本文网址:http://bbs.bitscn.com/35408 复制

摘要
II、 关于SAM
III、注册表中SAM数据库的结构
IV、 SAM数据库的结构和主要内容
V、 关于SAM数据库分析的结论

一、摘要

分析安全帐号管理器结构是在一个多月前做的事情了，只零碎地记录下片段，没有发布过。不发布的主要
原因是安全帐户管理器（SAM）是WIN系统帐户管理的核心，并且非常系统化，我也有很多地方仅仅是进行的推
断和猜测，同时，SAM hack可能造成启动时lsass.exe加载帐户管理器出错，即便是安全模式也不能修复（启动
时候必然加载SAM）使得整个系统启动崩溃（我通常需要依靠第二系统删除SAM文件来启动）。至于现在发布出
来，主要是因为Adam和叮叮的《克隆管理员帐号》种所描述的制作rootkit办法隐蔽性和危害性，对SAM的结构
的熟悉，可以帮助安全维护人员做好安全检测（当然也可能让不良企图者利用）。

这里只介绍关于SAM的内容，同Security相关的暂时不公开。

二、关于SAM

不要误解了SAM，这不是一个文件sam这么简单。SAM（Security Accounts Manager安全帐户管理器）负责
SAM数据库的控制和维护。SAM数据库位于注册表HKLM\SAM\SAM下，受到ACL保护，可以使用regedt32.exe打开注
册表编辑器并设置适当权限查看SAM中的内容。SAM数据库在磁盘上就保存在%systemroot%system32\config\目
录下的sam文件中，在这个目录下还包括一个security文件，是安全数据库的内容，两者有不少关系。

SAM数据库中包含所有组、帐户的信息，包括密码HASH、帐户的SID等。这些内容在后面详细介绍。以我分
析的系统中文Win2K Adv Server为例。

三、注册表中SAM数据库的结构

展开注册表HKLM\SAM\SAM\:

HKLM—SAM
|—SAM
|—Domains
| |—Account
| | |—Aliases
| | | |—Members
| | | |—Names
| | |—Groups
| | | |—00000201
| | | |—Names
| | | |—None
| | |—Users
| | |—000001F4
| | |—000001F5
| | |—000003E8
| | |—000003E9
| | |—Names
| | |—Adaministrator
| | |—Guest
| | |—IUSR_REFDOM
| | |—IWASM_REFDOM
| |—Builtin
| |—Aliases
| | |—00000220
| | |—00000221
| | |—00000222
| | |—00000223
| | |—Members
| | | |—S-1-5-21-1214440339-706699826-1708537768
| | | |—000001F4
| | | |—000001F5
| | | |—000003E8
| | | |—000003E9
| | |— Names
| | |—Administrators
| | |—Users
| | |—Guests
| | |—Power Users
| |—Groups
| | |—Names
| |
| |—Users
| |—Names
|
|—RXACT

这是我机器上注册表中的SAM树。

对照SAM文件中的内容，可以看出，注册表中的SAM树实际上就是SAM文件中一样。不过，SAM文件中是先列
RXACT然后在是Domains内容（以此类推），文件中的表达顺序和注册表中的树形顺序是相反的。如果习惯于看
文件内容，从文件的0000h到0006Ch，表示的是SAM数据库所在的位置：\systemroot\system32\config\sam，然
后是一端空白，直到01000h（hbin），从这里开始就是整个数据库的内容。SAM数据库的文件内容不作主要介绍，
不过会穿插着介绍，有兴趣可以自己去研究。

四、SAM数据库的结构和主要内容：

在整个数据库中，帐号主要内容存在于下面这些位置：

在\Domains\下就是域（或本机）中的SAM内容，其下有两个分支“Account”和“Builtin”。

\Domains\Account是用户帐号内容。

\Domains\Account\Users下就是各个帐号的信息。其下的子键就是各个帐号的SID相对标志符。比如000001F4，
每个帐号下面有两个子项，F和V。其中\Names\下是用户帐号名，每个帐号名只有一个默认的子项，项中类型不
是一般的注册表数据类型，而是指向标志这个帐号的SID最后一项（相对标识符），比如其下的Administrator，
类型为0×1F4，于是从前面的000001F4就对应着帐户名administrator的内容。由此可见MS帐号搜索的逻辑。

推断一：从注册表中结构来看帐号，如果查询一个帐户名refdom的相关信息，那么，微软从帐号名refdom中
找到其类型0×3EB,然后查找相对标志符（或者SID）为000003EB的帐号内容。所有的API函数（比如NetUserEnum()）
都是这样来执行的。因此，如果改变refdom帐号中的类型0×3EB为0×1F4，那么这个帐号将被指向类000001F4的帐
户。而这个帐号000001F4就是administrator帐户，这样，系统在登录过程中就把refdom帐号完全转为了administrator
帐号，帐号refdom所使用的所有内容、信息都是adminisrtator内容，包括密码、权限、桌面、记录、访问时间等
等。这个推断应该成立，但是，将意味着两个用户名对应一个用户信息，系统启动上应该会发生错误！

推断一是在以前分析结构的时候即得出了，揭示了登录过程中及之后帐户名和SID关联的关系。

\Domains\Account\Users\000001F4，这就是administrator的帐户信息（其他类似）。其中有两个子项V和F。
项目V中保存的是帐户的基本资料，用户名、用户全名(full name)、所属组、描述、密码hash、注释、是否可以更
改密码、帐户启用、密码设置时间等。项目F中保存的是一些登录记录，比如上次登录时间、错误登录次数等，还
有一个重要的地方就是这个帐号的SID相对标志符。

以前分析结构的时候没有留意到这个地方，这就是Adam提出的思路。这个地方就是这个SID相对标志符在注册
表中一个帐号出现了两遍，一个是在子键000001F4，另一个地方就是子键中项F的内容里面，从48到51的四个字节：
F4 01 00 00，这实际上是一个long类型变量，也就是00 00 01 F4。当一个标志出现在两个地方的时候就将发生
同步问题。明显，微软犯了这个毛病。两个变量本应该统一标志一个用户帐号，但是微软把两个变量分别发挥各自
的作用，却没有同步统一起来。

子键中000001F4用来同用户名administrator对应，方便通过用户查询帐户信息，比如LookupAccountSid（）等
帐号相关API函数都是通过这个位置来定位用户信息的，这个关联应该是用在了帐户登录以后。而项目V值中的
F4 01 00 00是同帐户登录最直接相关联的。

推断二：WIN登录的时候，将从SAM中获得相对标志符，而这个相对标志符的位置是V值中的 F4 01 00 00。但是，
帐户信息查询却使用的SAM中子键内容。

推断二的原因假设（假设一）：在帐户登录的时候，登录过程获得SAM数据库中用户名使用的帐户记录信息中的
相对标志符值（相当于V值中的 F4 01 00 00），帐户登录之后，所有跟帐户相关的之后，这个值不再被API函数使
用，而相对标志符由一个数据记录项的字段名代替（相当于子键000001F4）。微软犯了一个同步逻辑问题！

推断二是根据Adam提出而进行的，以前没有这样推断过。:( 推断二如果成立，揭示了在登录过程中帐户SID进行
的过程。这就是为什么V中的值都是跟帐户登录记录（登录时间，密码错误次数等）相关的原因。同时，因为F中保存
了一个用户名内容，而API函数查询的是这个用户名，所以Adam的克隆办法还是容易露脸，经叮叮补充过后，这个用户
名也被恢复原用户名了，从用户名上检测就相对难了。

上面对项目V的介绍可以知道，其中保存的是帐户的基本资料，用户名、用户全名(full name)、所属组、描述、
密码hash、注释、是否可以更改密码、帐户启用、密码设置时间等。现在来关心的是密码HASH。

假设二：在帐户的项V中，包含了用户HASH，分别包括是LM2和NT的密码加密散列，Crack时，可分开进行。毕竟
LM2简单。

\Domains\Builtin下的内容是同帐户组相关的。其结构同\Account下的类似，并且也存在相应的问题，就不再
罗嗦了。

SAM数据库保存的文件sam中，可没有注册表中的这么简明的内容，而主要是通过偏移量、长度来定位内容。并
且单个帐号的信息都是集中在一块的，而不是象注册表形式这样分隔开（名字的一个键而内容在另外一个键）。

sam文件中，可根据这些下面这些分隔符来定位数据含义：

nk (6E 6B) 键或者子键名
vk (76 6B) 相应的值
if (6C 66) 子键列表
sk (73 6B) 权限

五、关于SAM数据库分析的结论：

SAM HACK是非常有危险性的。不正确的修改会将系统的安全数据管理器破坏，造成系统启动问题，虽然可以通过
删除SAM文件来让启动恢复。如果能够熟悉SAM的结构，你将发现，可以对用户名与用户名之间、用户组与用户组之间
进行调换，以及帐户和帐户组伪造，完全打破微软的帐户格局。并且非常隐蔽，让帐户相关的API函数摸不着头脑。

虽然微软处理帐号信息中犯了不少逻辑问题，但是安全帐号数据库并非不安全，所有操作都必须能完全拥有管理
员权限。

当隐蔽后门的办法被提出来之后，一定会让不少“黑客”利用，管理员也应该多多熟悉相关技术，作好安全检测，
我的目的就达到了。对《克隆管理员帐号》的简单检测工具可在(www.opengram.com)下载，但是更多的还是需要管理员学习相关知识，才能更好地检测入侵

Tomcat性能优化可从外部环境和自身调整两方面着手。
外部环境主要是Tomcat所在服务器的运行环境，包括操作系统层面、部署以及Java虚拟机的配置。

操作系统

这里不再赘述，跟优化其他服务器的思路与步骤没有本质区别。尽可能的增大可使用的内存容量、提高CPU的频率、保证文件系统的读写速率等等。对于可能发生很大并发连接的情况，可能需要修改内核参数来设置最大连接数。

Java虚拟机

Sun的JVM应该是多数情况下的第一选择。在满足项目要求的前提下可以选用版本较高的JVM版本，一般来说高版本产品在速度和效率上比低版本会有改进。
由 于Jvm系统垃圾收集机制的存在，在高负载情况下如果能根据系统的具体要求有效的调整最优化堆的大小，也可以起到一定优化作用。如果堆设置较大，则GC次 数变少，但每次花费较长时间，从而导致系统处理能力抖动较大；如果堆设置较小，则GC变得频繁，虽然对系统性能影响较小，但频繁的GC也会耗费系统资源。
JVM动态库有Server和Client两个版本，虽然差别不是很大，但生产环境还是推荐使用Server版本。
初此之外，主要的JVM还包括BEA JRockit，IBM JVM，Jikes RVM，Kaffe等。可以根据项目的中间件产品选择对应厂商的JVM来获取有针对性的性能优化。

Tomcat自身的调整策略

• 启动参数Tomcat默认可以使用的内存是128MB。可以通过在启动时加入“-Xms”和“-Xmx”参数来获得更大的内存分配。但也要注意GC的问题。
• 负载均衡比较复杂，有机会另文详述。
• 集成Web服务器处理静态内容作 为一个Jsp/Servlet容器，Tomcat本身对静态Html文件的相应速度远逊Apache等Web服务器。通过与此类Web服务器的集成，可以 将对jsp内容的请求转发至Tomcat，而用Web服务器处理静态内容，能够非常显著的降低整体负载，提高整体响应的速度。
• 调整线程数Tomcat5使用线程池（Apache Portable Runtime）来加速响应速度。默认创建5个线程，最大 线程数是200.如果并发较大，则可以对以下几个参数进行具体的调整：
  maxThreads：Tomcat可创建的最大线程数；
  acceptCount：如果当前可用线程数为0，则将请求放入处理队列中。这个值限定了请求队列的大小，超过这个数值的请求将不予处理。
  connectionTimeout：网络连接超时数，单位毫秒。
  minSpareThreads：如果当前没有空闲线程，且没有超过maxThreads，一次性创建的空闲线程数量。Tomcat初始化时创建的线程数量也由此值设置。
  maxSpareThreads：一旦创建的线程超过此数值，Tomcat会关闭不再需要的线程。
  线程数可以大致上用 “同时在线人数*每秒用户操作次数*系统平均操作时间” 来计算。
• 使用JikesJikes是性能优良的Java编译器，在jsp容器中使用Jikes替代Sun的编译器能够有效提高jsp文件的编译速度。对于Tomcat 5.5，可以参考Jasper-Howto。要注意的是Windows版本的Jikes是不支持-encoding选项的，你需要自己编译。可以参考这里。
• 用Ant进行预编译Tomcat官方推荐的部署方式是使用Ant对jsp进行预编译。直接在部署时将jsp编译为servlet类，能够在运行初期时显著提高响应速度。
• http://zmaze.org/?p=194

    这段时间一直在做一个电信项目,该平台的用户访问量非常的大,经常是大批量的数据的查询和插表动作,在本地测试的时候速度很快,一切也正常,但放到服务器上去之后,每天早上速度还可以,但到了下午的时候速度特慢,查了很长时间没有查出原因,开始以为是自己程序里的连接池的原因,也有可能是程序里的对象释放慢的原因,但后来一一查下来,也优化了程序,但发现效果也不是太好,后来就听说可以调高服务器上的TOMCAT的内存,后问题解决了,发现这个解决方案还可以.
我们这个服务器的内存是2G的,TOMCAT下面跑了5个应用,压力比较大,所以把TOMCAT的内存调高到最小512M,最大1G,
echo “Using CATALINA_BASE:   $CATALINA_BASE”
echo “Using CATALINA_HOME:   $CATALINA_HOME”
echo “Using CATALINA_TMPDIR: $CATALINA_TMPDIR”
echo “Using JAVA_HOME:       $JAVA_HOME”
以上行后面增加一行:
CATALINA_OPTS=”$CATALINA_OPTS -Xms512m -Xmx1024m $JPDA_OPTS”

重新启动程序,发现速度快了很多,又观察了几天,情况不错.开心ING

http://www.duduwolf.com/wiki/2006/17.html

Windows 2003服务器安全配置终极技巧
网上流传的很多关于windows server 2003系统的安全配置，但是仔细分析下发现很多都不全面，并且很多仍然配置的不够合理，并且有很大的安全隐患，今天我决定仔细做下极端BT的2003服务器的安全配置，让更多的网管朋友高枕无忧。
我们配置的服务器需要提供支持的组件如下：（ASP、ASPX、CGI、PHP、FSO、JMAIL、MySql、SMTP、POP3、FTP、3389 终端服务、远程桌面Web连接管理服务等），这里前提是已经安装好了系统，IIS，包括FTP服务器，邮件服务器等，这些具体配置方法的就不再重复了，现 在我们着重主要阐述下关于安全方面的配置。
关于常规的如安全的安装系统，设置和管理帐户，关闭多余的服务，审核策略，修改终端管理端口， 以及配置MS-SQL，删除危险的存储过程，用最低权限的public帐户连接等等，都不说了
先说关于系统的NTFS磁盘权限设置，大家可能看得都多了，但是2003服务器有些细节地方需要注意的，我看很多文章都没写完全。
C盘只给administrators 和system权限，其他的权限不给，其他的盘也可以这样设置，这里给的system权限也不一定需要给，只是由于某些第三方应用程序是以服务形式启动的，需要加上这个用户，否则造成启动不了。

Windows目录要加上给users的默认权限，否则ASP和ASPX等应用程序就无法运行。以前有朋友单独设置Instsrv和temp等目录权限，其实没有这个必要的。

另外在c:/Documents and Settings/这里相当重要，后面的目录里的权限根本不会继承从前的设置，如果仅仅只是设置了C盘给administrators权限，而在All Users/Application Data目录下会 出现everyone用户有完全控制权限，这样入侵这可以跳转到这个目录，写入脚本或只文件，再结合其他漏洞来提升权限；譬如利用serv-u的本地溢出 提升权限，或系统遗漏有补丁，数据库的弱点，甚至社会工程学等等N多方法，从前不是有牛人发飑说：”只要给我一个webshell，我就能拿到 system”，这也的确是有可能的。在用做web/ftp服务器的系统里，建议是将这些目录都设置的锁死。其他每个盘的目录都按照这样设置，没个盘都只 给adinistrators权限。

另外，还将：net.exe，cmd.exe，tftp.exe，netstat.exe，regedit.exe，at.exe，attrib.exe，cacls.exe，这些文件都设置只允许administrators访问。
把不必要的服务都禁止掉，尽管这些不一定能被攻击者利用得上，但是按照安全规则和标准上来说，多余的东西就没必要开启，减少一份隐患。
在”网络连接”里，把不需要的协议和服务都删掉，这里只安装了基本的Internet协议（TCP/IP），由于要控制带宽流量服务，额外安装了Qos数 据包计划程序。在高级tcp/ip设置里–”NetBIOS”设置”禁用tcp/IP上的NetBIOS（S）”。在高级选项里，使用 “Internet连接防火墙”，这是windows 2003 自带的防火墙，在2000系统里没有的功能，虽然没什么功能，但可以屏蔽端口，这样已经基本达到了一个IPSec的功能。

这里我们按照所需要的服务开放响应的端口。在2003系统里，不推荐用TCP/IP筛选里的端口过滤功能，譬如在使用FTP服务器的时候，如果仅仅只开放 21端口，由于FTP协议的特殊性，在进行FTP传输的时候，由于FTP 特有的Port模式和Passive模式，在进行数据传输的时候，需要动态的打开高端口，所以在使用TCP/IP过滤的情况下，经常会出现连接上后无法列 出目录和数据传输的问题。所以在2003系统上增加的windows连接防火墙能很好的解决这个问题，所以都不推荐使用网卡的TCP/IP过滤功能。

SERV-U FTP 服务器的设置：
一般来说，不推荐使用srev-u做ftp服务器，主要是漏洞出现的太频繁了，但是也正是因为其操作简单，功能强大，过于流行，关注的人也多，才被发掘出bug来，换做其他的ftp服务器软件也一样不见得安全到哪儿去。
当然，这里也有款功能跟serv-u同样强大，比较安全的ftp软件：Ability FTP Server
下载地址：http://www.315safe.com/showarticle.asp?NewsID=4096
设置也很简单，不过我们这里还是要迎合大众胃口，说说关于serv-u的安全设置。
首先，6.0比从前5.x版本的多了个修改本地LocalAdministrtaor的密码功能，其实在5.x版本里可以用ultraedit-32等编 辑器修改serv-u程序体进行修改密码端口，6.0修补了这个隐患，单独拿出来方便了大家。不过修改了管理密码的serv-u是一样有安全隐患的，两个 月前臭要饭的就写了新的采用本地sniff方法获取serv-u的管理密码的exploit，正在网上火卖着，不过这种sniff的方法，同样是在获得 webshell的条件后还得有个能在目录里有”执行”的权限，并且需要管理员再次登陆运行serv-u administrator的时候才能成功。所以我们的管理员要尽量避上以上几点因素，也是可以防护的。

另外serv-u的几点常规安全需要设置下：
选中”Block “FTP_bounce”attack and FXP”。什么是FXP呢？通常，当使用FTP协议进行文件传输时，客户端首先向FTP服务器发出一个”PORT”命令，该命令中包含此用户的IP地址和 将被用来进行数据传输的端口号，服务器收到后，利用命令所提供的用户地址信息建立与用户的连接。大多数情况下，上述过程不会出现任何问题，但当客户端是一 名恶意用户时，可能会通过在PORT命令中加入特定的地址信息，使FTP服务器与其它非客户端的机器建立连接。虽然这名恶意用户可能本身无权直接访问某一 特定机器，但是如果FTP服务器有权访问该机器的话，那么恶意用户就可以通过FTP服务器作为中介，仍然能够最终实现与目标服务器的连接。这就是FXP， 也称跨服务器攻击。选中后就可以防止发生此种情况。

另外在”Block anti time-out schemes”也可以选中。其次，在”Advanced”选项卡中，检查 “Enable security”是否被选中，如果没有，选择它们。

IIS的安全：
删掉c:/inetpub目录，删除iis不必要的映射
首先是每一个web站点使用单独的IIS用户，譬如这里，新建立了一个名为www.315safe.com ，权限为guest的。

在IIS里的站点属性里”目录安全性”—”身份验证和访问控制”里设置匿名访问使用下列Windows 用户帐户”的用户名密码都使用www.315safe.com 这个用户的信息.在这个站点相对应的web目录文件，默认的只给IIS用户的读取和写入权限（后面有更BT的设置要介绍）。

在”应用程序配置”里，我们给必要的几种脚本执行权限：ASP.ASPX,PHP，

ASP，ASPX默认都提供映射支持了的，对于PHP，需要新添加响应的映射脚本，然后在web服务扩展将ASP，ASPX都设置为允许，对于php以及 CGI的支持，需要新建web服务扩展，在扩展名(X)：下输入 php ，再在要求的文件(E)：里添加地址 C:/php/sapi/php4isapi.dll ，并勾选设置状态为允许(S)。然后点击确定，这样IIS就支持PHP了。支持CGI同样也是如此。
要支持ASPX，还需要给web根目录给上users用户的默认权限，才能使ASPX能执行。

另外在应用程序配置里，设置调试为向客户端发送自定义的文本信息，这样能对于有ASP注入漏洞的站点，可以不反馈程序报错的信息，能够避免一定程度的攻击。

在自定义HTTP错误选项里，有必要定义下譬如404,500等错误，不过有有时候为了调试程序，好知道程序出错在什么地方，建议只设置404就可以了。

IIS6.0由于运行机制的不同，出现了应用程序池的概念。一般建议10个左右的站点共用一个应用程序池，应用程序池对于一般站点可以采用默认设置，

可以在每天凌晨的时候回收一下工作进程。

新建立一个站，采用默认向导，在设置中注意以下在应用程序设置里：执行权限为默认的纯脚本，应用程序池使用独立的名为：315safe的程序池。

名为315safe的应用程序池可以适当设置下”内存回收”：这里的最大虚拟内存为：1000M，最大使用的物理内存为256M，这样的设置几乎是没限制这个站点的性能的。

在应用程序池里有个”标识”选项，可以选择应用程序池的安全性帐户，默认才用网络服务这个帐户，大家就不要动它，能尽量以最低权限去运行大，隐患也就更小 些。在一个站点的某些目录里，譬如这个”uploadfile”目录，不需要在里面运行asp程序或其他脚本的，就去掉这个目录的执行脚本程序权限，在” 应用程序设置”的”执行权限”这里，默认的是”纯脚本”，我们改成”无”，这样就只能使用静态页面了。依次类推，大凡是不需要asp运行的目录，譬如数据 库目录，图片目录等等里都可以这样做，这样主要是能避免在站点应用程序脚本出现bug的时候，譬如出现从前流行的upfile漏洞，而能够在一定程度上对 漏洞有扼制的作用。

在默认情况下，我们一般给每个站点的web目录的权限为IIS用户的读取和写入，如图：

但是我们现在为了将SQL注入，上传漏洞全部都赶走，我们可以采取手动的方式进行细节性的策略设置。
1． 给web根目录的IIS用户只给读权限。如图

然后我们对响应的uploadfiles/或其他需要存在上传文件的目录额外给写的权限，并且在IIS里给这个目录无脚本运行权限，这样即使网站程序出现 漏洞，入侵者也无法将asp木马写进目录里去，呵呵， 不过没这么简单就防止住了攻击，还有很多工作要完成。如果是MS-SQL数据库的，就这样也就OK了，但是Access的数据库的话，其数据库所在的目 录，或数据库文件也得给写权限，然后数据库文件没必要改成.asp的。这样的后果大家也都知道了把，一旦你的数据库路径被暴露了，这个数据库就是一个大木 马，够可怕的。其实完全还是规矩点只用mdb后缀，这个目录在IIS里不给执行脚本权限。然后在IIS里加设置一个映射规律，如图：

这里用任意一个dll文件来解析.mdb后缀名的映射，只要不用asp.dll来解析就可以了，这样别人即使获得了数据库路径也无法下载。这个方法可以说是防止数据库被下载的终极解决办法了。

CNET中国.ZOL 11月17日报道：“掉线”是网吧业主们最害怕听到的两个字，时断时续的网络环境很快会把消费者赶到竞争对手那里去。对于网吧业主们来说，稳定应当是选购网吧设备时应遵循的基本原则。

黑暗、空旷的网吧是业主们的噩梦

    在网络设备制造商们的生产线上，网吧用设备是一类比较高端的产品。而路由器是网吧网络的核心设备，选择什么样的路由是我们组网时要考虑的第一问题。按照WAN端口数量，我们可以把目前市场上的网吧用路由分为单WAN口路由和多WAN口路由两类。虽然多WAN口路由普遍比单WAN口路由要贵一些，但笔者仍然建议网吧业主们在组网或升级网络时选择多WAN口路由。

    多WAN口路由大多具备多网接入功能。四年前的春天，

信息产业部的一纸命令将中国互联网人为分割，这种局面让网友们怨声载道。“世界上最遥远的距离不是你坐在我面前却不知道我爱你，而是你在电信而我在网通……”，这句话里蕴涵了太多太多。而国内主要门户网站也不得不为电信和网通用户分别准备下载服务器。如果某家网吧选用多WAN口路由分别接入这两家运营商的网络，网友们就可以在那里享受到更好的服务，而网吧也能做得更红火。

分别位于网通和电信两大网络的ZOL软件频道下载点

    多WAN口路由大多还具备负载平衡和链路备份功能。即使在无法接入多家运营商网络的地方，业主们也可以利用多WAN口路由为网吧内网准备一条备用线路。这样即使路由器的某个WAN口或者某根接入网线出现问题，网吧也可以维持正常运营。

    在多WAN口路由中，双WAN口路由较为便宜，而可提供更多WAN口的路由会更贵一些。不过，拥有更多WAN口的路由器可以为局域网提供更多种的接入方案，它的性能也会更加出色。下面笔者就和大家一起去看看市场上比较常见的几款多WAN口路由，谨供大家参考。

    

第2页：适合百台电脑规模网吧 小机架式双WAN口路由
腾达 TEI480T+

    腾达“御天使”路由器TEI480T+是一款专为网吧设计的宽带路由器。为了满足用户对网络稳定性的要求，它采用了双WAN口三LAN口的端口配置方案。

腾达 480T+

    TEI480T+采用了深蓝色金属外壳，它长294毫米、宽180毫米、厚44毫米，可放置在小型机架上。它拥有不错的散热性能，可以长时间稳定工作。TEI480T+的5个端口都是10/100M自适应端口，一般我们会用它直接连接3台交换机。

腾达 480T+

    该路由器采用了266MHz的Intel IXP多CPU分布式处理器，可实时处理和传送大量信息。它提供三种负载平衡方式，它可以自动实现负载平衡与实时备份，并可根据源或目的地址指定优先通道。

    这款路由器拥有主流路由器的常见功能。它支持动态域名解析和DMZ主机功能，可以方便网吧架设内网游戏或多媒体应用服务器并和互联网用户共享。它还支持端口带宽控制、流量统计和基于IP地址的流量和连接数控制等功能，可以很好地把有限的公网带宽分配到内网。

    TEI480T+具备比较合格的安全性能，它可防止DoS攻击和ARP攻击，能自动隔离带病毒的电脑。它支持IP客户端过滤、域名过滤、MAC地址过滤功能，还能支持IP与MAC绑定。该路由器还支持系统安全日志记录，并可以通过email向用户告警。

编辑观点

    作为目前市面上最便宜的主流双WAN口路由，腾达TEI480T+算得上是一款合格的网吧用路由器。但这款路由的内存和缓存都比较小，它无法充当大中型网吧网络的核心设备。不过据用户反映，它可以很好的为百台左右的电脑提供网络服务。笔者建议拥有百台电脑规模的网吧业主可以考虑一下选购它。

    [参考售价]：1200元
[推荐商家]：鼎好电子城3楼3040#
[联系电话]：010-82697880

第3页：适合百台电脑规模网吧的一款桌面型双WAN口路由
Linksys RV042

    Linksys的双WAN口路由器RV042同样是一款适合百台电脑规模网吧的产品。这款路由器采用了桌面型外观设计，并拥有钢板材料的机壳。制造商采用了黑色的塑料前面板来配合它白色的金属机身，这种大方的设计风格让它看起来比较舒服。

Linksys RV042

    RV042同样采用了266MHz主频的Intel IXP处理器，它也拥有32MB的内存和8MB的闪存。这款产品为内网提供了4个支持MDI/MDIX线序自适应和200Mbps速率的全双工交换机端口，这些端口可以被用来连接多个集线器和交换机。

    这款产品同样可以作为DHCP服务器，它还可以最多支持30个用DES和3DES算法加密过的远程VPN连接。

    RV042支持MD5和SHA认证方式加密。它的SPI防火墙可以为网吧电脑提供安全保障。此外，这款产品还可以通过web、SNMP和安装向导进行比较细致的管理，并可以详细设置IP地址过滤器的访问规则。

编辑观点

    同样是适合百台电脑规模网吧的产品，RV042拥有比腾达TEI480T+更多的LAN接口，它的体形也比后者小得多。作为Linksys产品，它还拥有值得信赖的品质。不过这款路由器目前已经停产，笔者建议想选购它的网吧业主们和经销商多多沟通以解决它的保修问题。

    [参考售价]：1420元
[推荐商家]：鼎好电子城4楼4151#
[联系电话]：010-86902152/13366133652

第4页：适合二百台电脑规模网吧 可采用2到4个WAN口的小型机架式路由
D-Link DI-604LB+

    了解完今天笔者为小型网吧业主选择的两款产品，下面我们一起来看看什么样的多WAN口路由适合拥有二百台电脑的中型网吧。

    D-Link出品的DI-604LB+是一款小型机架式多WAN口路由。它拥有灰黑色的金属外壳，这款产品长340毫米、宽200毫米、厚44毫米，可以放置在小型机架上。它拥有5个10/100M自适应RJ-45接口，而且这5个接口都可以被配置为WAN接口。这样一来，我们就可以随意采用其中1到4个接口连接宽域网。此外，这款产品还拥有一个配置端口，这种设计让厂家的技术支持工程师可以很方便的为它恢复出厂设置。

D-Link DI-604LB+

    DI-604LB+采用了MARVELL高性能交换芯片，它还拥有4MB闪存和32MB内存。这款产品支持带宽按需调控，可以把带宽分配到各个端口。它也具有全自动负载均衡与实时备份功能。

    这款路由器可设置基于源地址、目的地址、时间段和协议的访问控制列表，从而限制网络病毒常用端口。它特有的NAT连接控制命令可以限制网吧内单台PC的最大NAT连接数量,从而避免有PC感染病毒影响路由器性能。

    D-Link为它提供了NAT网吧监控软件，这款软件是专门针对网吧这类复杂上网环境设计的。NAT网吧监控软件可实时获取路由器的NAT信息，并将获取的数据进行分析、统计后以图形、表格形式显示给网络管理员。这样一来，网管的工作就会变得轻松许多。

编辑观点

    根据网吧业主反映，DI-604LB+能很好的为拥有二百台电脑的中型网吧服务。这款路由器确实拥有一些特别的功能，D-Link的售后服务也值得用户信赖。此外如果某位业主自己具备一定的网络知识也没有雇佣一位不错的网管的话，DI-604LB+的监控软件会为他提供很大的帮助。

    [参考售价]：1420元
[推荐商家]：科贸电子城4A094
[联系电话]：010-65995963

第5页：适合二百台电脑规模网吧 可语音报警的双WAN口机架式路由
侠诺FVR360V

    DI-604LB+只适合那些具备一定网络知识的网吧业主，而比较擅长经商的很多业主都不是“技术专家”。最近侠诺科技推出了一款可以自动诊断网络问题并语音报警的双WAN口路由FVR360V，笔者觉得这款路由比较适合并非技术专家的网吧业主们。

    FVR360V形状规整，他采用了便于安装的标准19寸机架铁壳结构设计。银、银灰、灰三色结合的配色方案让它看上去美观大方。它提供了2个10/100M自适应WAN端口和4个10/100M自适应LAN端口，这些端口和对应的指示灯都排列在机身前面板上。

FVR360

    FVR360V最为人瞩目的地方就是它拥有“语音告警功能”。据厂家宣称，这款路由器能在各端口开始连接、各端口中断连接、内网用户修改MAC或IP、某端口出现壅塞、出现DDoS攻击、出现蠕虫病毒等时刻自动播放相应的语音告警。

    这款路由器采用了533MHz主频的四核CPUIXP425。这款CPU配合8MB的快速缓存和32MB的内存，可稳定快速的进行封包处理。它工作时可以200Mbps的双向转发速率传输数据，可同时支持70000个会话连接。

    它的两个WAN口可支持带宽汇聚功能，可作负载均衡。它的负载均衡可支持IP群组、智能型负载均衡、IP负载均衡等三种模式，可配合运营商配置选用，适合常见的网通、电信双线接入模式。它支持自动QoS带宽管理，可限制和解决BT、迅雷、点点通、视讯下载等占用带宽的问题。

    这款产品的内置防火墙具备主动式封包检测功能，还可以进行SPI、DoS侦测。用户可以在web界面里随时启动防护主流黑客攻击、防护蠕虫病毒等功能。它还内建了ARP病毒来源自动检测工具，无须藉由其它软件即可进行ARP攻击防制。

编辑观点

    侠诺FVR360V的语音报警设计可以极大的节省网管发现和排除问题的时间，找不到资深网管的业主们可以放心使用新手网管了。这款产品的理论带机数是最大500台，笔者觉得它完全可以满足二百台电脑规模中型网吧的需求。但是它的价格比较贵，是否选择它还得让业主自己来权衡。

    [参考售价]：3800元
[推荐商家]：鼎好电子城3楼3040#
[联系电话]：010-82697880

总结：

    今天我们一起了解了四款适合网吧使用的多WAN口路由器。一般看来，这类产品应具备较为稳定的工作状态、较为可靠的安全性和承受突发性海量数据流的承受能力，它还需要很好地支持多媒体应用、游戏应用和即时通讯软件应用。和企业用产品不同的是，这类产品不需要定时开启、关闭上网这样的功能，它也无须充当VPN服务器的角色。笔者认为，网吧业主们在选购此类产品的时候最好能结合实际情况慎重考虑。

产品特点：

·连接二路ADSL或CABLE线路
·二路ADSL可连接至同一ISP, 二路ADSL亦可连接至不同ISP
·具备防火墙功能
·不同协议带宽配置
·各配置至不同WAN
·可配置高达七种协议带宽
·不同用户带宽配置
·各配置最小及最大带宽
·适合需管理内部带宽客户
·可从 Internet遥测远程路由器
·可针对设定条件送出警示邮件
·可针对WAN、LAN、Speed、Session、NAT组件监测实时或统计资料
·适用于中小企业、网吧、部门级用户（200台电脑环境）

通过IT168产品库查询关于DI-602LB更多的资料。

　　 多WAN口，倍增现有带宽的低成本解决方案

　　【IT168评测室】专线接入的带宽、稳定性的确是各种用户都希望的得到的，但是其高昂的成本却可以让中小企业、网吧、部门级用户这类注重成本的用户望而却步（中国网通北京分公司提供的2Mbps DDN专线月租费最低为6000元）。对于这些用户来说，ADSL、以太网宽带、Cable Modem都接入方式的成本更容易接受，但是单条接入线路的带宽一般在几百Kbps到10Mbps之间，依然不能很好的满足日益增长的数据量的需求，而且单条线路的稳定性也是个问题。

　　多WAN口路由器是解决上述用户所面临的问题的一类产品。这类产品一般具有2－4个WAN口，可以同时连接多条外网连接，然后把局域网内的各种传输请求数据，以事先设定的负载均衡策略分配到不同的宽带出口，实现让整个局域网内的用户共享这些宽带连接的带宽总和。多WAN口路由器具有如下的优势：

• 倍增带宽的低成本解决方案：
  目前在北京地区最普及的ADSL最高带宽为1Mbps，长城宽带等方面 最高带宽为10Mbps，这样的连接速度在多媒体应用较多的场合，依然显得捉襟见肘。采用多WAN口路由器则可以把当前能够比较便宜买到的网络连接带宽扩展N倍，其价格一般都会远远低于直接向运行商租用高带宽线路的成本。

• 倍增稳定性的解决方案：
  即便是租用了1条DDN专线，万一连接线路出现故障，那么这条专线后的局域网是100% 的无法接入Internet。我们IT168编辑部也遇到过这样的情况，一旦出现网络故障，所有编辑的工作不得不停下来等待网络恢复。多WAN口路由器可 以连接多条不同运行商的线路，即便是其中1条线路或者接入设备出现故障，另外1条还可以照常运行，虽然暂时的网络带宽会降低，但是确保了网络的连通，多 WAN口路由器因此也提供了线路备份能力。

• 自动负载均衡，便于规划和管理网络，降低维护成本
  大部分多WAN口路由器都具有负载均衡能力，根据既定的负载均衡策略，为不同的WAN口调节自动分配流量。也正是这种机制的引入，多WAN口路由器可以使得多条外网连接如同一条带宽更高的连接一样，网络管理员不必把局域网按照WAN口数量划分为多个部分，更加便于管理。

 

　　我们IT168评测室最近收到了友迅网络（D-link）送测的DI-602LB智能型双WAN口宽带路由器，这款产品定位于中小企业、网吧、部门级用户，为它们提供了替代传统专线接入的较低成本倍增带宽接入方案，更提供了实现带宽按需调控等智能特性。

 

　　根据IT168产品库报价显示，DI-602LB智能型双WAN口宽带路由器的市场价格在1300－1600元之间。在包装中除了有DI-602LB智能型双WAN口宽带路之外，还有电源适配器、网线、驱动光盘、使用手册、保修卡等等物品。

　DI-602LB提供2个WAN口和1个10M/100M LAN口，通过两个WAN口可以连接两个ASDL调制解调器或CABLE调制解调器，然后在预设得负载均衡测量下为局域网提供更高的带宽。前面介绍过，如果同时连接两个不同的运营商的接入线路，也同时为局域网提供了线路冗余能力。

　DI-602LB 支持带宽管理功能，可以让管理员针对每一个WAN 口上所可能会使用的应用程序，限制其一定的使用带宽。比如，当局域网内有人在使用FTP软件时, 将会占据大量带宽，从而影响到其它人的正常工作。网络管理员可以通过DI-602LB带宽管理功能，限制FTP软件所能使用的最大带宽。

　　通过下表可以详细了解DI-602LB智能型双WAN口路由器的规格和功能：

DI-602LB智能型双WAN口宽带路由器
技术规格
硬件 WAN: - 2 口10/100M, 自动 MDI/MDI-X LAN: - 1 口10/100M, 自动 MDI/MDI-X CPU: - MIPS,150MHz 内存: - Flash: 2M bytes - SDRAM: 16M bytes LED - WAN 1 - WAN 2 - LAN - 10M - 100M Reset Switch - 按下时会回复至最后一次的设定状态 软件 负载均衡 - 只针对WAN出口流量 - 3 种计算方式 Session Weight Round Robin Traffic MAC 地址克隆 协议 - TCP/IP - UDP - ARP,BOOTP - ICMP - DHCP server/client - FTP,TFTP - Telnet - PPPoE 路由协议 - 静态路由 - RIP-1 - RIP-II VPN透传 - IPSEC - PPTP DDNS - dyndns.org - 花生壳 安全支持 - DMZ 主机 - Multi NAT/NAPT - PAP/CHAP - Virtual Server Mapping - 封包过滤		防火墙功能 - DoS (Denial of Service) 保护 - 端口扫描 - TCP SYNC flood - ICMP flood - IP source route option detection - IP spoofing - Ping of death - IP fragment overlap - UDP flooding - PING oversize - Ping Enable/Disable 邮件报警 - WAN up - WAN down - DoS 攻击 - System Log满 系统时钟 - NTP (Network Timer Protocol) - 使用 PC 时间 管理功能 SNMP - v1 - v2c 远程遥控设定 硬件更改- TFTP 自动拨号功能 (Dial On Demand) 自动断线功能 (Auto Disconnect) 自动联机状态检测排程功能 系统信息监视 物理及环境参数 电源 AC : 100 ~ 240 VAC, 50/60 Hz DC : 5V, 2.8A 功耗 14瓦(最大) 操作温度 0℃ ~ 40℃ 存储温度 -10 ℃~ 55℃ 湿度 5% ~ 95% RH 无凝结 尺寸 - 180mm(宽)x160mm(长)x50mm(高) 重量 - 0.8kg(仅设备) 辐射(EMI) - CE Class A 安规 CSA International

　主要芯片介绍

　　多WAN口路由器的技术已经相当的成熟，不同的厂商之间的产品在功能上都比较接近，比如多WAN口接入、负载平衡、路由功能、VPN功能、DDNS、防火墙等等，因此这些产品主要区别在于实际应用中的性能表现。

 

DI-602LB主板

D-link DI-602LB主板并没有太复杂的设计，采用了BRECIS MSP2000 MIPS处理器，内建2MB闪存和16MB缓存的主流硬件配置。其中的BRECIS MSP2000处理器是路由器产品中非常常见的一枚整合度颇高的芯片，它整合了1颗MIPS处理器、3个10/100 Ethernet MAC和1个安全引擎，它可以较大幅度的降低网络设备制造商设计难度和制造成本。其核心频率为150MHz，整合了16KB指令缓存和16KB数据缓存。

 

MSP2000处理器

 

KS8995M

 　　KS8995M一颗高度整合的具有2层交换功能的性价比较高的10/100Mbps交换芯片，它包含了5个 10/100发射器（transceiver）、5个MAC单元、高速无阻塞交换架构、专用地址查询引擎、片内帧缓存。所有的PHY单元都支持 10Base-T/100Base-T，其中的两个PHY单元支持100BaseFX。这颗芯片可以支持诸如tag/port-based VLAN、QoS priority、管理、MIB计数器、双MII接口和CPU控制/数据接口等功能。

 

29LV160ATTC-90闪存芯片

 

IC42S16400 SDRAM芯片

较高的硬件配置可以确保多WAN口路由器的性能，除了路由功能之外，自动负载平衡也会占用处理器较多的资源。目前的多WAN口路由器大都具有2－4个WAN口，并且以2口居多，如果需要更多的WAN口则需要更强性能的处理器，比如Intel Xscale系列处理器，这样路由器的成本也会相应增加。

负载均衡策略也是影响多WAN路由器性能的一个方面，我们建议用户选购具有按带宽比例的自动负载均衡策略的产品。

　设备的安装和管理工具

　　DI-602LB多WAN口路由器的安装非常的简单，《快速安装手册》中有简洁明了的介绍。我们主要通过其管理界面来了解这款路由器的功能。

 

管理界面主界面

 

    DI-602LB多WAN口路由器可以在三种模式下工作：Gateway、Router、BasicNAT，默认情况下是Gateway模式。这三种设定的功能和性能各不相同，区别如下：

 

 

 

　　这款宽带路由器提供三种负载均衡模 式：Session模式、Weight round robin模式、Traffic模式。Session模式指的是所有的WAN口平均分配负责，这适用于所接入的两条线路带宽相同的情况。Weight round robin模式下允许用户手动配置每WAN口所负载的带宽。Traffic模式则是由路由器根据每个WAN的最高带宽按照比例分配流量，适用于两个WAN 口连接不同带宽的线路的情况。可见DI-602LB多WAN口路由器提供了多种负载均衡策略，适用面较广。

    部分Internet WEB服务器（多是采用动态IP地址的WEB服务器）不允许多WAN口设备的访问，通过管理工具用户可以指定专用端口、专用IP地址来访问这类比较特殊的服务器。

 

 

    DI-602LB多WAN口路由器还针对不同的协议提供了带宽控制功能。比如，局域网内某用户使用FTP协议来传输文件，将会占用大量的带宽。在上面的界 面中，管理员可以给定FTP、HTTP、Mail等应用最高可用的带宽，从而确保局域网不会因为某种协议占用过多带宽而导致整个网络的瘫痪。DI-602LB多WAN口路由器甚至还提供了限制某个IP地址最高带宽的功能，为网管提供更多的便利。

 

    DI-602LB的两个WAN口可以分别连接ADSL/Cable modem也可以连接其它的路由器的LAN端口。根据网络提供商的不同，管理员可以对这两个WAN口进行独立的配置，比如选择动态IP、PPPoE或者静态IP。

 

　　利用DI-602LB提供的全局端口和本地端口映射功能，可以提供FTP服务、MAIL服务和VPN服务。同时，这 款路由器针对实际DoS攻击中常用的手段进行了防范，比如IP Fragments Checking、IP Address spoofig、Oversized Ping、Drop IP Packet with Source Route Option、Port Scan、TCP SYN Flooding、ICMP Flooding。

 

　　URL Filter功能中，管理员可以通过关键字来限定局域网用户对于某些特定网站的访问，提高网络带宽的利用率。

 

随着宽带的普及，使用宽带接入路由器的用户也越来越多。对于市场上产品种类繁多、价格差异很大的宽带路由器，用户在选购时也比较迷茫。因此，传统的分类方法将宽带路由器分为低、中、高三个档次，以便用户选购。宽带路由器分类

宽带接入路由器一般分为低、中、高三档：

1、低档：SOHO接入共享路由器。用于家庭或超小型网络，连接几台至10几台电脑。

2、中档：SMB接入共享路由器。用于中小企业网络，连接几十台至200台电脑。

3、高档：带安全功能的VPN路由器。用于拥有分支机构的企业网络，连接分散各地的局域网和电脑单机。

根据上表的数据分类，您对路由器的分档和选择基本上就门清了。

今天小编要为大家介绍的是用于中小企业网络的SMB路由器。我们知道，在中小型企业的网络设备中，路由器是企业数据路由、对外界进行数据交流的主要通道，它的好坏直接影响企业通信的效率，选择路由器产品就是要选择适合用户实际需要的高性价比产品。

SMB宽带路由器选购原则

中小企业网的主要目标是以尽量便宜的方法实现尽可能多的端点互连，还要求支持不同的服务质量。中小型企业路由器作为接入设备连接，因此选购路由器时要注意该产品是否支持多种异构和高速端口，并能在各个端口运行多种协议。

选择路由器时，首先考虑的是中小型企业自身的需求，主要考虑下面几个原则：

1、实用性原则

采用成熟的、经实践证明其实用性的技术。这能满足现行业务的管理，又能适应3～5年内业务发展的要求。

2、可靠性原则

设计详细的故障处理及紧急事故处理方案，保证系统运行的稳定性和可靠性。

3、标准性和开放性原则

网络系统的设计符合国际标准和工业标准，采用开放式系统体系(OSI)结构。

4、安全性原则

系统具有多层次的安全保护措施，可以满足用户身份鉴别、访问控制、数据完整性和保密性传输等要求。

5、扩展性原则

在业务不断发展的情况下，中心交换系统和路由系统可以不断升级和扩充，并保证系统的稳定运行。

6、经济性原则

系统在保证性能强大、先进的同时，还应充分考虑经济性，选用具有最佳性价比的产品。

7、可管理性原则

网络设备支持标准的管理协议，可以使用网管软件和设备对整个网络进行有效的集中管理和维护。

SMB宽带路由器导购

阿尔法 AFR-R1601 宽带路由器（参考价：880元）

    AFR-R1601宽带路由器是专门为中小企业以及网吧设计的。它采用了MIPS内核处理器和阿尔法独有ID散热设计、WIND TUNNEL空气对流技术，支持高速光纤（10M以上）宽带接入，超同类产品几倍的数据处理能力，从而保证R1601超长寿命的稳定性能。此外，阿尔法 R1601还具备强大的功能。

    AFR-R1601它内置的防火墙能够起到很好的防火墙功能，并能够屏蔽内部网络的IP地址，自由设定IP地址、通信端口过滤，可以防止黑客攻击和病毒入侵，用户不需要另外花钱安装其他的病毒防护设备就可以拥有一个安全的网络环境。

值得一提的是，网站过滤功能，有了这项功能就可以对整个网络的网站访问进行监控和记录，通过权限组来管理网内的计算机，每个用户都有各自的权限，从而决定网内各成员浏览网站的范围，不允许访问的站点将会被屏蔽，给您一个清洁的网络环境。

此外，这款产品还具有虚拟拨号功能、DHCP(动态主机分配协议)、网站过滤等功能。采用虚拟拨号后，在使用习惯上与原来的方式没什么不同。所谓虚拟拨号 是指用ADSL接入INTERNET时同样需要输入用户名与密码(与原有的MODEM和ISDN接入相同)，但ADSL连接的并不是具体的接入号码如 16900，而是通过专门的拨号程序与特定的网络服务器建立连接。这功能可以更有效地保障用户上网安全，合理利用网络资源。

带机方面，AFR-R1601支持高速光纤（10M以上）宽带接入，在2M速率的接入下，AFR-R1601能够接入150台主机。而在10M的速率接入 下，则能够支持100台主机，超同类产品几倍的数据处理能力，完全能够满足一般的大中型网吧的需要。如果作为一般的大中型企业组网之用的骨干交换机也丝毫 没有问题。

基本参数
处理器	COLDFIRE 175M
DRAM内存	8MB
固定广域网接口	1个以太网口
固定局域网接口	内置4个交换式RJ-45端口
支持协议	TCP/IP，PPPOE，DHCP，ICMP，NAT
网络管理	支持WEB管理，全中文配置界面
VPN	支持，支持VPN Pass-through
内置防火墙	有
NAT	内置网络地址转换NAT功能和DHCP服务器
其它性能	支持DHCP服务器的动态地址和静态地址分配/支持虚拟服务器/支持DMZ主机/支持UPNP/支持Net meeting和MSN语音和视频/支持IP地址过滤,网址过滤和MAC地址过滤/支持远程管理/内置静态路由功能/支持在线升级管理软件/可以有针对的 开放指定计算机的上网权限/可以根据上网动作自动连通和断开网络连接/端口支持Auto－MDI/MDIX自动翻转
电源电压	9V

侠诺 QVM100 宽带路由器（参考价：1450元）

    QVM100是侠诺面向中小型企业或分支机构网络宽带接入及VPN联机双功设计，入门级VPN网关产品。具有2个10/100Mbps广域网端口及3个 10/100Mbps局域网端口，同时具备VPN备援和简易配置的QVM功能，深受中小型企业的青睐。可提供企业需要的多WAN接入、VPN、防火墙、负 载平衡、线路备援、QoS带宽管理及路由功能。采用高效网络专用处理器，封包处理稳定性佳，最大带机量80台。

QVM100定位为企业外点用户端，适合企业内部分点之间安全联机用，支持IPSec、QVM用户端VPN联机功能。支持5条IPSec联机， IPSec/3DES运作效能可达5Mbps。支持QVM VPN备援功能，双WAN口线路可作负载均衡，平衡对外流量。单一线路断线时，流量可自动切换至另一WAN端口，发挥备份功能，支持QVM VPN备援功能，即使VPN掉线，也可立即快速重建。

QoS带宽管理功能，方便企业对外优化带宽。VM100的WAN端可支持ADSL固接/ PPPoE计时制/ Cable Modem /光纤接入/ FTTB等各种协议。常见的网络电话VoIP通话质量不佳问题可获得改善，对内做好带宽管理。同时可有效解决BT、迅雷、点点通、视频下载等占用带宽问 题。强效防火墙，有效防止各种黑客攻击、蠕虫、ARP病毒，确保内网安全。

产品上盖及前面板的曲线组合，美观动态如海上鲸鱼，QVM100也称为“鲸鱼机”。两侧面特殊专利散热孔设计，金属铁壳散热佳、经久耐用。QVM100产品、服务、性价比优，荣获中小企业IT采购推荐为2006年度中国中小企业网络产品选购三优产品。

基本参数
处理器	网络专用处理器
DRAM内存	32MB
Flash内存	8MB
固定广域网接口	2×100M WAN
固定局域网接口	3×100M Switch LAN
支持协议	TCP/IP协议，PAP协议，CHAP协议，NAT协议，PPTP协议，PPPoE协议
网络管理	网页管理功能，SNMP网络通信协议，系统配置参数档备份/回复，系统自我检测功能
VPN	支持，3DES/5Mbps
QoS	支持，保证带宽，最大带宽，优先顺序
内置防火墙	有，双向转发20-30Mbps
NAT	一对一NAT功能，PAT端口位址转换，虚拟服务器功能，UPnP通信协议
其它性能	虚拟服务器支持，内置DHCP服务器，网络地址转换(NAT)支持，UPnP支持，动态域名解析(DDNS)支持，DMZ支持

D-Link DI-602LB宽带路由器（参考价：1300元）

　　D-link DI-602LB宽带路由器是一款具有自动负载均衡功能的双Wan口路由器，可以同时连接两条ADSL线路上网，这样在大幅度提高接入互联网速度的同时， 又同时具备了双线路冗余功能，永久接入互联网，再也不会掉线。DI-602LB是针对中国宽带应用优化设计，能适用各种多种网络流量环境，在运营商小区， 大中网吧，中小企业中有广泛应用。

DI－602LB还具有强大的安全功能、DDNS、VPN穿透等功能，特别是该路由器还进一步优化了安全性，提供了强大的防火墙功能，保证网内用户不会受到网络攻击，保障网管对网络环境的控制，让用户能够在安全的环境下运行各类应用。

另外该宽带路由器还具有强大的灵活性，能够管理每个Wan上所使用的应用程序，限制其使用带宽，还可以根据IP地址，协议，端口，MAC地址和时间段对用户的业务进行控制，如在上班时间限制QQ，MSN，或者根据需要只开放WEB和E-mail服务等。

DI-602LB 提供5个10/100M自适用以太网接口，用户可根据需要，任意组合WAN与LAN口的数量。同时支持负载均衡功能，让使用者根据实际网络情况选用不同的 负载均衡法则，支持多种负载均衡模式，包括Sessinon模式、Weight Round Robin模式、Traffic模式，能够满足多种不同的接入方式。另外支持BOOTP、ICMP、DHCP、FTP、PPPOE等多种网络协议。

DI－602LB提供了智能的网络管理功能，能够自动分配网络端口的带宽，使得用户管理更加方便。针对宽带接入开发出自有的快速NAT高效算 法，将路由器的数据转发能力提升3倍以上，满足100用户同时上网的需求。是中小企业、网吧用户构建低成本高性能网络的理想选择。

基本参数
处理器	MIPS 150MHz
DRAM内存	16MB
Flash内存	2MB
固定广域网接口	2×10/100Base-T/TX
固定局域网接口	1×10/100BaseT
支持协议	TCP/IP，ARP,BOOTP，ICMP,HTTP，DHCP server/client,UDP,FTP,TFTP,Telnet,PPPoE
网络管理	支持SNMP管理,V1,V2c
VPN	支持
QoS	支持
内置防火墙	有
认证标准	FCC Class A,CE
其它性能	虚拟服务器支持,内置DHCP服务器,网络地址转换(NAT)支持,动态域名解析(DDNS)支持,DMZ支持
电源电压	100-240V
最大功率	14W

文章总结：关于SMB采购路由器的选购，总的来说，要考虑目前企业的实际业务情况和将来业务发展需求，路由器即能保持当前应 用的需要，又要满足以后扩展的要求；中小型企业由于资金有限，在保证网络的安全、可靠地运行外，首先考虑的就是路由器性价比要高，路由器不但满足网络接入 外，而且要集成防火墙、VPN、以太网LAN接口、负载均衡等特性；可以选择模块化访问路由器或者高性能宽带路由器来智能化管理企业的网络。

请帮我推荐一台路由器, 我所管理的网络一共有60台机器，想实现四项功能：包括能屏蔽部分网站,能屏蔽网络聊天及网络游戏,能在指定时间段才可以上网。另外就是支持双线路（网通 与电信宽带同时接入）。以上前三条要求可以针对部分机器控制，分别对不同的机器设置不同的权限。希望是稳定性好，当然价格也要适当！    【问题回答】考虑到设备稳定性及性价比的优劣比较，首先在这里我推荐两款路由器。

cisco2800系列路由器

    第一款是cisco2800系列路由器，cisco公司是全球领先的互联网设备供应商。它的网络设备和应用方案将世界各地的人、计算设备以及网络联结起来,使人们能够随时随地利用各种设备传送信息。Cisco公司提供业界范围最广的网络硬件产品、互联网操作系统（IOS）软件、网络设计和实施等专业技术支持，并与合作伙伴合作提供网络维护、优化等方面的技术支持和专业化培训服务。特别是它的路由交换系 列产品，在国内市场需求非常大，各大运营商、大中小型企业、金融保险行业……都在广泛使用cisco公司的系列产品。对于企业而言，大型企业可以选择功能 更加强大、扩展性高的3800系列甚至更高端的4500系列或7600系列；而对于中小企业，2800系列已经完全可以满足需求。

Cisco 2800系列由四个新平台组成Cisco 2801、Cisco 2811、Cisco 2821和Cisco 2851。四款机型价格分别在1万元到5万元左右不等。与相似价位的前几代思科路由器相比，Cisco 2800系列的性能提高了五倍、安全性 和话音性能提高了十倍、具有全新内嵌服务选项，且大大提高了插槽性能和密度，同时保持了对目前Cisco 1700系列和Cisco 2600系列中现有90多种模块中大多数模块的支持，从而提供了极大的性能优势。Cisco 2800系列能以线速为多条T1/E1/xDSL连接提供多种高质量并发服务。这些路由器提供了内嵌加密加速和主板语音数字信号处理器（DSP）插槽；用 于多种连接需求的高密度接口；以及充足的性能和插槽密度，以用于未来网络扩展和高级应用；支持双绞线。

    华为AR28系列路由器

如果考虑到节约资金，也可以选择第二款，我推荐华为AR28系列路由器。

Quidway AR28-09B智能业务分支路由器（以下简称AR28-09B）是华为公司自主开发的边缘接入路由器。它采用模块化结构，在提供了集成的快速以太网接 口、AUX口和同/异步串口的同时，又提供了丰富的可选配的智能接口卡SIC（Smart Interface Card，智能接口卡）及多功能接口模块MIM（Multifunctional Interface Module，多功能接口模块）。与同类产品相比， AR28-09B智能业务分支路由器具有更高的性价比和可扩展能力，既适合于在一些大的分支机构中担当接入路由器，也可以在中小型企业网中担当核心路由 器。

以上介绍的两款路由器都支持DHCP、VLAN、IPX、DLSw、RIP-1/RIP-2、OSPF、BGP、策略路由、组播、路由负载分担、地址借用、TCP报文头压缩、路由策略；及IOS防火墙功能；QoS流量整形策略；VOIP；IPv6；配置管理等功能，从而更好的实现中小型企业用户的一机多用性需求。基本上可以实现日常需要的网络管理策略。

    网络管理策略

    根据这位网友的需求，我再简单介绍一些基于路由器的网络管理策略。事实上，利用路由器上强大的ACL功能，可以将指定上网时间段、对部分PC机禁止网络聊天及网络游戏、屏蔽部分网站的需求一一实现。

最常用的就是通过访问控制列表来把相应的端口封掉，由于部分用户在日常生产中需要分级别放宽访问权限，建议使用扩张访问控制列表，将源地址、目的地址及端口一一详细定义（包括允许访问时间等），有必要的话，也可以适当运用Qos策略实现。

对于具体要屏蔽部分网站和屏蔽网络聊天及网络游戏，只要找到具体的端口号和相应的关键字，是可以达到一定的效果，但无法做到防患于未然。就拿QQ聊天软件登陆过程原理及阻断措施步骤来详细举例说明：QQ不仅仅通过UDP方式登录服务器，还能够以TCP方式登录。QQ在连接时首先向服务器的8000 端口发送udp包。在阻断8000端口的连接后，QQ还会通过udp的8001和tcp的8000、8001端口进行连接。在阻断以上端口的数据包后，发 现QQ还会通过tcp的80和443端口进行连接。如果针对这两个端口作阻断规则，会影响用户的正常上网，所以只能对服务器的ip地址来作策略规则。然而 可以通过80和443端口建立连接的QQ服务器会不断的增加，我们的网络管理员只能被动的发现一个，封杀一个，试想一下，一个聊天软件已经如此复杂，多个 聊天软件的屏蔽工作，无形当中给我们的运维人员增加了多少工作量。并且我们知道路由器是三层设备，它无法监控应用层的数据，因此，对于聊天、游戏等应用层 的数据包过滤，我们推荐的解决方案还是通过网管软件来屏蔽。用软件解决此类问题不但方便有效，而且操作灵活管理容易。

专业的网关过滤软件

    一般的网管软件的功能都大同小异，不同在于应用是否方便，管理人员可以根据自己喜好来选择不同的软件，下面介绍一款软件：

《Active Wall》是一款专业的网关过滤软件，只需在网关上安装即可过滤控制局域网内部电脑的上网行为。它能有效监视、控制和记录内部电脑在互联网上活动行为，实时记录局域网内计算机所有收发的邮件、浏览的网页以及FTP上传下载的文件，监视和管理网内用户的聊天行为，控制网内用户访问指定网络资源或网络协议。

系统使用最新的网络安全技术，能准确有效地对局域网内部计算机的所有上网行为进行审查和监控。主要功能有：

网络身份验证：
    要求用户输入正确账号和密码后才可访问互联网，支持多种验证方式。

    时段过滤：
根据时间段设置是否开放上网的功能，可给不同的组设定不同的上网时间段。

    端口过滤：
    通过开放或关闭一些端口，允许内部用户使用或禁止使用互联网上部分服务。有效拦截网络游戏、聊天、视频、音频等与工作无关的网络应用，使网络资源得到合理的利用。

    流量控制：
控制网络内部每台电脑或全组的传输速度，设置网络内部每台电脑或全组每天允许的最大网络流量。合理安排公司的带宽资源，防止员工使用P2P工具占用过多的带宽。

    实时流量显示：
    可以实时显示和统计当前各协议的网络流量，反映网络拥塞情况和协议分布。

    MAC地址过滤：
对内部电脑按网卡MAC地址过滤，并能将MAC地址绑定固定的IP地址。防止网内IP地址非法修改和盗用，合理利用有限的IP地址资源，实现统一管理。

    IP地址过滤：
    对外网的IP地址进行屏蔽和过滤，管理员通过设定的IP黑名单，可禁止内部电脑访问这些IP地址和网段。

    DNS过滤：
可以过滤内部向互联网发出的域名查询请求，并能过滤色情、赌博、游戏等数十种域名分类库。

    HTTP过滤：
    对网内用户浏览的网页根据网址、网页内容、外发内容、外发文件等设定过滤条件。还可以保存用户浏览过的网页、外发文件，以便日后检查。

服务器功能越来越强大，服务器在计算机网络中的地位也日益重要。而服务器至网络的连接性能同样不可忽视，它与服务器的可靠性和整个网络的可靠性同等重要。在实际应用中，无论是网线断了、丢了、集线器或交换机端口坏了、还是网卡坏了都会造成连接中断。
关 系到计算机网络系统能否正常运行的因素很多，服务器网卡就是其中重要环节之一。为此，许多网络厂商推出了各自的具有容错功能的服务器网卡。例如Intel 推出了三种容错服务器网卡，它们是:AdapterFaultTolerance(AFT，网卡出错冗余)、 AdapterLoadBalancing(ALB，网卡负载平衡)、FastEtherChannel(FEC，快速以太通道)技术，现对这三种技术， 逐一进行介绍。
AFT技术
AFT技术是在服务器和交换机之间建立冗余连接，即在服务器上安装两块网 卡，一块为主网卡，另一块作为备用网卡，然后用两根网线将两块网卡都连到交换机上。在服务器和交换机之间建立主连接和备用连接。一旦主连接断开，备用连接 会在几秒钟内自动顶替主连接的工作，通常网络用户不会觉察到任何变化。
当Netware或NT服务器装上两块网卡后，AFT技术把这两块网卡作为一个网卡工作组，一块为主网卡，另一块为备用网卡。当主网卡工作时，智能软件通过备用网卡对主网卡及连接状态进行监测。
这是一种采用发送特殊设计的“试探包”的方法来进行的监测。若连接失效，“试探包”便无法送达主网卡，智能软件发现此情况，立即将工作(包括MAC网络地址)移交给备用网卡。
由于所有配置信息是在瞬间转到备用网卡上的，网络用户不会察觉到有任何变化，同时也不会对服务器操作系统造成压力。
AFT在服务器和网络之间建立的冗余连接包括冗余网卡、网线、集线器或交换机端口。一条连接用于服务器正常网络通信工作，另一条连接提供备用。
Intel AFT技术适用于Novell公司Netware和Microsoft公司Windows NT服务器。Intel公司为此网卡提供智能软件以及相应的驱动程序。其中，智能软件连续监测主连接和备用连接，一旦某一环节出问题，立即采取行动。由于 备用连接能立即接管，故此转换操作不会打断网络用户正在进行的应用，也不会干扰正在进行的网络操作。
为了提高网卡的可管理性，AFT一旦发现连接中有任何失效，便会发出报警信号。AFT采用基于操作系统的报警管理程序，在Netware服务器上发出Netware报警，在NT服务器上的事件记录里留下出错记录。
Intel LANDesk管理程序可检测报警信号并采取适当措施。网络管理员可通过电子邮件、传真、寻呼机或手机获得出错报警信号。
现 在，越来越多的公司依赖客户/服务器网络进行重要的商务应用，更宽的服务器通道与更短的宕机时间同样重要。仅仅一个100Mbps通道对一些用户来说已不 够用，特别是进行多媒体、Intranet及广域网应用时。在这种情况下，服务器瓶颈会导致整个网络速度下降，影响商务正常进行。为了解决这个问题，一些 公司采取措施，增加带宽，扩大服务器吞吐量。
解决服务器瓶颈的传统方法
过去，一旦服务器吞吐成为瓶颈，网络管理员往往会在服务器上增加一 块网卡，划分两个网段。这样可减轻一半的通信压力，通常可缓解堵塞状况。然而，这个办法会带来一些问题，如:需另设IP地址、重新规划网络。通常网段划分 需增加额外的硬件设备，如交换机、路由器等，而且在两个网段之间平衡流量是很困难的，往往需反复设置、调试。
ALB是让服务器能够更多更快传输数据的一种简单易行的好方法。这项新技术是通过在多块网卡之间平衡数据流量的方法来增加吞吐量，每增加一块网卡，就增宽100Mbps通道。另外，ALB还具有AFT同样的容错功能，一旦其中一条链路失效，其他链路仍可保障网络的连接。
当服务器网卡成为网络瓶颈时，ALB技术无须划分网段，网络管理员只需在服务器上安装两块具有ALB功能的网卡，并把它门配置成ALB状态，便可迅速、简便地解决瓶颈问题。
这种方法无需在客户端作任何设置，也不需要通过路由来实现客户之间的通信。另外，服务器上所有网卡之间的通信量是平衡的。
ALB工作原理
与AFT一样，ALB在网卡驱动程序里带有智能软件，为了配合ALB工作，智能软件动态管理ALB网卡组，连续分析服务器各块网卡上的数据流量。
对服务器来说，ALB网卡组中一条通道双向通信，其余的只向外发送。ALB可为网络客户提供同样的服务器响应等级。
采用四块网卡的ALB技术，吞吐量可近400Mbps.
快速以太通道(FEC)
FEC是Cisco公司针对Web浏览及Intranet等对吞吐量要求较大的应用而开发的一种增大带宽的技术。FEC同时也为进行重要应用的客户/服务器网络提供高可靠性和高速度。
FEC具有AFT和ALB的全部功能。在服务器上，FEC与ALB相似，在几块网卡间可实现容错和负载平衡。而且，与具备FEC特性的交换机连接，服务器可实现多块网卡双向平衡通信。
与ALB一样，FEC采用多块网卡同时分担通信量的办法来解决服务器吞吐瓶颈问题，而且，服务器同样也只给FEC网卡组分配一个网络地址，网卡智能软件自动平衡FEC网卡组内每块网卡负载的通信量。FEC网卡组中每块网卡都是工作在全双工快速以太网状态。
FEC工作原理
FEC是一项将多个全双工快速以太网连接成组，实现高速、容错连接的技术。一台FEC交换机可连接二三块或四块快速以太服务器网卡，全双工时支持多达800Mbps的带宽。
由于FEC交换机内部集成了FEC负载平衡特性，增加通道连接便可获得更高的吞吐量，因此，增大带宽不会造成延迟或降低系统性能。
冗余并行数据路径，有助于确保FEC的连接。一旦其中一条失效，智能软件可在客户不知不觉的情况下，自动将原失效通道上的信息转到其他的通道上去。
扩展性满足未来需要
FEC以全双工方式工作，将带宽扩展到200Mbps～800Mbps，解决了许多公司目前100Mbps不够用的问题。
FEC技术同时也适于今后的发展需要，FEC是一项基于标准的技术(符合IEEE802.3)，它可实现向1000Mbps迈进的无缝连接。
AFT、ALB、FEC用的是同一个驱动程序，一个网卡组只能采用一种设置。系统采用何种技术要视具体情况而定。

SCSI硬盘一向认为是昂贵且高不可攀的存储设备，不仅本身价位高于IDE硬盘很多，而且必须另外选择SCSI接口卡。因此在这样的条件下，一般计算机用 户便倾向于使用IDE接口的硬盘。IDE硬盘虽然具有低价的优势，但始终敌不过SCSI硬盘的强悍速度；再加上SCSI接口为进行”多任务”的最佳利器， 许多追求稳定、速度的玩家还是钟情与SCSI硬盘。

很多人认为安装SCSI硬盘简直是大工程，不像IDE硬盘那样，只要设置先后（Master或是Slave）就可以是使用了。其实他也没有想象中那么复杂，毕竟愈严谨的安装与设置，愈能提供我们稳定的使用环境。

认识SCSI硬盘：

每当SCSI又发表新规格的时候，SCSI硬盘便跟着同时支持新规格，着使得SCSI硬盘俨然成为SCSI外设的领导者。由于开发硬盘的技术已经相当 成熟，因此SCSI硬盘在接口上的配合，总是能够跟得上时代；再者，硬盘是计算机相当重要的设备，而且缺他不可。其实所有的硬盘都长得差不多，不过因为 SCSI规格的不同，而使得部分外观上还是有一些差异。

不同SCSI规格的硬盘：

采用68-Pins Wide SCSI接脚，可以使用16-bit的通道宽度传输数据。

采用60-Pins Narrow SCSI接脚，只能以8-bit的通道宽度传输数据。

Jimper（跳线）设置，主要用来调整硬盘的ID、终端电阻开关等。

SCSI硬盘是相当昂贵的计算机外围设备，在搬运时绝对请你要十分小心。由于目前的SCSI硬盘转速都相当高（约7200RPM~10，000RPM），因此不管是以外置方式或是内置方式来安装硬盘，都需要配备良好的散热环境。

以内置方式安装硬盘：

大部分从市面上买回来的硬盘都是内置式硬盘，只有某些厂商回将较高级的SCSI硬盘搭配外置盒来出售，如此一来便成为现成的外置式硬盘。如果你觉得自己的计算机机箱散热性良好，也有空余的空间，可以剩下外置盒的钱，直接将SCSI硬盘接在计算机机箱内。

安装时的必要工具：

要将硬盘安装到机箱内，需要一些工具来帮忙，你至少需要准备以下两样：

1、 十字改锥：硬盘、SCSI接口卡都需要用螺丝来固定在机箱上，这时必须借助十字改锥来完成这些工作。

2、 尖嘴钳：你必须借助尖嘴钳来拔除、插入硬盘上的Jumper，以设置硬盘的ID、终端电阻开关等等。

备齐所有套件：

以内置方式安装SCSI硬盘时，请准备以下各组配件：

1、 SCSI硬盘：这当然是绝对不可缺少的主角。

2、 SCSI接口卡：除非你的主板已经内置了SCSI接口，否则绝对要准备一张SCSI接口卡；此外SCSI接口卡和硬盘的搭配也相当重要，请依照硬盘的 SCSI规格来搭配使用。如果你使用Fast SCSI接口卡来搭配Ultra-Wide SCSI硬盘，虽然在使用上没问题（可以用转换头），但是速度与通道宽度却会降低长Fast SCSI的标准。

3、 SCSI排线：SCSI内置排线分成50-Pin Single-Ended、68-Pin Single-Ended、68-Pin LVD三种，请认清楚自己的SCSI硬盘必须搭配哪一种排线。

4、 螺丝：用来固定硬盘与SCSI接口卡，两者使用的规格可能不一样喔！

安装步骤：

安装SCSI硬盘之前，请你先了解一下整个流程：

硬盘Jumper设置→固定接口卡与硬盘→以排线连接硬盘与接口卡→接上硬盘电源

接着我们可以开始在机箱上安装SCSI硬盘咯！

1、 调整SCSI硬盘Jumper（跳线）：硬盘上的Jumper可以用来设置SCSI ID、终端电阻、Parity Check等等。

2、 将SCSI接口卡插在主板上：将SCSI接口卡插在主板上的正确插槽，并确认是否正确插入；接着利用十字改锥与螺丝将接口卡固定好。

3、 固定硬盘：将硬盘固定在机箱固定架上。

4、 连接排线：用排线连接SCSI接口卡与硬盘，68-Pins Wide SCSI为特殊梯形接头，因此在连接上没有反接的困扰。

若安装的是Narrow（50-Pin）的硬盘，请注意50-Pin排线的红线部分要对准硬盘或接口卡的Pin-1。

5、 将固定架插回机箱中并接上电源：确定固定架中的硬盘是否已经安装好，然后在将硬盘电源线插上。

到目前为止，硬件的安装大致上已经没有问题，请你再检查一次SCSI接口卡、排线、电源线是否连接正确；如果一切都确认无误，你可以打开主机电源，看 看屏幕上SCSI BIOS的显示是否已经可以找到这台SCSI硬盘的型号。启动后出现了SCSI BIOS的画面，找到了SCSI硬盘，表示硬件安装正确！