【转贴】何为一体化安全路由器

QQ、MSN、电子邮件、SKYPE、VoIP、视频，这些耳熟能详的名字已经是企业通信不可分割的组成部分，也是任何一家企业用户的网络中被最广泛应用的工具。据Osterman Research公司的调查显示，90%的组织中，其员工至少使用一种以上的即时通信工具。但78%的用户其即时通信工具是员工自己从互联网上直接下载的免费软件，这其中包括支持部分关键业务部门或应用于关键信息沟通的IP软电话系统。大多数用户至今没有意识到这样做所潜在的安全威胁和巨大风险。
传统的安全，其重点在于前置防御，也就是将防火墙设置在服务器和接入端之间，对病毒或者攻击进行阻止。这样做的一个问题是防火墙无法辨别来自网络的越来越丰富的多媒体信息，往往令通信被不当阻止而中断。日益复杂化的应用环境要求网络采用比传统独立防护模式更为强大和有效的解决方案来保证语音、视频和数据网络的安全，并保证系统的高性能和产品的更高的可管理性。
因此，一体化安全路由的设计目的是要提供能够适应多种应用需求的安全和高性能的网络连接。

何谓一体化
一体化安全网络的概念今天仍然比较模糊。一般来说，安全与路由的集成有两条途径，一是以网络安全平台为基础，集成路由功能；另一个是在路由器上配以安全功能。包括防火墙、邮件过滤、入侵检测和防御等。加载安全功能的一体化路由器，一个主要特色是平台可以扩展传统安全设备所不具备的广域网功能。
路由器厂商一体化的创意来自实际的用户需求，锐捷网络产品经理吴龚斌认为，把安全和路由设备集成，是迫于用户应用对于安全的需求越来越高。网络安全是一个系统工程，设备的安全特性是网络整体安全的重要组成部分，只要设备提供了足够的安全特性，网络的安全才更有保证。其次，路由器在网络应用中，一般处于广域网和局域网的交界位置，是局域网连接广域网的咽喉，容易受到攻击，把好这个咽喉地带的安全，可以提升网络整体安全。路由和安全功能集成，避免了在网络核心和重要业务上不断添加防火墙和入侵检测设备的麻烦，减少了网络的故障点，也便于网络的维护管理。
大量、多层次的安全防护会影响网络的性能，是传统的基于独立防火墙和入侵检测模式的安全解决方案的天然缺陷，而一体化安全设备可以避免这一问题。Juniper公司北方区技术经理王栋认为，通过在一台集成机箱中提供防火墙、虚拟专用网（VPN）、入侵防护等多种安全功能，一体化安全专用设备可以取代多台单一功能的安全专用设备。一体化安全设备的好处十分明显：更少的设备、更低的费用和简化的管理。
思科公司也有“统一安全”的概念，所谓的“统一安全”是指在任何一个网络设备（例如路由器、交换机或者无线接入点）上都提供安全功能。当流量经过某个网络设备时，网络设备必须对其进行一定的扫描和分析，决定让其继续传输、隔离或者拒绝。这样不仅可以帮助客户实现分层的防御战略，客户也可以采用模块化方式进行部署，而不必丢弃现有产品。

如何一体化
安全技术与路由功能整合一般也分为两种方式，第一种是集成，就是在路由器中插入相应的板卡，实现安全平台的功能。不过板卡的操作系统和路由器的操作系统是独立的，因此，在操作方面比较麻烦，集成性也较差。
第二种是一体化的概念，把安全作为路由器本身的一种功能，一体化的方式保证了操作系统的一致，不但安全，而且可扩展，用户可以按照自身的需求分别购买协议和认证，按需定制，在应用上更加灵活，也能更有效地保护投资。同时，此种一体化路由产品接口种类丰富，广域网的所有接口种类基本都有，由于广域网接口的支持需要厂家在路由、安全方面有丰富的研发经验，这个特点常常可以作为检验厂家能力的一个标杆。
具体地说，一体化安全包括4层技术。首先是硬件平台需要满足一般的网络应用，如LAN、WAN I/O的功能；第二是网络平台，包括LAN路由器、安全防护、广域网连接等；第三是网络安全应用，如防火墙、DoS/DDoS、安全VPN、用户认证等；第四层是内容安全应用，如病毒过滤、木马防护、IPS 等。
由于一体化安全路由目前还不是一种标准化的通行技术，各个厂商都有自己不同的技术和产品，这些产品也都各具特色。因此，如何实现路由、安全一体化的方式，并没有一定之规。
一体化产品
一体化安全路由产品提供商中，以Juniper、思科、H3C、锐捷的产品比较有代表性。 Juniper按照其一体化安全网络架构提供了以SSG系列为代表的集成安全网关产品、M系列、J系列路由器产品、UAC统一安全控制管理产品和WX/DX广域网优化通信系统等系列产品等。
众所周知，提供安全功能可能对路由器的处理性能造成巨大的压力。既要保证安全，又要保证传输，这就要求一体化路由产品能够有效解决性能的提升问题。Juniper的J-系列企业级路由器和M-系列企业级核心路由器结合了广域网应用加速系统，可加速远程使用者的网页下载与交易速度，使其能够快速存取储存于数据中心的 Web 化应用，执行带宽管理、快取、压缩、路径最佳化及协议加速等功能以保障传输渠道的畅通和优化。
思科 ISR 系列路由器提供了广泛的服务与集成，允许企业的分支机构集成更多的安全、语音、视频、无线和数据解决方案。其中，基于思科专业路由和安全技术开发的无隧道 VPN（GET VPN）功能，能够同时确保数据加密安全性和路由智能，从而改变了企业及电信运营商创建 VPN 的方式。GET VPN 提供了可扩展的、安全的任意连接。用户可在多种广域网环境中使用思科GET VPN，从而缩短了大型网络的时延并提高了语音和视频应用的性能。通过集成的广域网优化与监控，思科ISR服务模块提供了稳健的广域网优化和应用加速功能以及高性能的网络分析特性，能够避免从数据中心访问文件和应用时遇到广域网瓶颈，而且能够与服务质量（QoS）、防火墙访问控制列表（ACL）和其他基于 ISR 的现有服务互操作。
H3C MSR 20系列路由器将安全功能通过硬件实现，摆脱了共享处理器的弊端。该系列采用内置硬件加密功能，保证转发和加密同步高性能，同时节省接口插槽。其提供的安全功能还包括防火墙、IPSec VPN、MPLS VPN、SSH协议2.0、入侵保护、DDoS防御、攻击防御等。
锐捷也是较早开始推广一体化安全路由产品的国内厂商，其RSR系列路由器提供的安全特性几乎覆盖了企业网用户解决日常网络安全问题所需要的所有功能，比如ACL包过滤机制防火墙功能、抵御DDOS、SYN攻击等。其中基于状态检测机制的防火墙功能、URL过滤，可以过滤不安全的网址，在接入前端对用户身份进行认证，提供分权、分级的用户管理机制。内置的硬件加密引擎，可以对敏感数据进行硬件加密，支持DES、3DES、AES等加密算法，不影响性能，速度更快，同时支持各种常用路由协议的明文和密文的论证、安全审计功能，对于路由器性能的平衡具有明显的促进作用。

相关链接一
一体化安全路由标准
■ 接口种类丰富，提供多种局域网、广域网接口；
■ 安全功能丰富，如防火墙、深度检测、用户认证、防病毒、防垃圾邮件等，具有小而全的特点；
■ 路由协议支持全面，并且十分稳定。
相关链接二
安全的归“一”
随着萨班斯法案的出台，广域网与企业内网的安全边界逐渐模糊，而对于信息安全的重视则大大加强。复杂的威胁、复杂的部署、复杂的策略和复杂的维护，让企业谈安全而色变。而化繁为简提供一体化的设备、一体化的解决方案、一体化的管理和维护，使企业安全能够成为网络连接、连通和应用的基本性能是我们想要的理想状态。
“一体化”安全路由可以提高基于设备的效率。随着网络上运行的应用日益复杂，原来防火墙等安全设备所提供的单纯的防护功能已经不能满足企业的需要。只用一个硬件平台，同时满足安全与高性能，是一体化安全路由产品能够为企业网提供更高连接性和传输效率的关键卖点。而以简单的基础设备，支持复杂应用所需要的网络安全等级，继而保障威胁防御能力所需的更高网络性能，这种内外兼修的能力，也是一体化安全路由设备提供商必须具备的“真功夫”。
以前的安全是建筑在网络连接前面的一睹“墙”，而今天一体化安全路由提供的是网络流的畅通和更高的性能。
砌墙不如修路，筑坝不如引流，一体化的安全网络将让网络应用变得更加和谐。