安全才能共享谈宽带路由器选购

说到Internet，共享是目的，但安全才是保证。不能保证安全的共享，说其为“引狼入室”一点都不为过，从技术角度讲，下载一个黑客软件进行攻击已属于公开的技术，稍微有点网络知识的人都可实施，因特网在设计之初对共享性和开放性的过分强调，使得其在安全性方面存有先天的不足，此外软件及系统的漏洞或“后门” 也成为网络的不安全因素。硬件防火墙作为信息安全门户虽已出道多年，但一直摆着总监的架子，高高在上的价格，不要说家庭就是一般的办公室也不敢问津。对于有公用防火墙的内部网来说，虽然阻止了外网的攻击，但随着用户的不断增加，物理上已经将骇客容进了内部网，股票交易、网上购物被监盗的可能性越来越大，较为常见的防范措施是安装防火墙软件，致使长期已来在大多数人的眼中似乎防火墙仅是指软件防火墙，然随着版本的不断升级，对系统资源的占用与日俱增，甚至在一些老“奔”上，同时启用防火墙与IE速度慢的让人无法忍受！低价位宽带路由器的成熟使资源共享实现起来更容易，但同时也将更多的PC暴露给黑客和不良网站。既不能因噎废食，又要吃得顺口，放心！怎么办？

既然代理服务器软件功能移交给了宽带路由器，为什么不把防火墙功能也移交给宽带路由器呢？这样即可实现资源共享，又可安全监控，同时又不占用系统资源，提高了老“奔”速度，何乐而不为呢？其实注重安全的朋友可能早已发现，有些宽带路由器已经内置防火墙功能了，而且价格也非常便宜。

首先来了解一下防火墙究竟在防什么？

防非授权访问

该项功能针对于黑客攻击而设，防火墙通过控制进出内外网的数据包的方法，实时监控网络上数据包的状态，并对这些状态加以分析和处理，及时发现存在的异常行为；同时，根据不同情况采取相应的防范措施，从而提高系统的抗攻击能力。

防有缺陷协议和服务的使用

针对网络先天缺陷的不安全因素，防火墙采取控制协议和服务的方法，使得只有授权的协议和服务才可以通过防火墙，从而大大降低了因某种服务、协议的漏洞而引起灾难性安全事故的可能性。

严守系统“后门”

针对软件及系统的漏洞或“后门”，防火墙采用了与受保护网络的操作系统、应用软件无关的体系结构，其自身建立在安全操作系统之上；同时，针对受保护的内部网络，防火墙能够及时发现系统中存在的漏洞，进行访问上的限制；防火墙还可以屏蔽受保护网络的相关信息，使黑客无从下手。

日志记录与审计

当防火墙系统被配置为所有内部网络与外部internet连接均需经过的安全节点时，防火墙系统就能够对所有的网络请求做出日志记录。日志是对一些可能的攻击行为进行分析和防范的十分重要的情报。另外,防火墙系统也能够对正常的网络使用情况做出统计。

根据防火墙所采用的技术不同，可将它分为四种基本类型：包过滤型防火墙、代理型防火墙、状态检测型防火墙和综合型防火墙。现在新一代综合型防火墙不但融合了上述几种防火墙的技术特点之外，还综合了加密技术、入侵检测技术、病毒检测技术、内容过滤技术等一系列安全措施，全方位地解决网络传输所面临的安全威胁。综合性防火墙应用于网络边际安全的防范领域。针对影响网络边际安全的病毒破坏、黑客入侵、黄色站点、非法邮件、数据窃听等不安全因素，提供集成的防病毒网关、入侵检测、内容过滤以及vpn等功能，已经远远超越了最初定义的防火墙的功能范畴，形成动态的、全方位的网络边界安全解决方案。　

TL-R460多功能宽带SOHO路由器是专为满足中小型企业办公和家庭上网需要而设计的，提供了一个10/100M WAN接口以及4个10/100MLAN接口，非常适合小局域网通过一个宽带共享Internet。全中文Web界面及在线帮助使设置变得异常简单。对于网络安全R460考虑的也非常周到，内置网址过滤功能，允许你屏蔽掉不良网站，上网时间随意限定、可屏蔽多达254个的IP地址(或地址段)以及关闭特定的应用的端口，这些功能对保护青少年的健康上网很有必要。除了IP数据包过滤和域名过滤外，用户还可以按MAC地址设置过滤功能，既可以设置允许特定的(最多四个)MAC地址访问，也可以设置禁止特定的MAC地址访问。WAN口Ping功能可以设置TL-R460丢弃来自外部网络的ICMP Ping包，使外部网络在一定程度上“意识”不到该网络连接的存在。TP-LINK TL-R460目前的售价在350元左右

作为一款定位于SOHO环境的多功能网络产品，DI-704P提供了非常实用的路由功能和防火墙功能，一个以太网WAN接口，可作为SOHO环境中的互联网网关，为用户提供便捷的Cable/DSL宽带网络共享能力。能够通过包括PPPoE、桥接等方式连接不同的宽带网络终端，并且能够支持按需拨号(Dial on Demand)；4个10/100Mbps交换机端口，通过内建的DHCP服务器，可满足小型办公网络环境的组网需求。

在安全方面DI-704P支持VPN，为用户提供了当前最为安全的私有网络解决方案。MAC地址控制、Inbound ip filter可以限制外面用户对局域网的访问，包括ip地址以及端口都可以进行设置，同时通过”schedule”选项，可以控制filter生效的时段；Outbound ip filter对局域网用户进行控制，限制或允许某些机器访问internet，包括源地址/段口，目的地址/端口，同时”schedule”选项，也可以控制filter生效时间； domain filter可以允许/禁止对某些域名的访问，在domain suffix处填入相应的域名即可，在”action”处选中“log”，则进行日志纪录，此外，704P还随机提供了Freedom软件，能够进一步提供包括病毒防护、个人防火墙、Cookie管理、关键词警告等更为丰富的网络安全和私密服务。目前售价在400元左右。

此款路由器也比较适合家庭用户。它同样可提供1一个100Mbps以太网WAN口，4个10/100Mbps的LAN交换端口。除了普通路由器中具备的NAT/NAPT (网络地址端口转换)、自动联机断线、支持PPPoE和PPTP连接、内建DHCP服务器、方便的Web页面管理、设置使用的管理密码等外；IP505LM路由器在安全方面做得也非常到位，状态分组检查(SPI)、防御拒绝服务(DoS)攻击、以电子邮件的方式记录攻击日志和警告、按自己的需要按组/按时间段限制访问。另外IP505LM还支持VPN、支持非军事化区(DMZ)、可以设置动态域名服务(DDNS)、虚拟服务器、支持URL的过滤、MAC地址管理等。当然了，300元的身价对家庭共享来讲是完全可以接受。

DI-604是台湾D-Link公司为家庭和小型办公室设计生产的金属外壳防火墙、宽带路由器。一个10/100Mbps 自适应WAN 端口，通过DSL/cable modem 访问internet，4个10/100Mbps 自适应的LAN 交换端口即可直接连PC与可作为扩展口实现资源共享。

之所以说DI-604为防火墙式宽带路由器，源于其众多的内建安全措施：IP及MAC地址过滤、网域及特殊网址封锁、TCP服务端口隐藏，用户设定特定的防火墙规则在某个特定时段启动，这样就可以限制网络的相应节点用户不会去浏览某些特定的网站。此外，DI-604所具备的日志功能，可以完整记录黑客的攻击、尝试浏览被禁止网站的相关信息等，包括攻击来源及目的的IP地址、服务端口等方面的详细情况记录。目前售价大约在 370左右

http://www.nen.com.cn 2003-12-31 06:07:28 东北新闻网

安全才能共享 谈宽带路由器选购

防非授权访问

防有缺陷协议和服务的使用

严守系统“后门”

日志记录与审计

安全才能共享谈宽带路由器选购