一个都不能少！谈VPN防火墙路由器

    据Infonetics研究公司报告，2004年第三季度全球VPN和防火墙软硬件市场收入比第二季度增长2%，预计2005年第三季度增长16%，达到8.43亿美元。2007年这个市场的年收入预计将增长至36亿美元。这一良好走势使得越来越多的厂商进军VPN和防火墙软硬件市场，特别是集VPN、防火墙和路由器于一体的网络产品更是层出不穷 。

　　技术介绍： 　　

　　防火墙：　　

　　防火墙能增强机构内部网络的安全性。防火墙系统决定了哪些内部服务可以被外界访问；外界的哪些人可以访问内部的服务以及哪些外部服务可以被内部人员访问。防火墙必须只允许授权的数据通过，而且防火墙本身也必须能够免于渗透。　

　　一般来说，防火墙具有以下几种功能：

　　1．允许网络管理员定义一个中心点来防止非法用户进入内部网络。

　　2．可以很方便地监视网络的安全性，并报警。

　　3．可以作为部署NAT（Network Address Translation，网络地址变换）的地点，利用NAT技术，将有限的IP地址动态或静态地与内部的IP地址对应起来，用来缓解地址空间短缺的问题。

　　4．是审计和记录Internet使用费用的一个最佳地点。网络管理员可以在此向管理部门提供Internet连接的费用情况，查出潜在的带宽瓶颈位置，并能够依据本机构的核算模式提供部门级的计费。 　

　　目前防火墙技术已经非常成熟，基本上各个厂商都是采用状态检测、包过滤、应用代理三种技术的组合作为产品的核心。　　

　　VPN：　　

　　VPN就是虚拟专用网络的意思，VPN技术比较复杂，它涉及到通信技术、密码技术和现在认证技术。主要包含两种技术：隧道技术与安全技术。　　

　　1、隧道技术　　

　　隧道技术的基本过程是在源局域网与公网的接口处将数据作为负载封装在一种可以在公网上传输的数据格式中，在目的局域网与公网的接口处将数据解封装，取出负载。被封装的数据包在互联网上传递时所经过的逻辑路径被称为“隧道”。　　

　　要使数据顺利地被封装、传送及解封装，通信协议是保证的核心。目前VPN隧道协议有4种：点到点隧道协议PPTP、第二层隧道协议L2TP、网络层隧道协议IPSec以及SOCKS v5。　　

　　2、安全技术　　

　　VPN是在不安全的Internet中通信，通信的内容可能涉及企业的机密数据，应此其安全性非常重要。VPN中的安全技术通常由加密、认证及密钥交换与管理组成。　　

　　VPN＋防火墙＋路由器： 　　

　　当初防火墙产品刚问世的时候，功能非常的单一，地位也不高，不过是网关处的一道安全门，而随着人们网络安全意识的加强和网络安全隐患的不断增加，不少厂家也开始将路由和防火墙这两种功能很好的融合在一种产品上，所以现在的路由器一般都内建基本的防火墙功能，而一般的防火墙都有静态路由的功能；近年来，随着VPN技术的发展和应用领域的不断扩展，如何在传统网络产品上融入VPN技术也成了一个大家关心的话题，我们知道，VPN网关本身所处的位置与防火墙一样，也往往是位于企业内、外网之间，因此防火墙与VPN功能的集成也就顺理成章。由于适应了用户多方面的需求，因此集VPN、防火墙和路由器功能于一身的产品现在也是大行其道。

　　相关产品：

　　目前这类产品品种比较繁多，有些是从路由器的基础上发展而来，有些则是由防火墙发展而来，所以叫法也不统一，有些叫VPN防火墙路由器，也有叫VPN路由器防火墙，国外一些产品甚至还叫做防火墙VPN路由器，其实这些产品在功能和使用方式上的区别不是很大，所以大家在购买时可以根据自身的网络应用需求选择合适的产品 及功能，以获得满意的效果和较高的性价比。　　

　　产品推荐：　　

　　华为3Com Quidway AR18-18　　


　　设备类型:接入路由器

　　固定广域网接口:E1-F接口,AUX

　　固定局域网接口:10/100Base-T*1

　　支持扩展模块插槽数:0

　　是否VPN支持:是

　　是否内置防火墙:是 　　

　　Quidway AR 18-1X系列路由器提供丰富灵活的接口，包括以太网接口、多协议同/异步串口、备份口、ISDN BRI S/T及U口、cT1/PRI接口及E1-F接口等。其中同/异步串口支持多种协议，如V.24 DTE/DCE、V.35 DTE/DCE、X.21 DTE/DCE、RS449 DTE/DCE、RS 530 DTE等，用户只要选择相应的电缆即可满足串口多样化的需求。可在PSTN/ISDN、帧中继（Frame Relay）、X.25、DDN（Digital Data Network，数字数据网）及T1/E1线路等多种广域网技术中，灵活选择组网方案。Quidway AR 18-1X系列路由器的接口符合国际络标准，保证了与其它厂家产品在各个层面上的互通，可最大程度保护用户的已有投资。　　

　　网络安全:Quidway AR 18-1X系列路由器提供了丰富的网络安全特性，如防火墙、包过滤、地址转换、AAA（Authentication, Authorization and Accounting，验证、授权、计费）、回呼（Callback）等，用户可以选择不同的安全策略来组建企业网。　　

　　构建VPN网络:Intranet VPN（Virtual Private Network，虚拟专用网）通过公用网络互连企业各个分支，作为传统专线网络或其它企业网的扩展及替代形式；Access VPN为SOHO等小型用户搭建通过PSTN/ISDN访问公司总部资源的安全通路；Extranet VPN将企业网络延伸至合作伙伴与客户处，使不同企业间通过公网进行安全、私有的通讯。Quidway AR 18-1X系列路由器主要用于VPN的接入端。　

　　华为3Com Quidway AR 28-30　　


　　设备类型:模块化中心路由器

　　固定广域网接口:同/异步串口,ISDN BRI S/T 接口,AUX口

　　固定局域网接口:1个以太网口

　　支持扩展模块插槽数:3

　　是否VPN支持:是

　　是否内置防火墙:是　　

　　Quidway AR 28-30系列模块化多业务路由器是华为3Com公司Quidway AR系列路由器中面向企业用户的网络产品，提供了极其丰富的软件特性，支持哑终端接入服务器功能和金融POS接入功能，支持SNA/DLSw、VoIP特性等，提供丰富的备份方案及QoS特性；硬件采用模块化结构，在提供集成的高速以太网接口同时，提供丰富的可选配模块。Quidway? AR 28-30系列路由器具有更灵活的配置方式和更高的处理能力，具备MPLS VPN功能、DVPN功能、可平滑升级支持IPv6符合未来IP技术的发展潮流；既适合于在中小型企业网中担当核心路由器，也可在一些大的分支机构担当接入路由器。　　

　　VPN解决方案：

　　支持L2TP VPN、GRE VPN、IPSec VPN、SSL VPN、MPLS L3VPN， MPLS L2VPN、华为动态VPN等多种VPN业务。　　

　　网络安全：

　　登录用户认证、RADIUS/HTACACS认证/计费、IPSEC、IKE、硬件加密卡、防火墙支持（对接口/时间段/MAC地址的过滤）、CA认证（数字证书）、高性能NAT。　　

　　通过Quidview网管软件，能够对路由器进行远程配置，并且能够对主机程序通过Quidview进行在线升级。　 　　CISCO 7206VXR　　

　　是否VPN支持:是

　　固定广域网接口:10/100Base-T

　　支持扩展模块数:0

　　是否内置防火墙:是

　　设备类型:宽带路由器

　　固定局域网接口:10/100Base-T 　　

　　Cisco 7206VXR路由器提供优异的性价比，可以满足下列需求：需要广域网和Internet网关连接的地区办事处和分公司；企业和服务供应商的远程站点集合，通过一个中心站点将多个分散站点连接起来；需要IBM数据中心连接的站点；需要结合上述所有特性多方面功能的站点，以便支持多服务语音、视频和数据流量。 　　

　　Cisco 7206VXR的一个关键优点是其模块性。通过6插槽机箱，提供300Kpps速度的5个处理器，带有48个端口的广泛的局域网和广域网接口，以及单个或双重电源，客户可以获得所需的性能和容量。这种模块性还提供投资保护和可靠的扩展路径。 　　

　　Cisco 7206VXR支持高速介质和高密度配置；通过其基于RISC和SRAM配置的系统处理器，Cisco 7206VXR每秒可以交换30万个信息包。 　　

　　Cisco 7206VXR拥有全面的Cisco IOS软件支持和高性能网络服务增强，高速执行服务质量、安全、压缩和加密等网络服务。 　

　　Cisco 7206VXR提供高密度端口以及广泛的局域网和广域网介质，大大降低了每端口成本，并允许灵活地进行配置 　

　　利用和Cisco 7206VXR通用接口处理器（VIP）相同的端口适配器，简化了备件存储，并提供接口投资保护。　　

　　中怡数宽IP505VF VPN宽带路由器 　　　

　　中怡数宽IP505VF宽带路由器将VPN、VLAN和防火墙集于一身，能够满足中小企业用户应用需求。

　　在VPN方面，该产品采用了高等级的IPSec安全标准，支持建立10条IPSec通道，允许远程用户通过PPTP拨入公司内部网络。例如：总公司在上海，其他还有10个分公司分布在其他地区，分公司利用PPTP拨入总公司，总公司内部文件和资料直接可以在网络内流通，总公司、分公司的机器相当于在同一个局域网上，使用很方便。每台IP505VF可以连接100台机器，它带有可编辑的防火墙，对LAN到WAN和WAN到LAN这两种网络运送规则都可以订制出适合企业自身应用的规则。除此之外，它还支持数据包过滤、SPI（状态包检测）防火墙阻止DoS等功能。 　　

　　在管理方面，IP505VF可以根据PC的名称和IP地址按用户的需要把网络中的机器编进4个不同的小组中，根据时段和对象控制不同PC小组的访问权限，并且连接是基于硬件地址的，不会因为IP地址的替换而改变权限。它还提供了正/反向URL过滤器，对安全性低的网站，可以在禁止列表中添加这些网址，禁止客户端访问; 也可以根据要求在列表中添加只需要的网址，这样被限制的客户端只能访问固定的网站。

　　另外，值得说明的是，IP505VF支持VLAN，这是目前多数宽带路由器不具备的功能。

来源：厂商稿件 编辑：小白

【投稿】【打印】【关闭】