沈建苗

如今，路由器集成了用于保護(hù)寶貴數(shù)據(jù)免受窺視、抵御惡意軟件、應(yīng)對(duì)垃圾郵件或者讓員工可以安全地遠(yuǎn)程辦公的多項(xiàng)技術(shù)，而且大多數(shù)企業(yè)也都能承受得了路由器的價(jià)格，所以是時(shí)候組建一個(gè)由路由器掛帥的安全企業(yè)網(wǎng)絡(luò)環(huán)境了。

關(guān)注基本的安全措施

小企業(yè)必須應(yīng)對(duì)與大企業(yè)同樣面臨的互聯(lián)網(wǎng)安全威脅，倦通常沒有大企業(yè)那樣充足的預(yù)算和人手。近年來(lái)，威脅出現(xiàn)了多樣化，而且變得更加隱蔽：幾年前你擔(dān)心的是黑客或病毒會(huì)導(dǎo)致計(jì)算機(jī)崩潰，而如今你在蒙受重大經(jīng)濟(jì)損失之后才認(rèn)識(shí)到自己的網(wǎng)絡(luò)遭到了攻擊。比方說(shuō)，你的數(shù)據(jù)有可能丟失或者被劫持；你、你的同事或客戶可能淪為身份盜竊的受害者(即所謂的“肉雞”)；你的計(jì)算機(jī)可能被用于分發(fā)垃圾郵件或惡意軟件。

當(dāng)然，一旦貴公司發(fā)展到一定規(guī)模，比如擁有一兩百名或更多的員工，最好還是把安全工作交給專業(yè)人士，通常是獨(dú)立承包商或經(jīng)銷商。但如果你為一個(gè)工作組或小企業(yè)處理安全工作，而且預(yù)算緊張，那么還是應(yīng)該制定及實(shí)施自己的安全政策。這或許不用花一分錢，只要你付出了必要的努力，安全政策可能會(huì)很有效。誰(shuí)也不喜歡每個(gè)月都更改密碼、定期執(zhí)行備份、查找軟件更新程序，但做好這些事有助于盡量減少安全風(fēng)險(xiǎn)。

一些安全組織提供了讓你開始上路的實(shí)用指南。比方說(shuō)，互聯(lián)網(wǎng)安全聯(lián)盟讓注冊(cè)用戶可以免費(fèi)下載《小企業(yè)網(wǎng)絡(luò)安全常識(shí)指南》；你還可以在系統(tǒng)管理、審計(jì)、網(wǎng)絡(luò)和安全協(xié)會(huì)(SANS Institute)撰寫的《網(wǎng)絡(luò)安全與中小企業(yè)》中讀到一些相關(guān)內(nèi)容。

這些指南都有類似的核對(duì)一覽表，附有指示說(shuō)明。你很可能以前看到過(guò)，但重要內(nèi)容還是值得重復(fù)。包括你不常聽到、但有助于堵住安全漏洞的內(nèi)容。

把你的網(wǎng)絡(luò)與外界連接起來(lái)的路由器是一道主要的防線；路由器通常有自己的防火墻。目前的消費(fèi)級(jí)路由器通常還有其他安全功能，所以你應(yīng)該查看手冊(cè)，看看路由器提供哪些功能。許多原本很精明的用戶常常會(huì)忽視一個(gè)重要步驟，那就是更改默認(rèn)的管理員登錄設(shè)置，以便外人無(wú)法輕易改動(dòng)所有其他設(shè)置。(路由器廠商往往會(huì)讓自己的所有產(chǎn)品使用相同的默認(rèn)設(shè)置。)

如果你使用Wi-Fi，現(xiàn)在就該咬咬牙，使用市面上最好的加密方法：WPA2。如果你使用的筆記本電腦不支持WPA2，就升級(jí)至支持該加密方法的筆記本電腦，或者只好完全禁用Wi-Fi。使用有線連接。智能手機(jī)也是同樣：最近發(fā)布的最新手機(jī)(包括iPhone)都支持WPA2，你應(yīng)當(dāng)放棄在不支持WPA2的舊手機(jī)上使用Wi-Fi。

升級(jí)至企業(yè)級(jí)產(chǎn)品

那么，企業(yè)級(jí)產(chǎn)品可以為你提供消費(fèi)級(jí)產(chǎn)品提供不了的哪些功能呢?不能一概而論，但功能通?？赡馨ǎ汗δ芨鼜?qiáng)的防火墻(隨帶的高級(jí)軟件可以進(jìn)行實(shí)時(shí)檢查，確保數(shù)據(jù)包的合法性)、額外的反病毒/反間諜軟件，反垃圾郵件保護(hù)；還有對(duì)企業(yè)友好的功能，比如VPN支持(那樣就能安全地遠(yuǎn)程訪問(wèn)網(wǎng)絡(luò)，又不會(huì)將網(wǎng)絡(luò)暴露在入侵者面前)、訪客互聯(lián)網(wǎng)訪問(wèn)(那樣造訪你辦公室的客人不用訪問(wèn)你的內(nèi)部網(wǎng)絡(luò)，就能上網(wǎng))，以及支持多家寬帶ISP(萬(wàn)一某家ISP出故障，其他的ISP就會(huì)頂上來(lái)；要是所有ISP都在正常工作，還可以實(shí)現(xiàn)負(fù)載均衡)等。

附帶提一下VPN支持：這是企業(yè)級(jí)路由器的一項(xiàng)關(guān)鍵功能，因?yàn)樵S多人希望在家里或在路上時(shí)能夠訪問(wèn)企業(yè)網(wǎng)絡(luò)。(難道你不愿意讓遠(yuǎn)程員工可以訪問(wèn)防火墻后面的企業(yè)數(shù)據(jù)、而是將文件副本保留在員工有可能丟失的筆記本電腦上嗎?)別把企業(yè)級(jí)路由器上的VPN支持與許多消費(fèi)級(jí)路由器上的VPN直通支持混為一談，VPN直通支持旨在讓家庭用戶可以連接到企業(yè)VPN；而企業(yè)級(jí)路由器自己就能建立VPN。比方說(shuō)，D-Link的DIR-130是一款八端口防火墻路由器?？梢詾樽疃?5個(gè)用戶建立VPN訪問(wèn)機(jī)制(但它不提供反病毒、反垃圾郵件或其他企業(yè)級(jí)功能)。

一體化方案

確實(shí)能滿足所有企業(yè)安全要求的路由器被稱為統(tǒng)一威脅管理(UTM)設(shè)備。這類設(shè)備通常除了收取基本硬件價(jià)格，還要收取附加授權(quán)費(fèi)，那樣才能更新反病毒/反間諜軟件，反垃圾郵件軟件；許多這類產(chǎn)品，都是根據(jù)支持的用戶或連接數(shù)量來(lái)收費(fèi)的(即使不用支付使用費(fèi)，也應(yīng)當(dāng)查看一下該設(shè)備支持多少用戶：超過(guò)這個(gè)數(shù)會(huì)導(dǎo)致網(wǎng)速大幅下降。)。

你心里可能會(huì)想：既然貴企業(yè)的個(gè)人電腦已經(jīng)裝有對(duì)付反病毒軟件和反間諜軟件，為什么還需要UTM?安全專家表示，網(wǎng)絡(luò)層多一道保護(hù)確實(shí)大有好處，特別是當(dāng)你客戶端PC上和UTM設(shè)備上的反惡意軟件程序來(lái)自不同廠商時(shí)，更是如此。你應(yīng)當(dāng)確定UTM設(shè)備廠商與哪些第三方軟件開發(fā)商成為了合作伙伴；大多數(shù)設(shè)備廠商都會(huì)依賴?yán)吓频姆床《?、反垃圾郵件及反間諜軟件產(chǎn)品，來(lái)確保這些服務(wù)的可靠。

安全選擇廣泛

UTM這類設(shè)備最近幾年正得到迅猛的發(fā)展，供應(yīng)商數(shù)量也與日俱增，既有家庭和小型企業(yè)網(wǎng)絡(luò)公司(如D-Link和Netgear)、也有網(wǎng)絡(luò)巨頭(如思科)，還有以企業(yè)級(jí)安全設(shè)備或軟件而家喻戶曉的公司(如Check Point和SonicWal])。這些公司大多數(shù)都擁有供成長(zhǎng)型企業(yè)不斷發(fā)展所需的一系列產(chǎn)品。

這些產(chǎn)品價(jià)格差別很大，取決于功能和支持的用戶數(shù)量。兩個(gè)例子是：Check Point公司面向小企業(yè)的Safe@Office UTM設(shè)備有好幾款，包括支持5個(gè)用戶(299美元)、最多支持25個(gè)用戶(599美元)，或者支持用戶數(shù)量不限(999美元)。軟件更新費(fèi)是每年79美元。不過(guò)如果你主要關(guān)注的是一款好的防火墻，又不需要支持多家ISP之類的功能，那么Check Point旗下ZoneAlarm子公司提供的Z100G安全路由器就ok了，它支持802.11 b/g Wi-Fi及最多10個(gè)用戶，價(jià)格為150美元。

與此同時(shí)，Netgear的ProSecureUTM設(shè)備也有很多可選配制：UTM 10(建議最多支持15個(gè)用戶)和UTM 25(最多支持30個(gè)用戶)。UTM 10的起價(jià)是550美元，包括一年的軟件更新費(fèi)用以及遠(yuǎn)程網(wǎng)絡(luò)管理功能；一年過(guò)后。反惡意軟件/垃圾郵件服務(wù)的訂購(gòu)費(fèi)為每年175美元。

只是需要注意的是：設(shè)備價(jià)格越貴。設(shè)置起來(lái)往往難度也會(huì)越大。廠商通常會(huì)提供一個(gè)專業(yè)經(jīng)銷商網(wǎng)絡(luò)。大規(guī)模工作組或中型企業(yè)可能會(huì)發(fā)現(xiàn)將工作交給安全專家更有效，但小企業(yè)或小規(guī)模工作組中精通技術(shù)的用戶通?？梢灾苯尤ゴ笮虸T賣場(chǎng)、零售商或在線商場(chǎng)購(gòu)買這些產(chǎn)品。到底掏錢請(qǐng)專業(yè)人員，還是花時(shí)間自己來(lái)設(shè)置，一定要確定哪種方案更明智。