提高路由器安全功能 解放CPU
来源:中国计算机用户 更新时间:2012-04-13
  数据的加密和解密过程,需要大量复杂的运算过程。采用软件方式,由CPU执行相关的软件处理代码来完成。若采用硬件加密的方式,CPU无需参与,可把宝贵的CPU资源释放出来,去做更重要的事务处理。

  编者按

  通过
网络设备来加强网络的安全性,不愧为是提高网络安全的一种选择。

  在上期“网络”栏目中,我们刊出的《为核心交换插上“安全卡”》一文,说的是如何通过插卡的方式来增加
交换机的安全功能,以至确保网络的安全。在本期,我们向读者就如何提高路由器的安全功能,推荐锐捷网络的做法——内置硬件加密引擎。

  网络安全问题是一个永恒的话题。数据在网络的传输过程中是否安全、可靠,已经成为新时期信息化发展的一个令人关注的话题。毕竟,传输的数据经常会涉及到研发、财务、销售等部门的关键数据。一旦这些数据在网络的传输过程中被泄露,将会给企业的利益带来非常大的损失,后果不堪设想。

  环节多,“漏洞”防不胜防

  数据通过网络的传输,总是要从一个节点到另外一个节点,中间要经过很多环节,比如会经过各种不同的线路、路由器和交换机。在
广域网中,这些都是用户难以在有效的范围内加以控制的地点。在这些环节上,数据是否能够保证没有被泄露,网络用户是没有办法知道的,用户所能知道的也仅仅是传输的线路是否畅通、是否有数据丢包、是否存在着网络延迟等信息。

  为了确保数据的安全,有些重点行业和大型企业采取了运用专线的接入方式。像在
金融行业中,普遍采用专线的接入方式,但专线接入也存在线路数据被窃听的问题。由于电信运营商提供的专线接入(FR、DDN、E1、ISDN、X.25等)从银行的网点到支行一般有两段铜线,这种铜线的数据容易被截获,同时ISP也可以非常方便地对数据进行旁路监听。所以,专线不等于安全。

  加密、解密,CPU无需参与

  在这种环境下,如何确保用户的关键数据在网络传输过程中的安全呢?

  最好的方法是把关键数据进行加密。这样一来,加密后的数据在网络传输过程中,即使被窃取,也无法还原成明文,也就是无法被解读,充分保证了数据的安全。

  目前,一般所采用的加密方式有两种:“软件加密”和“硬件加密”。但是,这两种加密技术究竟哪种更加适合于企业网呢?这也是一直以来“软件加密”与“硬件加密”之战的焦点。

  数据的加密和解密过程,需要大量复杂的运算过程,采用软件方式,由CPU执行相关的软件处理代码来完成。而采用硬件方式,则CPU无需参与数据的加密和解密过程,CPU只要把需要加密的数据发送给硬件加密引擎,加密后送给CPU,就可以完成加密过程。解密也是同样的原理,把需要解密的数据简单的送给硬件加密引擎,加密引擎解密后回送给CPU,就简单地完成了数据解密的过程。

  内置加密引擎,累不着CPU

  随着现在信息化的发展,网络上传输的数据量越来越多,如果采用软件加密方式,则CPU几乎所做的事情就都在进行简单的数据加密、解密了,CPU对于其它的关键事务无暇顾及,浪费的是宝贵的CPU资源,严重地降低了网络的性能。而采用硬件加密的方式,CPU无需参与,把宝贵的CPU资源释放出来,去作更重要的事务处理。

  


  目前,尽管具有高性能安全功能的路由器有不少,但是采取在路由器中内置硬件加密引擎的还很少见。锐捷网络最近推出的RG-R1762/RG-R2632/RG-R2692系列路由器,可谓首屈一指。

  RG-R1762/RG-R2632/RG-R2692系列路由器的最大的特点就是,在实现了众多安全特性的基础上,是目前同档次路由器中,率先采取了内置硬件加密引擎技术,同时使得速度比软件加密快3~10倍,明显地提高了网络的整体性能。