性能與安全并重路由與安全的聯姻

2019-11-05 00:43:08

字體：大中小

來源：轉載

供稿：網友

　　在網絡形成的初期，網絡間路由的功能只是由計算機來完成的。隨著網絡的不斷發展，路由功能由單獨的路由器來實現了。當初這個不起眼的小家伙發展到現在已經成為不可或缺的網絡龐然大物，指揮著網絡中的各種交通流。但是隨著網絡的日益復雜，路由器不應僅擔當基本的路由轉發角色了，其角色正在逐漸轉變成類似于瑞士軍刀的角色—可以身兼多職，從而將網絡的“污垢之水”阻擋于第一道門戶之外，使人們更加享受網絡帶來的種種便利。
　　
　　路由器加強安全功能的原因
　　內置安全功能的路由器可以說是因為網絡應用的不斷擴展而產生的，同時，隨著網絡病毒及黑客攻擊現象的不斷發生，假如不在接入層實現有效的病毒控制，那么病毒和黑客攻擊就會迅速蔓延到網絡內部，對網絡造成較大的危害。例如，有些攻擊方式通過發送虛假路由信息，導致路由器混亂從而造成網絡癱瘓，或者攻擊者通過改變自己的ip地址來偽裝成內部網用戶或可信任的外部網絡用戶，發送特定的報文以擾亂正常的網絡數據傳輸，或者偽造一些可接受的路由報文來更改路由信息，以竊取信息。以上的原因使得在路由器上加強安全措施顯得尤為緊迫。
　　
　　上海博達數據通信有限公司產品經理商鵬飛表示，由于網絡應用的普及，政府及金融等機構對互聯網了解的增多、黑客通過向路由器發送錯誤路由信息而使路由器癱瘓，達到了攻擊網絡的目的。此外，網絡設備的同質化現象非常嚴重，各個廠商為了吸引客戶，也不同程度的在路由器中加入了各種安全功能。
　　
　　思科公司工程師李濤也從用戶應用需求方面表達了對這個問題的看法，他認為由于用戶希望安裝和配置盡可能少的設備和電纜。因此，一個內置安全功能的路由器可有助于節約空間和提高可靠性，減少了部署和治理所需的時間和開支，因為構建一個解決方案所需要的獨立設備的數量大為減少，簡化了企業對于IT設備的支持服務。
　　
　　上述催化劑推動了路由器加強安全功能的進程，使得路由器產品更加成熟，支起了網絡安全的一片天。
　　
　　內置安全功能對于用戶的意義
　　當防火墻等安全設備出現時，改變了人們治理網絡的思維方式。例如當網絡之間的兩臺主機Ping不通時，以我們的傳統思維來說，可能是基于設備之間物理連接出現了問題，但是防火墻也可能阻斷了設備之間的流量。同樣對于內置安全功能的路由器來說，也在改變著人們的工作方式。對于中小企業及大型企業的分支機構來說，他們沒有足夠的資金和人員維護配置各種類型的安全設備，因此配置安全功能或各種安全模塊的路由器非常適合他們，達到了節省資金與人員的目的。例如，目前網絡運行治理主要依據不同的設備類型及專業子網來安排維護人員，這種方法不論對提高整體服務水平還是對控制運行維護成本來說都是不利的。網絡上安全設備分散，一旦故障發生，各維護組很難清楚進行責任定位，同時又要專門詢問各類治理人員，讓人疲于奔命，從而造成故障周期冗長。此外，各個安全設備的數據不能有效的共享。內置安全功能的路由器的出現，使人們在同一個設備上就可以實現安全治理的功能。目前的低端路由器主要以軟件方式實現安全功能，高端路由器可以插入各種安全模塊。
　　
　　而對于大型企業來說，他們完全有能力配置各種類型的安全設備，例如防火墻與IDS等，加入一定安全功能的路由器可以在核心層上實現用戶路由信息轉發的安全控制，而在企業內網有其他專門安全設備配合針對特定安全事件進行治理，彌補了網絡上有可能存在的網絡安全漏洞，使得安全設備之間相得益彰，最大化的減少了網絡安全事件的發生。
　　
　　總的來說，對于用戶而言，內置安全功能路由器可與其他專業網絡安全設備防火墻、IDS、防病毒和VPN配合使用，保證了網絡系統的整體安全，實現了讓員工隨時隨地接入企業網絡進行無縫辦公，以及在網絡設備的投資上，進行合理的投入而獲取最大的效率。
　　
　　邁向集成性的路由器
　　路由器發展的歷史類似于PC主板的發展。PC主板在當初是不集成顯卡等功能的，然而發展到現在，PC主板已經集成了越來越多的功能，包括聲卡、顯卡和USB接口等，可以使人們更加易于治理與配置。同樣，路由器不再單單承擔一個路由轉發的任務。企業需要能在安全的網絡上傳輸融合語音、視頻和數據流量的“三網合一”的基礎設施。Juniper收購網絡安全廠商Netscreen，也從側面說明了網絡設備公司正在加強自身網絡設備的安全性。并且Juniper也在其產品中集成了VPN產品、邏輯接口細粒度QoS、基于硬件的IPv6 NAT、狀態型防火墻等安全功能。此外，在不影響企業現在和未來部署的多服務應用的情況下，還必須適合多方面的應用，假如僅僅是集成安全功能則顯然是遠遠不夠的。
　　
　　思科的李濤認為，路由器會朝著集成多業務的方向發展，也許過了許多年后，路由器這個名稱會越來越模糊，這也是思科的發展理念。最近思科推出的ISR（整合服務路由器）產品也許就是一個明證，ISR產品將話音和網絡安全功能集成到路由器中，此外嵌入式入侵保護系統（IPS）也被嵌入到了路由器當中。除內嵌安全性外，ISR產品還集成了話音服務，為電話服務提供了部署的靈活性，同時也在單一平臺中提供了更高的數據和話音綜合密度。而集成這么多功能，也不代表著易用性的下降，它們全部采用圖形化界面治理，大大減化了人員的工作量。例如思科基于Web的直觀設備治理工具SDM （Security Device Manager ）能逐步指導用戶完成路由器配置和安全配置工作流程，對LAN 和WAN 接口、防火墻和VPN進行系統化的配置。
　　
　　也有人認為把過多的功能集成到一個設備中，當發生問題時，并不能很好地有針對性排查具體應用發生問題的根源，給解決問題造成了一定的困難。
　　
　　目前路由器所采用的主要安全技術
　　　