由器的物理訪問(wèn)，用戶一定要確保安全路由器的安全補(bǔ)丁是最新的。漏洞常常是在供應(yīng)商發(fā)行補(bǔ)丁之前被披露，這就使得黑客搶在供應(yīng)商發(fā)行補(bǔ)丁之前利用受影響的系統(tǒng)，這需要引起用戶的關(guān)注。

與專業(yè)防火墻相對(duì)應(yīng)的，除了安全路由外，還有軟件防火墻、UTM等產(chǎn)品，它們又如何呢？

軟件防火墻運(yùn)行于特定的計(jì)算機(jī)上，它需要客戶預(yù)先安裝好的計(jì)算機(jī)操作系統(tǒng)的支持，一般來(lái)說(shuō)這臺(tái)計(jì)算機(jī)就是整個(gè)網(wǎng)絡(luò)的網(wǎng)關(guān)。俗稱"企業(yè)/個(gè)人防火墻".軟件防火墻就像其它的軟件產(chǎn)品一樣需要先在計(jì)算機(jī)上安裝并做好配置才可以使用。防火墻廠商中做網(wǎng)絡(luò)版軟件防火墻最出名的莫過(guò)于Checkpoint.使用這類防火墻，需要網(wǎng)管對(duì)所工作的操作系統(tǒng)平臺(tái)比較熟悉。UTM（UnITed Threat Management）意為統(tǒng)一威脅管理，行業(yè)內(nèi)一般將防病毒、防火墻和入侵檢測(cè)等概念融合到被稱為統(tǒng)一威脅管理的新類別中，這類UTM設(shè)備集成了多種安全技術(shù)于一身，包括防火墻，虛擬專用網(wǎng)（VPN），入侵檢測(cè)和防御（IDP），網(wǎng)關(guān)防病毒等威脅管理安全設(shè)備，無(wú)需任何用戶軟件安裝，能有效的防御目前流行的混合型數(shù)據(jù)攻擊的威脅，能大大的提高了企業(yè)的安全和管理能力。

UTM集成包括防火墻、VPN、IDS/IPS、防病毒、防垃圾郵件、網(wǎng)址過(guò)濾、內(nèi)容過(guò)濾等多種功能于一體的安全設(shè)備，相比安全路由器來(lái)說(shuō)，功能比較強(qiáng)，但價(jià)格比較高；目前的UTM產(chǎn)品在多種功能同時(shí)運(yùn)行時(shí)，性能會(huì)大打折扣，作為集成網(wǎng)關(guān)，這將直接影響到用戶的業(yè)務(wù)應(yīng)用。對(duì)于安全設(shè)備來(lái)說(shuō)，穩(wěn)定性是尤其重要的，UTM軟件系統(tǒng)的復(fù)雜性帶來(lái)了穩(wěn)定性的損失和Bug的增加。UTM第三方廠商的軟件升級(jí)如病毒庫(kù)、URL庫(kù)、攻擊規(guī)則庫(kù)等每年都需要一筆不少的費(fèi)用，UTM規(guī)范性還需進(jìn)一步統(tǒng)一和加強(qiáng)，以推動(dòng)UTM市場(chǎng)的進(jìn)一步發(fā)展。

總之，從性能和功能上比較來(lái)看，專業(yè)防火墻由于性能好、工作穩(wěn)定，而且低端防火墻價(jià)格也在幾萬(wàn)元；UTM產(chǎn)品功能強(qiáng)大，但性能不是那么太好，而且價(jià)格再加上軟件升級(jí)的費(fèi)用估計(jì)費(fèi)用要比低端防火墻的價(jià)格高；安全路由器從價(jià)格上來(lái)說(shuō)，幾千元就可以完全搞定，相比防火墻和UTM,性價(jià)比較高，再加上VPN以及具有防火墻的某些安全功能，因此比較適合中小企業(yè)使用。

安全路由器在中小企業(yè)中應(yīng)用

當(dāng)前市場(chǎng)上的安全路由器主要是用于中小用戶的安全接入產(chǎn)品。用戶對(duì)路由器的性能要求不是很高，在這種網(wǎng)絡(luò)中，它也可以成為整個(gè)網(wǎng)絡(luò)的核心設(shè)備，承擔(dān)網(wǎng)絡(luò)的路由轉(zhuǎn)發(fā)和安全防護(hù)雙向功能。安全路由器所使用的VPN技術(shù)，主要是針對(duì)擁有遠(yuǎn)程接入用戶的網(wǎng)絡(luò)環(huán)境設(shè)計(jì)的，尤其是網(wǎng)絡(luò)系統(tǒng)存在上聯(lián)出口和下聯(lián)出口的情況。

比如，大企業(yè)的分支機(jī)構(gòu)和中小企業(yè)的核心網(wǎng)絡(luò)，它們既存在與上級(jí)公司網(wǎng)絡(luò)或Internet網(wǎng)絡(luò)的上聯(lián)出口安全問(wèn)題，又要保證自己內(nèi)部網(wǎng)絡(luò)的安全，同時(shí)還必須兼顧遠(yuǎn)程接入用戶的網(wǎng)絡(luò)安全。而從整體來(lái)看，這種網(wǎng)絡(luò)對(duì)安全路由器的路由功能要求并不是特別苛刻，所以這種集接入、路由、VPN和防火墻于一體的設(shè)備就成為公司的首選。安全路由器的出現(xiàn)對(duì)于網(wǎng)絡(luò)的整體結(jié)構(gòu)來(lái)講并沒(méi)有產(chǎn)生非常大的變動(dòng)，由于安全路由器是一種邊緣接入路由器，所以對(duì)整個(gè)網(wǎng)絡(luò)尤其是主干網(wǎng)絡(luò)沒(méi)有多大的影響。對(duì)于中小用戶來(lái)講，新建的網(wǎng)絡(luò)就可以采購(gòu)安全路由器，因?yàn)樗瘞追N重要功能于一體，從管理成本的角度來(lái)說(shuō)，肯定比管理多個(gè)產(chǎn)品要簡(jiǎn)單很多。當(dāng)然，產(chǎn)品的價(jià)格比普通路由器會(huì)有所提高，但仍然可以接受。

從實(shí)際的市場(chǎng)與應(yīng)用效果來(lái)看，安全路由器受到中小型企業(yè)的喜愛(ài)，是因?yàn)榘踩酚善骺梢噪[藏公司內(nèi)部的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖，同時(shí)還可以加密需要傳輸?shù)臄?shù)據(jù)，從而做到即使傳輸?shù)臄?shù)據(jù)在公網(wǎng)上給其它用戶攔截到時(shí)，他們也不能通過(guò)IP包來(lái)獲取公司內(nèi)部的網(wǎng)絡(luò)IP地址及了解到內(nèi)部的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖，經(jīng)過(guò)加密的數(shù)據(jù)，沒(méi)有專門的解密工具一般的用戶是不可能知道所傳輸?shù)臄?shù)據(jù)包的內(nèi)容。

因此相對(duì)于中小企業(yè)而言，由于資金預(yù)算有限，購(gòu)買獨(dú)立的防火墻不但成本高昂，而且設(shè)定管理又很復(fù)雜；對(duì)于中小企業(yè)及大型企業(yè)的分支機(jī)構(gòu)來(lái)說(shuō)，他們沒(méi)有足夠的資金和人員維護(hù)配置硬件防火墻；因此采用適合的安全路由器，由于價(jià)格較低，可以一次解決網(wǎng)絡(luò)安全的問(wèn)題，又能達(dá)到網(wǎng)絡(luò)升級(jí)，為未來(lái)建置VPN及VoIP進(jìn)行準(zhǔn)備。