两款安全路由器的对比
安全路由器,这个产品的定义是由Infonetics公司在两年前提出来的,主要是指整合了以往防火墙或者VPN网关功能,提供给企业应用的新型路由器产品。2006年全球安全路由器的市场收入较往年激增121%,企业级市场逐渐由标准路由器向安全路由器过渡。因此,未来路由器市场份额的增长主要原动力就是来自于安全路由器的发展。
安全路由器的实际应用意义
安全路由器快速成长的原因是企业持续进行网络升级。因此,具有防火墙、加密VPN、带宽管理以及URL过滤等安全功能的路由器产品应运而生。受这个风潮的影响,思科、侠诺、艾泰、磊科、东软等众多网络设备制造商与解决方案先后推出针对不同用户而定制的安全路由器产品。目前,此类产品在企业级市场取得很大的成功。对于企业从降低成本角度而言,一次性升级为最适合的安全路由器比较划算,从而能够一次性解决网络安全问题,也是为未来配置VPN及VoIP设备进行了准备。
为什么选择安全路由器
综合比较来看,专业防火墙性能好、工作稳定,可是其低端产品采购价格也需要几万元;UTM功能丰富,但性能不是那么高,而且产品价格再加上软件升级的费用,总的花费极有可能要比低端防火墙的还要高。安全路由器从价格上来说,售价大都在万元左右,相比防火墙和UTM,其性价比很高,再加上具有VPN以及防火墙的某些安全功能,因此比较适合注重成本的中小企业使用。
产品点评
QVM660采用网络宽带接入及VPN联机双功设计,是侠诺面向中型企业或企业分支机构推出的高阶多功能VPN网关产品。QVM660采用Intel IXP 533主频处理器、搭配侠诺自主研发的智能软件,双向转发速率为200Mbps,可支持10万个联机数,最大带机量500台,封包处理快速稳定。该产品内建高规格64MB大容量内存,还内建4个WAN连接端口,提供企业弹性运用配置,带宽成长空间大。
QVM660支持IPSec、PPTP、QVM VPN联机功能,可同时处理200条IPSec联机,运作效能可达90Mbps;具备PPTP服务器功能,可对50个PPTP行动用户进行VPN联机;支持QVM VPN备援,即使VPN掉线,也可立即快速重建。机身为19英寸的标准机柜尺寸,金属外壳散热良好、经久耐用。
RG-NBR1200是锐捷网络公司推出的针对有多个出口的中小型网吧、中小型企业宽带上网的电信级路由器。该产品具有防病毒、防攻击功能,采用主频为400M的 Motorola PowerPC 8247高性能专业通信RISC CPU,最大可以支持5万条的NAT会话数量,带有2个10/100M以太网WAN口,1个独立的扩展插槽,可以插光纤模块或电口模块,插上模块就提供了3个WAN口、4个10/100M的以太网交换式LAN口,所有的接口都自动识别网线和交叉线。
NBR1200支持端口镜像、VLAN、防ARP地址欺骗、抗网络攻击、网络流量分析,在面板上提供了网络状态指示灯和攻击告警灯,实现基于IP地址的限速功能,为内部PC灵活分配带宽,BT下载、在线视频互不影响,同时内置高性能防火墙。
侠诺QVM660
锐捷RG-NBR1200
对比操作界面
对于中小企业而言,往往没有专门的网络管理维护人员,因此易于管理的界面就很容易使大多数用户操作。许多Helpdesk人员都认为Web管理界面是供较为高级的产品使用,其实不然,思科也在其ISP中采用了基于Web的直观设备管理工具SDM,可见Web管理界面及直观配置的重要性。
中低端设备所采用的Web管理界面及带宽管理功能,近年来备受企业用户的认同,对于企业的Helpdesk来说,带宽管理最重要的工作,就是了解整体带宽是否够用。因为如果对外使用带宽不足,即使做再多配置,可能都无法解决问题。侠诺QVM660配备的日志功能,单独有一个系统状态即时监控的部件,可以提供整体路由器系统运作信息。因此操作界面设计更为出色的还是侠诺QVM660。
对比主要性能
作为面向中大型企业或大企业分支机构网络宽带路由器,两款产品都侧重宽带接入及VPN联机双功设计,属高阶多功能VPN网关产品,提供企业需要的多WAN接入、VPN、防火墙、负载平衡、线路备援、QoS带宽管理及路由功能。
对于Intel IXP 533MHz主频处理器与主频为400MHz的Motorola PowerPC 8247处理器,二者的性能是不能通过主频的高低做直观对比的,在实际使用当中侠诺采用的网络芯片功能相当强大,而且运作稳定。
中小企业采购路由器的第二个需求,就是性价比要高,因为中小企业费用控制较严格,对高价产品接受程度较低。由于侠诺所采用的Intel IXP系列网络处理器,相对出货量大,因此成本可以降低不少,其价位使得中小企业很容易接受。
NBR1200与侠诺QVM660都具备端口镜像、VLAN、防ARP地址欺骗、抗网络攻击、网络流量分析等功能。不过NBR1200通过面板上的提示灯就能轻松让维护人员知道网络运行情况,实现基于IP地址的限速功能,硬件部分的人性化设计更为出色。
对比数据处理
因为专业通信RISC CPU技术相对成熟很多,自然性能出众。在数据封包处理方面,两者都能够达到快速稳定的效果。两者都内建高规格64MB大容量内存,长时间高负载时也能够稳定可靠。NBR1200路由器采用64位高性能RISC微处理器,其专业镜像端口可挂接公安上网记录监控系统实现实时数据监测,解决了采用集线器造成的网络广播风暴和网速下降的问题。
本次选择的两款安全路由器是非常具有针对性的,因为安全路由器本身的分类即可分为高性能安全路由器和VPN安全路由器,后者可让中小企业建置VPN。侠诺QVM660就属于后者,不过由于中小企业的要求差异不大,因此这二者的数据功能是近似的,只是后者多了VPN功能。
对比QoS处理
动态智能QoS功能强大,是为了协助网络管理员解决带宽管理而推出的。它强调用户可以不管内部各种应用,只要填入基本带宽数字及单一用户的带宽容许比例,路由器即可自行进行依内部带宽使用,进行带宽管理的工作。
动态智能带宽管理强调通过自动压制占用带宽的用户来解决内网QoS管理,简化网管的管理工作。当某些用户占用带宽超过网管配置的阀值时,路由器即会限制该用户所使用的带宽一段时间,例如设定五分钟,以免影响其他用户的使用。对于持续有意占用带宽的用户,路由器即会启动二次惩罚,持续压制该用户能使用的带宽,这种功能对于中了会持续占用带宽病毒的用户,会起到缩小损害的作用。另外,动态智能QoS也支持定时的设计,可配置特定时间才启动带宽管理。这一方面与功能相对单一的锐捷NBR1200来说,侠诺QVM660略胜一筹。
对比防火墙功能
由于需要对互联网上用户开放服务,所以必须使用固定IP。有些企业内部使用固定的IP地址,例如ISP开放公网IP区域、开放DMZ的服务器、开放一对一NAT的服务器等。公开固定IP虽然有好处,但也容易成为恶意人士攻击的目标,因此若是企业网络有这样配置的服务器或是计算机,就必须先加以保护。
要保护公网IP服务器或个人计算机,第一个要做的就是除了保留要提供服务的TCP/UDP端口,其余的网络端口全部必须封掉,以避免服务器受到攻击。例如网页服务器,只要保留少量端口的服务让外界存取即可,其它的都加以封闭。另外,如果能限定开放服务,只允许特定用户进入,也可以再次降低受到攻击的可能性。
QVM660防火墙双向转发率的效能可达200Mbps线速,性能优越。具备主动式封包检测功能,经过对网络层联机的动态检测,可以拒绝或阻挡非标准通信协议的联机要求。只需单向启动各式黑客攻击、蠕虫病毒防护功能,即可简易完成配置,有效防止内外网恶意攻击,确保网络安全。QVM660内建ARP病毒来源自动检测工具,无需其他软件即可实施ARP攻击防御功能,在完成内网电脑及路由器IP/MAC绑定后,即可确保有效地防止ARP病毒攻击。QVM660可依据IP位址及通信服务连接端口来决定内外所有的网络封包数据流是否可以通过防火墙进行网络存取。
NBR1200特别具有强大的防DDOS攻击能力,防SYN flood、UDP flood、ICMP flood、Smurf/Fraggle攻击、分片报文攻击,还可以防止来自内网和外网的网络攻击。该机使用30M的线速DDOS报文攻击,CPU的利用率不会高于40%,并且具备了PING扫描功能,防止来自外部恶意人员、内部不满玩家等日益猖獗的网络恶意攻击,保障网络的安全。同时,NBR1200可以方便设置WAN口的防PING功能,防TCP端口扫描、UDP端口扫描、设置访问权限、防止来自Internet的黑客攻击。NBR1200还可以防止冲击波病毒,对于未来出现的网络病毒,可以添加不同规则的防火墙加以预防,过滤病毒报文。
在这两款路由器上,防火墙功能可使用路由器中网络存取规则条例工具进行配置,存取规则可以依据不同的条件来决定,例如,可以设定要管制的进出方向是从内部到外部,还是从外部到内部,或是以使用者的IP位置、目地端IP位置、IP通信协议型态等条件来做设定管制,管理者可以依照实际的需求调整设置。虽然基于同样的原理实现同样的功能,但在实际操作的过程中,NBR1200功能较为全面,侠诺QVM660的操作界面则更加友好。
对比CPU与接口
侠诺QVM660内建Intel IXP425 533MHz RISC高效能四内核网络处理器,双向转发速率为200Mbps,适合近来积极建置VPN网络的制造业及中型企业采用。它与NBR1200市场定位相当接进,有所不同的是后者采用主频为400M的 Motorola PowerPC 8247专业通信RISC CPU。
锐捷NBR1200最大可以支持5万条的NAT会话数量,而侠诺QV660则可支持10万个联机数;前者带有2个以太网WAN口,后者是4个,不过前者附带1个独立的扩展插槽,可以插光纤模块或电口模块,插上模块就提供了3个WAN口和4个以太网交换式LAN口。两者所有的接口都自动识别网线和交叉线,但NBR1200的可扩展性势必要增加,才能发挥全部的性能。
对比IP管理
QVM660内建DHCP服务器,可使得局域网内的电脑自动取得IP,方便管理。因为它支持公网IP透通模式,所以内网使用公网IP位址运作没有障碍。公网IP可以和内网使用DHCP服务器发放的动态IP透通共存,无需重新设置,不增加网管负担。
QVM660的DMZ/WAN连接端口可相互切换,支持对外开放服务器。以NAT模式运作时,若需要使用如网络游戏等不支持虚拟IP位址的应用程序时,可将DMZ连接端口的合法固定IP直接对应内部虚拟IP使用。QVM660也支持一对一的NAT,可将固定IP直接对应到内网虚拟IP电脑,作应用服务器使用。
相对而言,锐捷NBR1200的功能则丰富了许多。NBR1200可以对内部所有PC、某些指定PC,或者一些地址段PC进行带宽限速配置。对BT、迅雷、在线视频、恶意下载等应用占用过多的网络带宽,可以对上传或者下载的带宽结合NAT会话数量的阀值限制进行单独限制,灵活方便,让任何特殊网络应用都不会影响大部分玩家上网和游戏,真正保证了网民的良好上网体验,实现了“随你如何BT,别人正常游戏”。
它所具备的4个10/100M的LAN口可以通过硬件进行上网速率限制,按照用户具体需求设置每个LAN口上网速度,大大提高了使用的灵活性。
在NBR1200的面板上提供了网络状态指示灯,通过指示灯可以轻松判断网络运行状态。在面板上提供了报警灯,在受到攻击时报警灯亮,可以非常直观地判断网络是否受到攻击。
NBR1200提供图形界面的配置模式和查看模式,在查看模式下,可以用图形模式查看路由器的CPU、内存、接口状态、所有内部PC的上传和下载占用的带宽,迅速判断网络运行状态。让网络管理既轻松又简单,节省网络维护时间,间接延长网吧运营时间,既减少维护成本,又提高网吧收益。
NBR1200的网络扩展接口
QVM660的网络扩展接口
对比VPN功能
如何选择适合的VPN协调,是规划VPN的Helpdesk人员经常会碰到的一个问题。VPN协议是一个需要慎重决定的重大问题,必须根据远程访问的需求与目标而定。
侠诺QVM660的VPN提供不同的协议,可应用于不同的情况,主要支持的协议包括IPSec、PPTP、SmartLink、SSL。对于移动用户而言,除了SSL以外,往往都需要使用客户端软件才能建立VPN。由于用户对配置的了解程度不够,因此移动用户的客户端VPN软件,对Helpdesk人员造成相当的支持负担。侠诺QVM660的VPN功能支持不同的客户端软件,包括常见的窗口操作系统的IPSec/PPTP客户端、TauVPN、Greenbow VPN、Symantec VPN、Fortinet、SoftRemote、SSH都支持。TauVPN是图形化界面的IPSec协定软件,远程单机用户可在Windows XP上可使用TauVPN软件接入总部VPN服务器。远端单机用户除了PPTP之外,另一个简单易用的接入选择便是IPSec。
同时,对于注重成本的用户,可以选择窗口操作系统内建的客户端软件或是免费的CVP客户端软件,例如TauVPN或是SSH。其它的用户则可采用付费的商用软件,可得到对应的技术支持服务。而锐捷NBR1200的优势是在于设备的稳定性与不俗的性能。因此企业CIO在采购设备时切记要根据自己企业的规模与实际状况来选择相应的设备,虽然上述两款产品的功能极其接进,但实际定位上,锐捷NBR1200属于电信级防攻击多WAN口宽带路由器,而侠诺的QVM660的功能强大在于其VPN网关防火墙。
PK观点
安全路由器是承担企业网络流畅运行的重要角色,其作用是在核心层上实现用户路由信息转发的安全控制。同时,在企业内网也有其它专门的安全设备针对特定安全事件进行管理,弥补了有可能存在的安全漏洞,最大化地减少了网络安全事件的发生。因此,企业选择路由器,考虑的不仅仅是价格,更重要的是考虑选购适合自身条件,性能表现、安全防护、运行维护、技术支持等方面都面面俱到的产品。
加入收藏复制链接给好友我要报错跳到顶部BBS讨论
