路由器的安全設(shè)計(jì)技術(shù)全解
路由器的安全設(shè)計(jì)技術(shù)全解
為了使路由器將合法信息完整、及時(shí)、安全地轉(zhuǎn)發(fā)到目的地,許多路由器廠商開始在路由器中添加安全模塊,于是出現(xiàn)了路由器與安全設(shè)備融合的趨勢(shì)。從本質(zhì)上講,增加安全模塊的路由器,在路由器功能實(shí)現(xiàn)方面與普通路由器沒有區(qū)別。所不同的是,添加安全模塊的路由器可以通過加密、認(rèn)證等技術(shù)手段增強(qiáng)報(bào)文的安全性,與專用安全設(shè)備進(jìn)行有效配合,來提高路由器本身的安全性和所管理網(wǎng)段的可用性。
在介紹路由器所采用的安全技術(shù)之前,我們先來了解一下網(wǎng)絡(luò)應(yīng)用環(huán)境對(duì)路由器提出的安全要求。
完整性:要求路由器在轉(zhuǎn)發(fā)報(bào)文過程中,保證信息不會(huì)遭到偶然或蓄意地添加、刪除、修改、重放等破壞。
保密性:要求路由器保證信息在發(fā)送過程中不會(huì)被竊聽,即使信息被竊聽也不能被破譯。
可用性:要求路由器保證系統(tǒng)或系統(tǒng)資源可被授權(quán)用戶訪問并按照需求使用的特性。
可控性:要求路由器根據(jù)需要對(duì)轉(zhuǎn)發(fā)信息進(jìn)行安全監(jiān)控,對(duì)可疑的網(wǎng)絡(luò)信息進(jìn)行分析、截留或其他處理。
及時(shí)性:要求路由器保證網(wǎng)絡(luò)信息能夠被及時(shí)轉(zhuǎn)發(fā),不會(huì)因安全處理而使轉(zhuǎn)發(fā)時(shí)間超出限度。
抗攻擊性:要求路由器具有抵抗網(wǎng)絡(luò)攻擊的能力。
所采用的安全技術(shù)
為了滿足網(wǎng)絡(luò)應(yīng)用環(huán)境對(duì)路由器的安全要求,許多路由器廠商將防火墻、、IDS、防病毒、URL過濾等技術(shù)引入路由器當(dāng)中。
訪問控制技術(shù):用戶驗(yàn)證是實(shí)現(xiàn)用戶安全防護(hù)的基礎(chǔ)技術(shù)。路由器上可以采用多種用戶接入的控制手段,如PPP、Web登錄認(rèn)證、ACL、802.1x協(xié)議等,保護(hù)接入用戶不受網(wǎng)絡(luò)攻擊,同時(shí)能夠阻止接入用戶攻擊其他用戶和網(wǎng)絡(luò)?;贑A標(biāo)準(zhǔn)體系的安全認(rèn)證,將進(jìn)一步加強(qiáng)訪問控制的安全性。
傳輸加密技術(shù):IPSec是路由器常用的協(xié)議。借助該協(xié)議,路由器支持建立虛擬專用網(wǎng)()。IPSec協(xié)議包括ESP(Encapsulating Security Payload)封裝安全負(fù)載、AH(Authentication Header)報(bào)頭驗(yàn)證協(xié)議及IKE(Internet Key Exchange)密鑰管理協(xié)議等,可以用在公共IP網(wǎng)絡(luò)上確保數(shù)據(jù)通信的可靠性和完整性,能夠保障數(shù)據(jù)安全穿越公網(wǎng)而沒有被偵聽。由于IPSec的部署簡(jiǎn)便,只需安全通道兩端的路由器或主機(jī)支持IPSec協(xié)議即可,幾乎不需對(duì)網(wǎng)絡(luò)現(xiàn)有基礎(chǔ)設(shè)施進(jìn)行更動(dòng)。這正是IPSec協(xié)議能夠確保包括遠(yuǎn)程登錄、客戶機(jī)、服務(wù)器、電子郵件、文件傳輸及Web訪問等多種應(yīng)用程序安全的重要原因。
防火墻防護(hù)技術(shù):采用防火墻功能模塊的路由器具有報(bào)文過濾功能,能夠?qū)λ薪邮蘸娃D(zhuǎn)發(fā)的報(bào)文進(jìn)行過濾和檢查,檢查策略可以通過配置實(shí)現(xiàn)更改和管理。路由器還可以利用NAT/PAT功能隱藏內(nèi)網(wǎng)拓?fù)浣Y(jié)構(gòu),進(jìn)一步實(shí)現(xiàn)復(fù)雜的應(yīng)用網(wǎng)關(guān)(ALG)功能。還有一些路由器提供基于報(bào)文內(nèi)容的防護(hù)。原理是,當(dāng)報(bào)文通過路由器時(shí),防火墻功能模塊可以對(duì)報(bào)文與指定的訪問規(guī)則進(jìn)行比較,如果規(guī)則允許,報(bào)文將接受檢查,否則報(bào)文直接被丟棄。如果該報(bào)文是用于打開一個(gè)新的控制或數(shù)據(jù)連接,防護(hù)功能模塊將動(dòng)態(tài)修改或創(chuàng)建規(guī)則,同時(shí)更新狀態(tài)表以允許與新創(chuàng)建的連接相關(guān)的報(bào)文。回來的報(bào)文只有屬于一個(gè)已經(jīng)存在的有效連接,才會(huì)被允許通過。
入侵檢測(cè)技術(shù):在安全架構(gòu)中,入侵檢測(cè)(IDS)是一個(gè)非常重要的技術(shù),目前有些路由器和高端交換機(jī)已經(jīng)內(nèi)置IDS功能模塊。內(nèi)置入侵檢測(cè)模塊需要路由器具備完善的端口鏡像(一對(duì)一、多對(duì)一)和報(bào)文統(tǒng)計(jì)支持功能。
HA(高可用性):提高自身的安全性,需要路由器能夠支持備份協(xié)議(如VRRP)和具有日志管理功能,以使得網(wǎng)絡(luò)數(shù)據(jù)具備更高的冗余性和能夠獲取更多的保障。
七層安全設(shè)計(jì)
具體來說,人們正從以下七個(gè)層面來加強(qiáng)路由器的安全設(shè)計(jì)。
硬件的安全保障:模塊化的硬件結(jié)構(gòu)體系結(jié)構(gòu)。
軟件的安全保障:自主知識(shí)產(chǎn)權(quán)的操作系統(tǒng);操作系統(tǒng)高度模塊化結(jié)構(gòu),進(jìn)程空間隔離、數(shù)據(jù)流和控制流空間隔離。
鏈路層的安全保障:廣域網(wǎng)上采用PPP認(rèn)證和EAP-TLS;以太網(wǎng)上采用802.1x、MAC地址/端口綁定、VLAN隔離和EAP-TLS;對(duì)流量峰值設(shè)置閥值,通過流量限速抵御DoS攻擊。
網(wǎng)絡(luò)層和傳輸層的安全保障:IPSec協(xié)議、AH/ESP/IKE、3DES等;基于IP的報(bào)文過濾;對(duì)ICMP各種類型報(bào)文的過濾處理;根據(jù)TCP/UDP報(bào)文頭選項(xiàng)進(jìn)行過濾;網(wǎng)絡(luò)處理器實(shí)現(xiàn)分類和過濾功能,保證線速。
路由安全: OSPF/BGP/RIP2/IS-IS/RSVP/LDP支持各種認(rèn)證方式(不認(rèn)證、明文認(rèn)證、HMAC-MD5認(rèn)證)。
應(yīng)用層的安全保障:防火墻模塊。
實(shí)現(xiàn)管理安全的手段:SSL保證web和CLI管理的安全通道;SSH替代Telnet的明文管理通道;多種用戶登錄驗(yàn)證方式;命令行分級(jí)視圖管理;管理訪問策略控制(源地址、登錄端口、登錄時(shí)間控制);支持SNMPv3。
安全特性有側(cè)重
需要說明的是,路由器是一個(gè)龐大的家族,核心路由器和邊緣分支路由器從結(jié)構(gòu)到技術(shù)原理都有很大不同,因此不同級(jí)別的路由器的安全側(cè)重點(diǎn)是不同的。例如,遠(yuǎn)程分支路由器主要需要集成較為完善的加密和功能,能夠在用戶端對(duì)數(shù)據(jù)進(jìn)行加密或者建立通道,這樣可以保證信息在廣域網(wǎng)上安全地傳遞。對(duì)于在網(wǎng)絡(luò)中位于核心位置的高端路由器,則需要綜合化的安全實(shí)現(xiàn)措施,首先路由器需要具備完善的用戶接入認(rèn)證和控制功能;其次路由器在應(yīng)用程序過濾、入侵檢測(cè)等方面應(yīng)具備更強(qiáng)大的能力;并且應(yīng)該具備支持IP報(bào)文加密、MPLS等技術(shù)??梢哉f,中低端路由器只需在路由軟件中增加特性或者通過添加硬件加密卡即可實(shí)現(xiàn)安全功能;而高端路由器則需要綜合采用多種安全措施。
為了使路由器在經(jīng)過諸多與安全相關(guān)的復(fù)雜報(bào)文處理之后,處理性能不會(huì)下降,業(yè)界出現(xiàn)了以網(wǎng)絡(luò)處理器(NP)為核心構(gòu)建高端路由器的方式。網(wǎng)絡(luò)處理器能夠較好解決高端路由器的業(yè)務(wù)能力和性能之間矛盾的問題,同時(shí)也適應(yīng)網(wǎng)絡(luò)安全變化迅速的特征,可以說代表了路由器未來的發(fā)展方向之一。
產(chǎn)品篇
具有安全功能的路由器可以應(yīng)用于不同的網(wǎng)絡(luò)環(huán)境中,如內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)的互聯(lián)、不同子網(wǎng)之間的互聯(lián)以及網(wǎng)絡(luò)的接入服務(wù)等等。隨著電子政務(wù)建設(shè)的深入進(jìn)行和企業(yè)級(jí)用戶安全問題的日漸突出,具有安全功能的路由器將會(huì)得到更廣泛的使用。下面我們就來介紹幾款加強(qiáng)安全設(shè)計(jì)的路由器產(chǎn)品。
安奈特AT-AR700系列路由器
AT-AR700系列路由器配置了高性能的80MHz RISC處理器和可升級(jí)的SDRAM,支持豐富的WAN接口,具有出色的路由功能、功能和防火墻功能。借助于模塊,AT-AR700支持基于硬件的DES/3DES加密,最多可同時(shí)支持1023個(gè)隧道。借助于基于狀態(tài)檢測(cè)防火墻模塊,AT-AR700可以防止DoS攻擊。AT-AR700還提供事件觸發(fā)、防火墻事件日志和信息統(tǒng)計(jì)功能,能夠生成全面的安全日志。AT-AR700設(shè)有豐富的PIC接口,可以最大限度地保護(hù)用戶投資。AT-AR745上的NSM(網(wǎng)絡(luò)服務(wù))模塊可以配置各種高速LAN/WAN接口,32MHz 32位的PCI總線可以提供高速的數(shù)據(jù)轉(zhuǎn)發(fā)。NSM構(gòu)架同時(shí)也可以放置在安奈特公司的三層交換機(jī)上,為交換機(jī)提供豐富的WAN接口。此外,該路由器還具有流量整形、VRRP、冗余電源、腳本、異步撥號(hào)、支持IPv6等功能,適合用作大、中型企業(yè)和分支辦公機(jī)構(gòu)的路由器平臺(tái)。
博達(dá)BDCOM 3660系列路由器
BDCOM 3660系列路由器作為內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的關(guān)鍵通信設(shè)備,采用多種網(wǎng)絡(luò)安全機(jī)制,涉及的安全技術(shù)主要有備份技術(shù)、AAA、CA技術(shù)、CallBack技術(shù)、包過濾技術(shù)、網(wǎng)絡(luò)地址轉(zhuǎn)換、技術(shù)、密鑰交換技術(shù)、安全管理、硬件加密卡和路由信息認(rèn)證技術(shù)。為了保證網(wǎng)絡(luò)數(shù)據(jù)傳輸安全,BDCOM 3660路由器在接受任何路由信息時(shí),首先會(huì)對(duì)該信息的發(fā)送方進(jìn)行認(rèn)證,以確保收到的路由信息是合法的。該路由器支持OSPF和RIPv2,啟用認(rèn)證機(jī)制能夠保護(hù)路由信息的正確性,同時(shí)不會(huì)影響路由器的路由功能。BDCOM 3660系列路由器分為BDOCM 3660、BDOCM 3660-DC兩種型號(hào),均采用模塊化設(shè)計(jì),具有6個(gè)網(wǎng)絡(luò)/語音模塊擴(kuò)展槽,支持種高密度的網(wǎng)絡(luò)/語音模塊,可實(shí)現(xiàn)更多組合應(yīng)用。操作系統(tǒng)采用博達(dá)擁有自主知識(shí)產(chǎn)權(quán)的ROS,能夠適應(yīng)新技術(shù)、新業(yè)務(wù)、新功能的應(yīng)用與擴(kuò)展。
Cisco 830系列路由器
Cisco 830系列路由器可分為Cisco 831以太網(wǎng)寬帶路由器和Cisco 837 ADSL寬帶路由器。Cisco 831路由器設(shè)有一個(gè)以太網(wǎng)WAN端口,可與外部DSL或有線調(diào)制解調(diào)器共用,Cisco 837路由器則設(shè)有一個(gè)集成化ADSL WAN端口。這兩種型號(hào)均提供了一個(gè)4端口10/100以太網(wǎng)LAN交換機(jī),可連接小型機(jī)構(gòu)網(wǎng)絡(luò)中的多個(gè)PC或網(wǎng)絡(luò)設(shè)備。Cisco 830系列提供集成化企業(yè)級(jí)安全服務(wù),支持IPSec、3DES加密,并設(shè)有狀態(tài)檢測(cè)防火墻模塊。可供選擇的特性包括Cisco Easy Remote(可實(shí)現(xiàn)的簡(jiǎn)單部署和管理的軟件特性)、需數(shù)字證書的公共密鑰基礎(chǔ)設(shè)施、網(wǎng)絡(luò)地址轉(zhuǎn)換、思科入侵檢測(cè)系統(tǒng)和URL過濾等,可確保中小企業(yè)、網(wǎng)吧、數(shù)碼工作室和個(gè)人用戶的上網(wǎng)安全。
港灣NetHammer1760路由器
NetHammer1760模塊化安全路由器是港灣新一代多業(yè)務(wù)接入路由器。NetHammer1760采用19英寸機(jī)架式設(shè)計(jì),內(nèi)置電源,具有很高的穩(wěn)定性。尤其是它支持港灣公司獨(dú)有的H技術(shù),H可以對(duì)數(shù)據(jù)提供加密保護(hù),支持路由協(xié)議,支持一端地址由ISP動(dòng)態(tài)分配,是港灣公司為解決傳統(tǒng)技術(shù)的缺點(diǎn)而推出的專有技術(shù)。NetHammer1760還可以配置硬件加密卡以提高加密性能。