随着IT市场的发展和企业信息化建设步伐的加快，中小企业网络接入的方式越来越多样化，对不同分支和总部之间的互联互通的需求也在增加。同时，中小企业在针对内网安全方面(尤其是PC客户端准入安全检查)，由于缺少专门的客户端安全检查设备，无法查找和修复内网的安全短板，从而无法有效的保护整个内部网络的安全性。

更为重要的是上班时间内部员工的网络访问行为没有很好的管理、控制方法，上班时间长时间使用QQ聊天、浏览无关网页、在BBS、论坛上发帖等，不仅导致员工工作效率低下，还潜在可能向公网泄露企业机构内部机密信息，并可能因访问非法网站或发表非法言论而违反法律。另外员工肆意使用BT、PPLive等P2P工具下载电影、在线看电视、看电影、听歌等，严重吞噬了有限的带宽资源，影响了中小企业机构内部关键应用和业务的开展。

通过对中小企业机构的网络状态的分析，我们可以看到大部分中小企业在内网安全管理、带宽使用、VPN接入、互联网访问行为管控方面存在或多或少的管理和监控的问题，如何有效的解决这些存在的问题，提升企业员工的工作效率，降低IT人员的管理成本是当务之急。

侠诺安全路由器SSL 006

针对以上这些问题，我们选择量身定制的安全路由器产品侠诺安全路由器SSL 006(适用中小企业，功能非常适用)，并通过实际测试，来展示在双线接入(应是三线接入)、SSL VPN、上网行为管理等方面为企业带来的益处。

二、SSL 006解决方案的架构及测试环境介绍

1、产品特性

SSL 006网络安全路由器是侠诺适应高速网络的VPN、防火墙需求，所研发的一款全功能VPN 防火墙。支持IPSec、PPTP 以及SSL VPN，针对企业的分支、第三方、移动办公、家庭办公等各式VPN运用环境，提供了全面性的解决方案。

适用于多运营商及不同的带宽环境，并提供硬件镜像端口、智能型带宽管理、多WAN 负载均衡、线路备援、强效防火墙、虚拟路由等功能。

此路由器采用64 位多核心硬件加速高阶网络专用处理器，双向转发速率200Mbps，封包处理快速稳定。内建高规格大容量内存，长时间高负载运作，稳定可靠。

本产品提供二个WAN口，一个支持3G上网的USB口，四个LAN口，均为10M/100M自适应，且LAN口为可交换式，并支持VLAN及LAN1支持镜像功能。产品不大，算得上小巧而精致。

2、SSL 006解决方案架构

如下图所示，为典型的企业Internet接入方式，尤其是中小企业。SSL 006直接接入Internet(此时，其既可以充当ADSL拨号功能，亦可充当静态IP地址的路由器，还能支持某些华为的3G上网)。后端接入核心交换机等。

3、产品功能测试的环境简介

本次的环境为家用办公室环境，2Mb小区宽带接入，中国电信3G网络接入。SSL 006安全路由器WAN1口使用PPPOE的小区宽带拨号，3G网络安装在一台手提上，经共享后接入到本路由器。SSL 006安全路由器主要起到双线接入及负载均衡、SSL VPN、上网行为管理等角色，同时后端接有二个八口的交换机以及无线路由器。

此次实验带机量为10台左右(其中约五台使用虚拟化技术)，重点使用其双线负载均衡、SSL VPN、上网行为管理等功能。

三、WEB登录及基本配置

前面提到，本款路由器支持多种接入方式，有两个WAN口一个支持3G上网的USB口，可以根据企业机构的Internet接入情况的多样化而选择最适合的方式(考虑ISP的同时，也要考虑网络管理)。

1、WEB登陆及首页

通过IE浏览器连接路由器进行管理或配置，好像是目前最流行的方式了，SSL 006安全路由器也不例外。同时亦提供了通过Internet访问进行远程管理的方式，前提是有固定的公网IP或动态域名(公网IP视接入方式，而动态域名要看是否申请)。可以访问http://192.168.0.1,从整个登录过程的体验来看，侠诺对安全的关注和用户的体验是下了一番功夫的，是笔者首次见到在路由器登录时使用软键盘的。

登录后的首个页面，就会显示安全路由器的Web管理页面，在其页面的右上角选择安全路由器操作的语言模式，这里选择简体中文(虽是简体中文，在实际操作中，笔者发现部分词语翻译的还是较为拗口，毕竟是繁体用语和简体用法还是有不同之处的)。

在此页，可以了解到设备规格以及设备工作状态信息，还有因安全考虑需要用户即时修改系统登录密码和时间设置。如下图所示，是实现双线接入后的首页展示，可以清晰看到网络及端口状态、本机信息、网路(络)安全信息等。

2、基本配置

基本配置，主要讲此路由器在本次架构中所担任的角色，NAT功能。产品中是通过“网络连线配置”-“网络设置”来完成的。从下图中亦可看出提供了几种网络接入的方式，基本上满足了小型企事业Internet接入的需要。此环境中设置成静态线路(随着评测的进展，连线端口及类型有变化)。

四、主要功能测试

从功能上来看，这款产品可谓集大成者，实用性和针对性的功能有如多WAN接入、SSL VPN、上网行为管理、IPSEC VPN等等，本文的重点是实测这几种功能在实际使用中的表现如何，不但包括设置是否简捷，还有这些功能是否经得起考验。相信通过本次的评测，你会对侠诺的这款适应中小企业使用的安全路由器有个深入的认识，并能够最终选择使用上它。

测试需要全面、深入的、长时间的测试，这样才能发现问题，同时也才能确认此功能在本企业机构应用的可能性。

笔者一直负责公司总部及40多家分支公司的信息安全工作，依据安全管理的经验、用户的体验、老板的要求、企业的网络接入及管理、带宽管理与分配、企业不同区域的互联互通的特点，重点选择了一些功能进行说明和效果截图。为大家分享经验，供借鉴。

1、群组管理

企业均有不同部门的设置，或是有不同职位级别的划分，他们对上网行为、带宽分配或有不同，可以根据这些性质进行IP分组，如把老板们分在一个IP组中，可以让他们具有与别人不同的上网权限和带宽分配(视企业内部管理制度而定)等。

功能不错，设置有些麻烦，在整个评测操作过程中，不少的设置需要一些理解的。建议使用的朋友先下载说明书看看。

群组的管理在防火墙配置中访问规则设置、网页内容管制，网络连线配置中的协议绑定等项。如果能作用于稍后能评测的上网行为管理功能，会更好。

2、双线接入及负载均衡

在此款安全路由器中，不但提供了多种互联网接入方式，如ADSL拨号、宽带接入、固定IP接入等方式，满足了目前绝大多数企业的互联网接入的需求。并根据市场发展和企业的潜在需要，还设置了两个WAN口，支持两条线路，同时还可支持某些类型的3G上网线路(官网查询可得类型)，所谓此款(产品)拥有，上网不愁啊。

WAN1口，在下图中对应的为本次评测环境的小区宽带，也是PPPOE拨号方式：

上图中，还有一个很不错的功能值得一提，就是“掉线排程”功能，在有些地区，宽带接入是受时间限制的，并不能保证24小时都能让你使用。通过激活此功能，可解决此问题，亦可通知“备援线路接口位置”，选择WIN2来实现网络不中断。

WAN2口接入的有些复杂了点。在一台手提上经由3G上网共享后接入的，为固定IP地址方式。设置完后网络连线如下：

双线接入的实现，为接下来的负载均衡提供了可能。

当用户的连线是采用多WAN的线路设计时，也就是本评测环境模式，可以通过网络连线设置—流量管理以及网络连线设置—协议绑定两个子功能模块对安全路由器的负载均衡模式进行设置，使SSL 006安全路由器达到最优数据转发，使网络带宽效能达到最优。

分别设置流量管理及协议绑定(协义绑定中的目标IP地址为新浪网的)：

效果如何呢?通过上述两项的设置后，我们来看看实测的效果：

如上图所示，在没有设置协议绑定及IP均衡前，tracert的路由是经过中国电信的3G线路(左图的第一个TRACERT命令以及使用www.ip138.com显示的当前的电信IP)。

设置均衡后，访问在线视频的同时，仍tracert新浪网，此时可以看到路由已转到2Mb的联通线路上来了。

3、上网行为管理

很多中小企业的网络管理人员，一提起上网行为管控就有说不出的痛，唉，家家有本难念的经啊。正如在一、困境中所述的那样，上网行为的管控不当，不但消耗带宽，还极大影响工作效率。但是如果全部管控制吧，一些部门或是老板根据职责有可能有特殊需求。怎么办呢?

侠诺很好的帮大家解决了这个问题，通过对以下几个方面来达到上网行为的管理：特殊的网页存取限制、阻挡特定的服务、Block File Type、阻挡炒股软件、阻挡在线视频等。

实例A、阻挡特定的服务—QQ

通过此功能，不只是能限制所有的QQ，还能通过“不受限制的QQ号码”来排除不受限的QQ号码，更能通过设置“内网不受限制的IP位址”来设置某些机器不受禁止QQ的限制。应当理解这两个不受限制的管控范围。并注意如果排除了IP地址，即使是限制了全局QQ访问，也能使用此IP访问QQ等的。

如下图所示的实例中，限制了全局QQ不能访问，但排除了ID为小米饭QQ号码，在同台机器上访问不同的QQ就有了不同的状态。但如果像上图中那样，排除IP，这两个QQ是均可登录的。

实例B、上网行为管理—阻挡在线视频

如下图，正常情况下，是能出现播放按钮等工具的，限制后就出现所示情况。成功实现。

需要说明的是，接合着高级防火墙选错的一些功能，也能达到一些上网行为的管理功能。

4、QOS带宽管理

其功能主要为是为了限制某些服务及IP的带宽使用量，以满足特定应用程序或服务所需的带宽或优先权。

通过Qos带宽管理—带宽设置，来设置下载的带宽：

设置后的效果展示(下图1是限制，下图2为解除限制)，通过两图对比，可以看到效果明显：

通过QOS带宽管理—联机数限制，还能限制基于IP的最大连接数。

5、高级防火墙

在官方文档中，侠诺称呼这款安全路由器为防火墙，可见他们对此功能的定制及认可度。你可以通过防火墙配置—基本设置来激活或是关闭这些功能：

不过，本文对防火墙的关注重点不在于此，而是“网页内容管制”及“访问规则设置”。

通过“网页内容管制”(也许可以称为上网行为管理)可以限制对一些网页内容的显示，根据笔者的理解及实际使用，此处的网页内容应为网址的名称等。

通过防火墙配置网页内容管制网页字符管制，可以以限制关键字的方式来限制对某些页面的访问，目前只支持到英文的关键字。通过时间管制设定，可以设定起作用时间范围。

6、SSL VPN

经过实测，我不得不说，爱死这个功能了。

SSL VPN 是将局域网应用服务资源，经过SSL VPN 网关，以安全网页的方式提供给远程接入用户。由于SSL VPN 采用目前所有通用标准网页浏览器内建的SSL/HTTPS 作为安全传输机制，因此在客户端不需安装与设置，只要通过浏览器如IE 或Netscape 便可进行远程数据存取，具有部署简单、无客户端软件、维护成本低、网络适应强等特点。相对在管理端上只需通过原有的身分认证机制，即可对使用者身份及网络存取加以分级管理，让企业信息不至于完全透明，安全保障可更上一层楼。

在正式使用前，需要设定相关的群组、用户，设定认证的方式(可以和AD域相结合)、以及访问登录后的内网资源。

本次测试只展示基本设定(UI设定，增强了用户体验，可以使用公司LOGO等)及实测结果。更多功能使用请参考手册。

A、如下图，设定好访问登录后的首页展示，偶把我家小宝宝的相片放进去了。

B、设定好后，访问登录https://IP或域名。

7、网关到网关的VPN

熟悉网络或是微软ISA的朋友，可能提起网关到网关的VPN会比较“耳熟”些，就是我们常说的站点到站点的VPN，常用于分支网络与总网络之前的互联互通。

由于环境的问题，笔者并没有实测效果如何，亦不能查到是否支持与CISCO等网络设备相互联。

8、端口管理之VLAN

VLAN一般是在三层交换机上来实现的，但本款路由的四个LAN口除了具备交换功能外，还具备三层交换VLAN的功能。

通过端口管理—端口设置，来实现不同端口的不同VLAN设置。

如下图所示，不同VLAN间的互访实测。到对应的端口后端接入不同的交换机时，就需要设置好不同的VLAN哟。

五、其它特色功能测试

A、端口镜像功能

通过此功能，可以实现HUB的抓包分析等。

B、3G USB功能

此功能，主要是通过3G USB上网卡来实现宽带接入的，目前官方提供的支持有限，笔者虽有3G上网卡，但并不在支持之列，亦无法实测。

C、动态域名解析

侠诺公司亦提供了这样的服务，注册申请之后，如SSL VPN、内网对外的WEB服务、远程管理此安全路由器等就可以实现了。

D、对内负载均衡

前文提到过对外的负载均衡，对内负载均衡针对需要平均分配的内网服务器的外来流量，平均分配在对外的每条线路上，使得带宽效率效益最大化，外网访问内部服务可持续性。

如果需要，请测试，并与官方联系如何实现此功能。

E、备援功能

此功能是否使用，仍建议你联系官方，并评测。

F、其它也有一些不错的功能，如QVM，是Qno 专为商用环境所研发的-SmartLink IPSec VPN。只需输入VPN 服务器IP、用户名、密码等三个参数，即可完成IPSec VPN 建置。让企业享有VPN 的优点，而不必顾虑技术及管理上的困难。中央控制的功能，可以随时通过此功能远程登录到客户端进行中央控管，安全及保密性绝对符合IPSec的精神。同时支持备援功能，断线可从另一个WAN 自动建立联机，确保VPN 服务永不断线。

五、测试总结

本次测试虽然没有针对这款产品所提供的功能进行面面俱到的使用，但中小企业常见的产品所能提供的功能均进行了测试，与大家分享以下几点：

1、SSL 006这款产品与其说是安全路由器，不如说是一款防火墙，具备路由、三层交换、VPN接入于一体的防火墙。

2、上网行为管理功能强大，结合国内中小型企事业的网络行为特点，提供了针对性的管控功能，如果配合使用本机的防火墙—网页内容管制功能，更能发挥作用。

3、提供的SSL VPN功能，让中小企业在降低购置成本及管理成本的同时拥有了安全的从外网访问内部资源的可能。

4、宽带接入方面，动、静结合，又加上各地均支持的ADSL接入方式，符合企业Internet接入方式多样化，同时双WAN功能和3G USB接入方式的选择，更是切合企业及家庭访问Internet时需求。

5、对外流量及对内流量(访问)的双重负载均衡，让宽带网络服务更加可靠、稳定及均衡。

6、上网行为管理中的控制部分虽然提供了解决方案，但如果能有相应的审计功能(记录或报表)会更加适应企业需求。

7、用户体验(操作与配置)方面，部分需要使用文档完成，如果简体化更贴合大陆使用会更好。

产品没有真正的好与坏，只有适合与否，相信通过笔者的使用体验，你会对这款具备IPSEC VPN/QOS/SSL VPN功能的安全路由器给予最大程度的肯定。选择性价比不错的侠诺SSL 006安全路由器产品，明智之举。