路由器的安全設(shè)計(jì)技術(shù)全解
路由器的安全設(shè)計(jì)技術(shù)全解
為了使路由器將合法信息完整、及時(shí)、安全地轉(zhuǎn)發(fā)到目的地,許多路由器廠商開始在路由器中添加安全模塊,于是出現(xiàn)了路由器與安全設(shè)備融合的趨勢(shì)。從本質(zhì)上講,增加安全模塊的路由器,在路由器功能實(shí)現(xiàn)方面與普通路由器沒有區(qū)別。所不同的是,添加安全模塊的路由器可以通過(guò)加密、認(rèn)證等技術(shù)手段增強(qiáng)報(bào)文的安全性,與專用安全設(shè)備進(jìn)行有效配合,來(lái)提高路由器本身的安全性和所管理網(wǎng)段的可用性。
在介紹路由器所采用的安全技術(shù)之前,我們先來(lái)了解一下網(wǎng)絡(luò)應(yīng)用環(huán)境對(duì)路由器提出的安全要求。
完整性:要求路由器在轉(zhuǎn)發(fā)報(bào)文過(guò)程中,保證信息不會(huì)遭到偶然或蓄意地添加、刪除、修改、重放等破壞。
保密性:要求路由器保證信息在發(fā)送過(guò)程中不會(huì)被竊聽,即使信息被竊聽也不能被破譯。
可用性:要求路由器保證系統(tǒng)或系統(tǒng)資源可被授權(quán)用戶訪問(wèn)并按照需求使用的特性。
可控性:要求路由器根據(jù)需要對(duì)轉(zhuǎn)發(fā)信息進(jìn)行安全監(jiān)控,對(duì)可疑的網(wǎng)絡(luò)信息進(jìn)行分析、截留或其他處理。
及時(shí)性:要求路由器保證網(wǎng)絡(luò)信息能夠被及時(shí)轉(zhuǎn)發(fā),不會(huì)因安全處理而使轉(zhuǎn)發(fā)時(shí)間超出限度。
抗攻擊性:要求路由器具有抵抗網(wǎng)絡(luò)攻擊的能力。
所采用的安全技術(shù)
為了滿足網(wǎng)絡(luò)應(yīng)用環(huán)境對(duì)路由器的安全要求,許多路由器廠商將防火墻、、IDS、防病毒、URL過(guò)濾等技術(shù)引入路由器當(dāng)中。
訪問(wèn)控制技術(shù):用戶驗(yàn)證是實(shí)現(xiàn)用戶安全防護(hù)的基礎(chǔ)技術(shù)。路由器上可以采用多種用戶接入的控制手段,如PPP、Web登錄認(rèn)證、ACL、802.1x協(xié)議等,保護(hù)接入用戶不受網(wǎng)絡(luò)攻擊,同時(shí)能夠阻止接入用戶攻擊其他用戶和網(wǎng)絡(luò)。基于CA標(biāo)準(zhǔn)體系的安全認(rèn)證,將進(jìn)一步加強(qiáng)訪問(wèn)控制的安全性。
傳輸加密技術(shù):IPSec是路由器常用的協(xié)議。借助該協(xié)議,路由器支持建立虛擬專用網(wǎng)()。IPSec協(xié)議包括ESP(Encapsulating Security Payload)封裝安全負(fù)載、AH(Authentication Header)報(bào)頭驗(yàn)證協(xié)議及IKE(Internet Key Exchange)密鑰管理協(xié)議等,可以用在公共IP網(wǎng)絡(luò)上確保數(shù)據(jù)通信的可靠性和完整性,能夠保障數(shù)據(jù)安全穿越公網(wǎng)而沒有被偵聽。由于IPSec的部署簡(jiǎn)便,只需安全通道兩端的路由器或主機(jī)支持IPSec協(xié)議即可,幾乎不需對(duì)網(wǎng)絡(luò)現(xiàn)有基礎(chǔ)設(shè)施進(jìn)行更動(dòng)。這正是IPSec協(xié)議能夠確保包括遠(yuǎn)程登錄、客戶機(jī)、服務(wù)器、電子郵件、文件傳輸及Web訪問(wèn)等多種應(yīng)用程序安全的重要原因。
防火墻防護(hù)技術(shù):采用防火墻功能模塊的路由器具有報(bào)文過(guò)濾功能,能夠?qū)λ薪邮蘸娃D(zhuǎn)發(fā)的報(bào)文進(jìn)行過(guò)濾和檢查,檢查策略可以通過(guò)配置實(shí)現(xiàn)更改和管理。路由器還可以利用NAT/PAT功能隱藏內(nèi)網(wǎng)拓?fù)浣Y(jié)構(gòu),進(jìn)一步實(shí)現(xiàn)復(fù)雜的應(yīng)用網(wǎng)關(guān)(ALG)功能。還有一些路由器提供基于報(bào)文內(nèi)容的防護(hù)。原理是,當(dāng)報(bào)文通過(guò)路由器時(shí),防火墻功能模塊可以對(duì)報(bào)文與指定的訪問(wèn)規(guī)則進(jìn)行比較,如果規(guī)則允許,報(bào)文將接受檢查,否則報(bào)文直接被丟棄。如果該報(bào)文是用于打開一個(gè)新的控制或數(shù)據(jù)連接,防護(hù)功能模塊將動(dòng)態(tài)修改或創(chuàng)建規(guī)則,同時(shí)更新狀態(tài)表以允許與新創(chuàng)建的連接相關(guān)的報(bào)文?;貋?lái)的報(bào)文只有屬于一個(gè)已經(jīng)存在的有效連接,才會(huì)被允許通過(guò)。
入侵檢測(cè)技術(shù):在安全架構(gòu)中,入侵檢測(cè)(IDS)是一個(gè)非常重要的技術(shù),目前有些路由器和高端交換機(jī)已經(jīng)內(nèi)置IDS功能模塊。內(nèi)置入侵檢測(cè)模塊需要路由器具備完善的端口鏡像(一對(duì)一、多對(duì)一)和報(bào)文統(tǒng)計(jì)支持功能。
HA(高可用性):提高自身的安全性,需要路由器能夠支持備份協(xié)議(如VRRP)和具有日志管理功能,以使得網(wǎng)絡(luò)數(shù)據(jù)具備更高的冗余性和能夠獲取更多的保障。
七層安全設(shè)計(jì)
具體來(lái)說(shuō),人們正從以下七個(gè)層面來(lái)加強(qiáng)路由器的安全設(shè)計(jì)。
硬件的安全保障:模塊化的硬件結(jié)構(gòu)體系結(jié)構(gòu)。
軟件的安全保障:自主知識(shí)產(chǎn)權(quán)的操作系統(tǒng);操作系統(tǒng)高度模塊化結(jié)構(gòu),進(jìn)程空間隔離、數(shù)據(jù)流和控制流空間隔離。
鏈路層的安全保障:廣域網(wǎng)上采用PPP認(rèn)證和EAP-TLS;以太網(wǎng)上采用802.1x、MAC地址/端口綁定、VLAN隔離和EAP-TLS;對(duì)流量峰值設(shè)置閥值,通過(guò)流量限速抵御DoS攻擊。
網(wǎng)絡(luò)層和傳輸層的安全保障:IPSec協(xié)議、AH/ESP/IKE、3DES等;基于IP的報(bào)文過(guò)濾;對(duì)ICMP各種類型報(bào)文的過(guò)濾處理;根據(jù)TCP/UDP報(bào)文頭選項(xiàng)進(jìn)行過(guò)濾;網(wǎng)絡(luò)處理器實(shí)現(xiàn)分類和過(guò)濾功能,保證線速。
路由安全: OSPF/BGP/RIP2/IS-IS/RSVP/LDP支持各種認(rèn)證方式(不認(rèn)證、明文認(rèn)證、HMAC-MD5認(rèn)證)。
應(yīng)用層的安全保障:防火墻模塊。
實(shí)現(xiàn)管理安全的手段:SSL保證web和CLI管理的安全通道;SSH替代Telnet的明文管理通道;多種用戶登錄驗(yàn)證方式;命令行分級(jí)視圖管理;管理訪問(wèn)策略控制(源地址、登錄端口、登錄時(shí)間控制);支持SNMPv3。
安全特性有側(cè)重
需要說(shuō)明的是,路由器是一個(gè)龐大的家族,核心路由器和邊緣分支路由器從結(jié)構(gòu)到技術(shù)原理都有很大不同,因此不同級(jí)別的路由器的安全側(cè)重點(diǎn)是不同的。例如,遠(yuǎn)程分支路由器主要需要集成較為完善的加密和功能,能夠在用戶端對(duì)數(shù)據(jù)進(jìn)行加密或者建立通道,這樣可以保證信息在廣域網(wǎng)上安全地傳遞。對(duì)于在網(wǎng)絡(luò)中位于核心位置的高端路由器,則需要綜合化的安全實(shí)現(xiàn)措施,首先路由器需要具備完善的用戶接入認(rèn)證和控制功能;其次路由器在應(yīng)用程序過(guò)濾、入侵檢測(cè)等方面應(yīng)具備更強(qiáng)大的能力;并且應(yīng)該具備支持IP報(bào)文加密、MPLS等技術(shù)??梢哉f(shuō),中低端路由器只需在路由軟件中增加特性或者通過(guò)添加硬件加密卡即可實(shí)現(xiàn)安全功能;而高端路由器則需要綜合采用多種安全措施。
為了使路由器在經(jīng)過(guò)諸多與安全相關(guān)的復(fù)雜報(bào)文處理之后,處理性能不會(huì)下降,業(yè)界出現(xiàn)了以網(wǎng)絡(luò)處理器(NP)為核心構(gòu)建高端路由器的方式。網(wǎng)絡(luò)處理器能夠較好解決高端路由器的業(yè)務(wù)能力和性能之間矛盾的問(wèn)題,同時(shí)也適應(yīng)網(wǎng)絡(luò)安全變化迅速的特征,可以說(shuō)代表了路由器未來(lái)的發(fā)展方向之一。
產(chǎn)品篇
具有安全功能的路由器可以應(yīng)用于不同的網(wǎng)絡(luò)環(huán)境中,如內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)的互聯(lián)、不同子網(wǎng)之間的互聯(lián)以及網(wǎng)絡(luò)的接入服務(wù)等等。隨著電子政務(wù)建設(shè)的深入進(jìn)行和企業(yè)級(jí)用戶安全問(wèn)題的日漸突出,具有安全功能的路由器將會(huì)得到更廣泛的使用。下面我們就來(lái)介紹幾款加強(qiáng)安全設(shè)計(jì)的路由器產(chǎn)品。
安奈特AT-AR700系列路由器
AT-AR700系列路由器配置了高性能的80MHz RISC處理器和可升級(jí)的SDRAM,支持豐富的WAN接口,具有出色的路由功能、功能和防火墻功能。借助于模塊,AT-AR700支持基于硬件的DES/3DES加密,最多可同時(shí)支持1023個(gè)隧道。借助于基于狀態(tài)檢測(cè)防火墻模塊,AT-AR700可以防止DoS攻擊。AT-AR700還提供事件觸發(fā)、防火墻事件日志和信息統(tǒng)計(jì)功能,能夠生成全面的安全日志。AT-AR700設(shè)有豐富的PIC接口,可以最大限度地保護(hù)用戶投資。AT-AR745上的NSM(網(wǎng)絡(luò)服務(wù))模塊可以配置各種高速LAN/WAN接口,32MHz 32位的PCI總線可以提供高速的數(shù)據(jù)轉(zhuǎn)發(fā)。NSM構(gòu)架同時(shí)也可以放置在安奈特公司的三層交換機(jī)上,為交換機(jī)提供豐富的WAN接口。此外,該路由器還具有流量整形、VRRP、冗余電源、腳本、異步撥號(hào)、支持IPv6等功能,適合用作大、中型企業(yè)和分支辦公機(jī)構(gòu)的路由器平臺(tái)。
博達(dá)BDCOM 3660系列路由器
BDCOM 3660系列路由器作為內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的關(guān)鍵通信設(shè)備,采用多種網(wǎng)絡(luò)安全機(jī)制,涉及的安全技術(shù)主要有備份技術(shù)、AAA、CA技術(shù)、CallBack技術(shù)、包過(guò)濾技術(shù)、網(wǎng)絡(luò)地址轉(zhuǎn)換、技術(shù)、密鑰交換技術(shù)、安全管理、硬件加密卡和路由信息認(rèn)證技術(shù)。為了保證網(wǎng)絡(luò)數(shù)據(jù)傳輸安全,BDCOM 3660路由器在接受任何路由信息時(shí),首先會(huì)對(duì)該信息的發(fā)送方進(jìn)行認(rèn)證,以確保收到的路由信息是合法的。該路由器支持OSPF和RIPv2,啟用認(rèn)證機(jī)制能夠保護(hù)路由信息的正確性,同時(shí)不會(huì)影響路由器的路由功能。BDCOM 3660系列路由器分為BDOCM 3660、BDOCM 3660-DC兩種型號(hào),均采用模塊化設(shè)計(jì),具有6個(gè)網(wǎng)絡(luò)/語(yǔ)音模塊擴(kuò)展槽,支持種高密度的網(wǎng)絡(luò)/語(yǔ)音模塊,可實(shí)現(xiàn)更多組合應(yīng)用。操作系統(tǒng)采用博達(dá)擁有自主知識(shí)產(chǎn)權(quán)的ROS,能夠適應(yīng)新技術(shù)、新業(yè)務(wù)、新功能的應(yīng)用與擴(kuò)展。
Cisco 830系列路由器
Cisco 830系列路由器可分為Cisco 831以太網(wǎng)寬帶路由器和Cisco 837 ADSL寬帶路由器。Cisco 831路由器設(shè)有一個(gè)以太網(wǎng)WAN端口,可與外部DSL或有線調(diào)制解調(diào)器共用,Cisco 837路由器則設(shè)有一個(gè)集成化ADSL WAN端口。這兩種型號(hào)均提供了一個(gè)4端口10/100以太網(wǎng)LAN交換機(jī),可連接小型機(jī)構(gòu)網(wǎng)絡(luò)中的多個(gè)PC或網(wǎng)絡(luò)設(shè)備。Cisco 830系列提供集成化企業(yè)級(jí)安全服務(wù),支持IPSec、3DES加密,并設(shè)有狀態(tài)檢測(cè)防火墻模塊??晒┻x擇的特性包括Cisco Easy Remote(可實(shí)現(xiàn)的簡(jiǎn)單部署和管理的軟件特性)、需數(shù)字證書的公共密鑰基礎(chǔ)設(shè)施、網(wǎng)絡(luò)地址轉(zhuǎn)換、思科入侵檢測(cè)系統(tǒng)和URL過(guò)濾等,可確保中小企業(yè)、網(wǎng)吧、數(shù)碼工作室和個(gè)人用戶的上網(wǎng)安全。
港灣NetHammer1760路由器
NetHammer1760模塊化安全路由器是港灣新一代多業(yè)務(wù)接入路由器。NetHammer1760采用19英寸機(jī)架式設(shè)計(jì),內(nèi)置電源,具有很高的穩(wěn)定性。尤其是它支持港灣公司獨(dú)有的H技術(shù),H可以對(duì)數(shù)據(jù)提供加密保護(hù),支持路由協(xié)議,支持一端地址由ISP動(dòng)態(tài)分配,是港灣公司為解決傳統(tǒng)技術(shù)的缺點(diǎn)而推出的專有技術(shù)。NetHammer1760還可以配置硬件加密卡以提高加密性能。