對于路由器安全來講，很多人對此都很關(guān)心，但是仍出現(xiàn)了很多問題，這里我們主要介紹到底如何路由器安全功能。在網(wǎng)絡(luò)形成的初期，網(wǎng)絡(luò)間路由的功能只是由計算機(jī)來完成的。隨著網(wǎng)絡(luò)的不斷發(fā)展，路由功能由單獨(dú)的路由器來實現(xiàn)了。

當(dāng)初這個不起眼的小家伙發(fā)展到現(xiàn)在已經(jīng)成為不可或缺的網(wǎng)絡(luò)龐然大物，指揮著網(wǎng)絡(luò)中的各種交通流。但是隨著網(wǎng)絡(luò)的日益復(fù)雜，路由器不應(yīng)僅擔(dān)當(dāng)基本的路由轉(zhuǎn)發(fā)角色了，其角色正在逐漸轉(zhuǎn)變成類似于瑞士軍刀的角色—可以身兼多職，從而將網(wǎng)絡(luò)的“污垢之水”阻擋于第一道門戶之外，使人們更加享受網(wǎng)絡(luò)帶來的種種便利。

路由器安全功能的原因

內(nèi)置路由器安全功能的路由器可以說是因為網(wǎng)絡(luò)應(yīng)用的不斷擴(kuò)展而產(chǎn)生的，同時，隨著網(wǎng)絡(luò)病毒及黑客攻擊現(xiàn)象的不斷發(fā)生，如果不在接入層實現(xiàn)有效的病毒控制，那么病毒和黑客攻擊就會迅速蔓延到網(wǎng)絡(luò)內(nèi)部，對網(wǎng)絡(luò)造成較大的危害。例如，有些攻擊方式通過發(fā)送虛假路由信息，導(dǎo)致路由器混亂從而造成網(wǎng)絡(luò)癱瘓，或者攻擊者通過改變自己的IP地址來偽裝成內(nèi)部網(wǎng)用戶或可信任的外部網(wǎng)絡(luò)用戶，發(fā)送特定的報文以擾亂正常的網(wǎng)絡(luò)數(shù)據(jù)傳輸，或者偽造一些可接受的路由報文來更改路由信息，以竊取信息。以上的原因使得在路由器上加強(qiáng)路由器安全措施顯得尤為緊迫。

上海博達(dá)數(shù)據(jù)通信有限公司產(chǎn)品經(jīng)理商鵬飛表示，由于網(wǎng)絡(luò)應(yīng)用的普及，政府及金融等機(jī)構(gòu)對互聯(lián)網(wǎng)了解的增多、黑客通過向路由器發(fā)送錯誤路由信息而使路由器癱瘓，達(dá)到了攻擊網(wǎng)絡(luò)的目的。此外，網(wǎng)絡(luò)設(shè)備的同質(zhì)化現(xiàn)象非常嚴(yán)重，各個廠商為了吸引客戶，也不同程度的在路由器中加入了各種路由器安全功能。

思科公司工程師李濤也從用戶應(yīng)用需求方面表達(dá)了對這個問題的看法，他認(rèn)為由于用戶希望安裝和配置盡可能少的設(shè)備和電纜。因此，一個內(nèi)置路由器安全功能的路由器可有助于節(jié)約空間和提高可靠性，減少了部署和管理所需的時間和開支，因為構(gòu)建一個解決方案所需要的獨(dú)立設(shè)備的數(shù)量大為減少，簡化了企業(yè)對于IT設(shè)備的支持服務(wù)。上述催化劑推動了路由器加強(qiáng)路由器安全功能的進(jìn)程，使得路由器產(chǎn)品更加成熟，支起了網(wǎng)絡(luò)路由器安全的一片天。

內(nèi)置安全功能對于用戶的意義

當(dāng)防火墻等安全設(shè)備出現(xiàn)時，改變了人們管理網(wǎng)絡(luò)的思維方式。例如當(dāng)網(wǎng)絡(luò)之間的兩臺主機(jī)Ping不通時，以我們的傳統(tǒng)思維來說，可能是基于設(shè)備之間物理連接出現(xiàn)了問題，但是防火墻也可能阻斷了設(shè)備之間的流量。同樣對于內(nèi)置安全功能的路由器來說，也在改變著人們的工作方式。對于中小企業(yè)及大型企業(yè)的分支機(jī)構(gòu)來說，他們沒有足夠的資金和人員維護(hù)配置各種類型的安全設(shè)備，因此配置安全功能或各種安全模塊的路由器非常適合他們，達(dá)到了節(jié)省資金與人員的目的。例如，目前網(wǎng)絡(luò)運(yùn)行管理主要依據(jù)不同的設(shè)備類型及專業(yè)子網(wǎng)來安排維護(hù)人員，這種方法不論對提高整體服務(wù)水平還是對控制運(yùn)行維護(hù)成本來說都是不利的。網(wǎng)絡(luò)上安全設(shè)備分散，一旦故障發(fā)生，各維護(hù)組很難清晰進(jìn)行責(zé)任定位，同時又要專門詢問各類管理人員，讓人疲于奔命，從而造成故障周期冗長。此外，各個安全設(shè)備的數(shù)據(jù)不能有效的共享。內(nèi)置路由器安全功能的路由器的出現(xiàn)，使人們在同一個設(shè)備上就可以實現(xiàn)安全管理的功能。目前的低端路由器主要以軟件方式實現(xiàn)路由器安全功能，高端路由器可以插入各種安全模塊。

而對于大型企業(yè)來說，他們完全有能力配置各種類型的安全設(shè)備，例如防火墻與IDS等，加入一定安全功能的路由器可以在核心層上實現(xiàn)用戶路由信息轉(zhuǎn)發(fā)的安全控制，而在企業(yè)內(nèi)網(wǎng)有其他專門安全設(shè)備配合針對特定安全事件進(jìn)行管理，彌補(bǔ)了網(wǎng)絡(luò)上有可能存在的網(wǎng)絡(luò)安全漏洞，使得安全設(shè)備之間相得益彰，最大化的減少了網(wǎng)絡(luò)安全事件的發(fā)生。

總的來說，對于用戶而言，內(nèi)置安全功能路由器可與其他專業(yè)網(wǎng)絡(luò)安全設(shè)備防火墻、IDS、防病毒和VPN配合使用，保證了網(wǎng)絡(luò)系統(tǒng)的整體安全，實現(xiàn)了讓員工隨時隨地接入企業(yè)網(wǎng)絡(luò)進(jìn)行無縫辦公，以及在網(wǎng)絡(luò)設(shè)備的投資上，進(jìn)行合理的投入而獲取最大的效率。

邁向集成性的路由器

路由器發(fā)展的歷史類似于PC主板的發(fā)展。PC主板在當(dāng)初是不集成顯卡等功能的，然而發(fā)展到現(xiàn)在，PC主板已經(jīng)集成了越來越多的功能，包括聲卡、顯卡和USB接口等，可以使人們更加易于管理與配置。同樣，路由器不再單單承擔(dān)一個路由轉(zhuǎn)發(fā)的任務(wù)。企業(yè)需要能在安全的網(wǎng)絡(luò)上傳輸融合語音、視頻和數(shù)據(jù)流量的“三網(wǎng)合一”的基礎(chǔ)設(shè)施。Juniper收購網(wǎng)絡(luò)安全廠商N(yùn)etscreen，也從側(cè)面說明了網(wǎng)絡(luò)設(shè)備公司正在加強(qiáng)自身網(wǎng)絡(luò)設(shè)備的安全性。并且Juniper也在其產(chǎn)品中集成了VPN產(chǎn)品、邏輯接口細(xì)粒度QoS、基于硬件的IPv6 NAT、狀態(tài)型防火墻等安全功能。此外，在不影響企業(yè)現(xiàn)在和未來部署的多服務(wù)應(yīng)用的情況下，還必須適合多方面的應(yīng)用，如果僅僅是集成路由器安全功能則顯然是遠(yuǎn)遠(yuǎn)不夠的。

思科的李濤認(rèn)為，路由器會朝著集成多業(yè)務(wù)的方向發(fā)展，也許過了許多年后，路由器這個名稱會越來越模糊，這也是思科的發(fā)展理念。最近思科推出的ISR(整合服務(wù)路由器)產(chǎn)品也許就是一個明證，ISR產(chǎn)品將話音和網(wǎng)絡(luò)安全功能集成到路由器中，此外嵌入式入侵保護(hù)系統(tǒng)(IPS)也被嵌入到了路由器當(dāng)中。除內(nèi)嵌安全性外，ISR產(chǎn)品還集成了話音服務(wù)，為電話服務(wù)提供了部署的靈活性，同時也在單一平臺中提供了更高的數(shù)據(jù)和話音綜合密度。而集成這么多功能，也不代表著易用性的下降，它們?nèi)坎捎脠D形化界面管理，大大減化了人員的工作量。例如思科基于Web的直觀設(shè)備管理工具SDM (Security Device Manager )能逐步指導(dǎo)用戶完成路由器配置和路由器安全配置工作流程，對LAN 和WAN 接口、防火墻和VPN進(jìn)行系統(tǒng)化的配置。也有人認(rèn)為把過多的功能集成到一個設(shè)備中，當(dāng)發(fā)生問題時，并不能很好地有針對性排查具體應(yīng)用發(fā)生問題的根源，給解決問題造成了一定的困難。