路由器是Internet和大型企业网中最重要的网络互联设备。面向企业骨干以及接入的中端路由器，工作在汇聚层和接入层，担负着企业网络的多种责任，既要发挥它的多协议能力和其它异构网络的路由连接，还要用访问控制策略控制网络内的数据流向，禁止非授权访问。为保证网络连接之间的安全性，现在的新型路由器一般都提供内置防火墙的功能，有些还有专门用于启动防火墙的命令。很多中端路由器还具备了VPN的功能，能在分支机构和企业本部之间架设VPN通道，同时方便在外移动的员工访问企业网资源。现在企业级路由器产品普遍支持IPSec的VPN，有的还支持L2TP、GRE的VPN功能。

VPN功能的介绍

    当一个机构有很多的部分分布在相距很远的一些地点，而在每一个地点都有自己的专用网，假定这些分布在不同地点的专用网需要进行通信，这时可以有两种方法：第一种是租用电信公司的线路作为本机构专用，这种方法的好处是简单方便，但是线路的租金太高；第二种方法就是利用因特网来实现本机构的专用网，因此这样的专用网又称虚拟专用网VPN。VPN为这种连接提供了一种安全廉价的的高性能解决方案，将企业分散在各地的网络通过现有的公共网络连接起来。这种方法适用于大型的，在各个分散的地方有分公司的，而且需要将各地的网络连起来的企业。

VPN原理图

    VPN实现的一个关键技术是隧道技术，所谓隧道技术就是（数据包封装、发送和拆封过程称为"隧道"）原始报文在A地进行封装，到达B地后把封装去掉还原成原始报文，这样就形成了一条由A到B的通信隧道。隧道将原始数据包隐藏（或称封装）在新的数据包内部。新的数据包可能包含新的寻址和路由信息，这使新的数据包得以在网络上传输。当隧道与保密性结合时，在网络上窃听通讯的人将无法获取原始数据包数据（以及原始的源和目的）。将企业网的数据依靠隧道协议封装在隧道中进行传输，保证数据在公共网络上流动的安全。隧道协议分为第二层隧道协议PPTP、L2F、L2TP和第三层隧道协议GRE、IPSEC。它们的区别就是用户的数据包是被封装在哪种数据包中在隧道中传输的。隧道协议有许多优点，比如用户通过拨号网络连入Internet，接受ISP分配的动态IP地址，接着访问企业内部网，而企业网一般均采用防火墙等安全措施来保护自己的网络，那么我们通过ISP拨号上网时就不能穿过防火墙访问企业内部网，只能访问企业的WEB服务器。而采用隧道协议后，拨号用户不仅可以得到ISP的动态IP地址，还可以得到企业内部网的IP地址，通过对PPP帧进行封装，用户数据包可以穿过防火墙到达企业内部网。用户付出的仅仅是拨如ISP的市话费用，不必直接拨号到企业内部。

    虚拟专用网给人的一种感觉就是：“基于公共数据网，给用户一种直接连接到私人局域网感觉的服务”。 它提供了比传统方法更强的安全性和可靠性。

防火墙功能的介绍

    防火墙是隔离本地和外部网络的一道防御系统。早期低端的路由器大多没有内置防火墙功能，而现在的路由器几乎普遍支持防火墙功能，有效的提高网络的安全性，只是路由器内置的防火墙在功能上要比专业防火墙产品相对弱些。在选购产品时要注意这一点

    防火墙有两个功能：一个是阻止，一个是允许。“阻止”某种类型的通信量通过防火墙，或者允许某种类型的通信。带防火墙功能的路由器对每一个通过的分组进行检查，符合条件的分组就可以通过，否则丢弃。他们提供了用于阻止和允许特定 IP 地址和端口号的基本防火墙功能，并使用 NAT 来隐藏内部 IP 地址。某些高端带防火墙功能的路由器可配置为通过阻止较为明显的入侵（如 ping）以及通过使用 ACL 实现其他 IP 地址和端口限制，来加强访问权限。也可提供其他的防火墙功能，这些功能在某些路由器中提供了静态数据包筛选。
我们知道，TCP端口号之处了TCP上面的应用层服务。例如端口号23是TELNET，端口号119是USENET。如果防火墙对在因特网进入这样的路由器中的所有端口号为23的入分组都进行阻拦，那么所有外单位用户就不能使用TELNET登录到本单位的主机上，同样，如果某公司不愿意雇员在上班时花费大量时间取看因特网的USENET新闻，就可将端口号为119的出分组阻拦住，使其无法发送到因特网。

·IT产品报价大全