路由器的安全設計

2019-11-05 00:42:34

字體：大中小

來源：轉載

供稿：網友

　　為了使路由器將合法信息完整、及時、安全地轉發到目的地，許多路由器廠商開始在路由器中添加安全模塊，于是出現了路由器與安全設備融合的趨勢。從本質上講，增加安全模塊的路由器，在路由器功能實現方面與普通路由器沒有區別。所不同的是，添加安全模塊的路由器可以通過加密、認證等技術手段增強報文的安全性，與專用安全設備進行有效配合，來提高路由器本身的安全性和所治理網段的可用性。
　　
　　在介紹路由器所采用的安全技術之前，我們先來了解一下網絡應用環境對路由器提出的安全要求。
　　
　　完整性：要求路由器在轉發報文過程中，保證信息不會遭到偶然或蓄意地添加、刪除、修改、重放等破壞。
　　
　　保密性：要求路由器保證信息在發送過程中不會被竊聽，即使信息被竊聽也不能被破譯。
　　
　　可用性：要求路由器保證系統或系統資源可被授權用戶訪問并按照需求使用的特性。
　　
　　可控性：要求路由器根據需要對轉發信息進行安全監控，對可疑的網絡信息進行分析、截留或其他處理。
　　
　　及時性：要求路由器保證網絡信息能夠被及時轉發，不會因安全處理而使轉發時間超出限度。
　　
　　抗攻擊性：要求路由器具有反抗網絡攻擊的能力。
　　
　　所采用的安全技術
　　
　　為了滿足網絡應用環境對路由器的安全要求，許多路由器廠商將防火墻、VPN、IDS、防病毒、URL過濾等技術引入路由器當中。
　　
　　訪問控制技術：用戶驗證是實現用戶安全防護的基礎技術。路由器上可以采用多種用戶接入的控制手段，如PPP、Web登錄認證、ACL、802.1x協議等，保護接入用戶不受網絡攻擊，同時能夠阻止接入用戶攻擊其他用戶和網絡。基于CA標準體系的安全認證，將進一步加強訪問控制的安全性。
　　
　　傳輸加密技術：ipSec是路由器常用的協議。借助該協議，路由器支持建立虛擬專用網（VPN）。IPSec協議包括ESP（Encapsulating Security Payload）封裝安全負載、AH（Authentication Header）報頭驗證協議及IKE（Internet Key Exchange）密鑰治理協議等，可以用在公共IP網絡上確保數據通信的可靠性和完整性，能夠保障數據安全穿越公網而沒有被偵聽。由于IPSec的部署簡便，只需安全通道兩端的路由器或主機支持IPSec協議即可，幾乎不需對網絡現有基礎設施進行更動。這正是IPSec協議能夠確保包括遠程登錄、客戶機、服務器、電子郵件、文件傳輸及Web訪問等多種應用程序安全的重要原因。
　　
　　防火墻防護技術：采用防火墻功能模塊的路由器具有報文過濾功能，能夠對所有接收和轉發的報文進行過濾和檢查，檢查策略可以通過配置實現更改和治理。路由器還可以利用NAT/PAT功能隱藏內網拓撲結構，進一步實現復雜的應用網關（ALG）功能。還有一些路由器提供基于報文內容的防護。原理是，當報文通過路由器時，防火墻功能模塊可以對報文與指定的訪問規則進行比較，假如規則答應，報文將接受檢查，否則報文直接被丟棄。假如該報文是用于打開一個新的控制或數據連接，防護功能模塊將動態修改或創建規則，同時更新狀態表以答應與新創建的連接相關的報文。回來的報文只有屬于一個已經存在的有效連接，才會被答應通過。
　　
　　入侵檢測技術：在安全架構中，入侵檢測（IDS）是一個非常重要的技術，目前有些路由器和高端交換機已經內置IDS功能模塊。內置入侵檢測模塊需要路由器具備完善的端口鏡像（一對一、多對一）和報文統計支持功能。
　　
　　HA（高可用性）：提高自身的安全性，需要路由器能夠支持備份協議（如VRRP）和具有日志治理功能，以使得網絡數據具備更高的冗余性和能夠獲取更多的保障。
　　
　　表一為路由器的安全機制所對應的安全功能特性。
　　表一
　　　

　　七層安全設計
　　
　　具體來說，人們正從以下七個層面來加強路由器的安全設計。
　　
　　硬件的安全保障：模塊化的硬件結構體系結構。
　　
　　軟件的安全保障：自主知識產權的操作系統；操作系統高度模塊化結構，進程空間隔離、數據流和控制流空間隔離。
　　
　　鏈路層的安全保障：廣域網上采用PPP認證和EAP-TLS；以太網上采用802.1x、MAC地址/端口綁定、VLAN隔離和EAP-TLS；對流量峰值設置閥值，通過流量限速抵御DoS攻擊。
　　
　　網絡層和傳輸層的安全保障：IPSec協議、AH/ESP/IKE、3DES等；基于IP的報文過濾；對ICMP各種類型報文的過濾處理；根據TCP/UDP報文頭選項進行過濾；網絡處理器實現分類和過濾功能，保證線速。
　　
　　路由安全： OSPF/BGP/RIP2/IS-IS/RSVP/LDP支持各種認證方式（不認證、明文認證、HMAC-md5認證）。
　　
　　應用層的安全保障:防火墻模塊。
　　
　　實現治理安全的手段：SSL保證web和CLI治理的安全通道；SSH替代Telnet的明文治理通道；多種用戶登錄驗證方式；命令行分級視圖治理；治理訪問策略控制（源地址、登錄端口、登錄時間控制）；支持SNMPv3。
　　
　　表二為七層安全設計所對應的路由器安全特性。
　　表二
　　

　　
　　安全特性有側重
　　
　　需要說明的是，路由器是一個龐大的家族，核心路由器和邊緣分支路由器從結構到技術原理都有很大不同，因此不同級別的路由器的安全側重點是不同的。例如，遠程分支路由器主要需要集成較為完善的加密和VPN功能，能夠在用戶端對數據進行加密或者建立VPN通道，這樣可以保證信息在廣域網上安全地傳遞。對于在網絡中位于核心位置的高端路由器，則需要綜合化的安全實現措施，首先路由器需要具備完善的用戶接入認證和控制功能；其次路由器在應用程序過濾、入侵檢測等方面應具備更強大的能力；并且應該具備支持IP報文加密、MPLS等技術。可以說，中低端路由器只需在路由軟件中增加特性或者通過添加硬件加密卡即可實現安全功能；而高端路由器則需要綜合采用多種安全措施。
　　
　　為了使路由器在經過諸多與安全相關的復雜報文處理之后，處理性能不會下降，業界出現了以網絡處理器（NP）為核心構建高端路由器的方式。網絡處理器能夠較好解決高端路由器的業務能力和性能之間矛盾的問題，同時也適應網絡安全變化迅速的特征，可以說代表了路由器未來的發展方向之一。
　　
　　產品篇
　　
　　具有安全功能的路由器可以應用于不同的網絡環境中，如內部網絡和外部網絡的互聯、不同子網之間的互聯以及網絡的接入服務等等。隨著電子政務建設的深入進行和企業級用戶安全問題的日漸突出，具有安全功能的路由器將會得到更廣泛的使用。下面我們就來介紹幾款加強安全設計的路由器產品。
　　
　　安奈特AT-AR700系列路由器
　　
　　AT-AR700系列路由器配置了高性能的80MHz RISC處理器和可升級的SDRAM，支持豐富的WAN接口，具有出色的路由功能、VPN功能和防火墻功能。借助于VPN模塊，AT-AR700支持基于硬件的DES/3DES加密，最多可同時支持1023個VPN隧道。借助于基于狀態檢測防火墻模塊，AT-AR700可以防止DoS攻擊。AT-AR700還提供事件觸發、防火墻事件日志和信息統計功能，能夠生成全面的安全日志。AT-AR700設有豐富的PIC接口，可以最大限度地保護用戶投資。AT-AR745上的NSM（網絡服務）模塊可以配置各種高速LAN/WAN接口，32MHz 32位的PCI總線可以提供高速的數據轉發。NSM構架同時也可以放置在安奈特公司的三層交換機上，為交換機提供豐富的WAN接口。此外，該路由器還具有流量整形、VRRP、冗余電源、腳本、異步撥號、支持IPv6等功能，適合用作大、中型企業和分支辦公機構的路由器平臺。
　　
　　博達BDCOM 3660系列路由器
　　
　　BDCOM 3660系列路由器作為內部網絡和外部網絡之間的要害通信設備，采用多種網絡安全機制，涉及的安全技術主要有備份技術、AAA、CA技術、CallBack技術、包過濾技術、網絡地址轉換、VPN技術、密鑰交換技術、安全治理、硬件加密卡和路由信息認證技術。為了保證網絡數據傳輸安全，BDCOM 3660路由器在接受任何路由信息時，首先會對該信息的發送方進行認證，以確保收到的路由信息是合法的。該路由器支持OSPF和RIPv2，啟用認證機制能夠保護路由信息的正確性，同時不會影響路由器的路由功能。BDCOM 3660系列路由器分為BDOCM 3660、BDOCM 3660-DC兩種型號，均采用模塊化設計，具有6個網絡/語音模塊擴展槽，支持種高密度的網絡/語音模塊，可實現更多組合應用。操作系統采用博達擁有自主知識產權的ROS，能夠適應新技術、新業務、新功能的應用與擴展。
　　
　　Cisco 830系列路由器
　　
　　Cisco 830系列路由器可分為Cisco 831以太網寬帶路由器和Cisco 837 ADSL寬帶路由器。Cisco 831路由器設有一個以太網WAN端口，可與外部DSL或有線調制解調器共用，Cisco 837路由器則設有一個集成化ADSL WAN端口。這兩種型號均提供了一個4端口10/100以太網LAN交換機，可連接小型機構網絡中的多個PC或網絡設備。Cisco 830系列提供集成化企業級安全服務，支持IPSec、3DES加密，并設有狀態檢測防火墻模塊。可供選擇的特性包括Cisco Easy VPN Remote（可實現VPN的簡單部署和治理的軟件特性）、需數字證書的公共密鑰基礎設施、網絡地址轉換、思科入侵檢測系統和URL過濾等，可確保中小企業、網吧、數碼工作室和個人用戶的上網安全。
　　
　　港灣NetHammer1760路由器
　　
　　NetHammer1760模塊化安全路由器是港灣新一代多業務接入路由器。NetHammer1760采用19英寸機架式設計，內置電源，具有很高的穩定性。尤其是它支持港灣公司獨有的HVPN技術，HVPN可以對VPN數據提供加密保護，支持路由協議，支持VPN一端地址由ISP動態分配，是港灣公司為解決傳統VPN技術的缺點而推出的專有技術。NetHammer1760還可以配置VPN硬件加密卡以提高加密性能。此外，NetHammer1760采用低成本、靈活的模塊化結構，提供3個通用擴展插槽，提供豐富的數據/語音/傳真接口，具有豐富的QoS、VPN、組播、防火墻及硬件加密功能，支持VLAN、PPPoE、ADSL等寬帶接入服務，內嵌中文Web網管功能，支持SNA、啞終端等特色服務。
　　
　　華為NE80/40路由器
　　
　　NE80/40路由器屬于華為第五代路由器，采用基于電信級高可靠性的設計，既為業務順利實施提供了保證，又為網絡安全及擴展性提供了強大支持。該路由器基于網絡處理器開發，其最大的優勢就是可編程及靈活性，能夠不斷升級以適應網絡環境的變化，滿足用戶個性化的要求。網絡處理器在實現靈活業務的同時，還能保證性能不降低。NE80/40支持PPP認證實現訪問控制，支持路由安全和VPN，支持基于IP的報文過濾規則設定，每塊接口板可以支持5000條ACL的線速轉發，支持NAT/PAT功能，能夠基于NAT實現多種應用層網關解析。NE80/40既能為客戶提供定制化的安全解決方案，又能不斷增加新的安全特性以幫助用戶及時應對新的安全挑戰。
　　
　　NETGEAR FVL328路由器
　　
　　FVL328配備有1個10/100M的廣域網口（支持所有寬帶技術的接入）和 8個10/100M的局域網口，具有以下功能: 防火墻功能，采用狀態數據包檢測技術提供最高級別的安全性，防止DoS的攻擊，進行java/URL/ActiveX內容過濾等；VPN功能，提供100個專門的VPN隧道，支持Client-to-Site 和Site-to-Site兩種VPN連接方式，密匙的治理支持Manual Key、 IKE以及PKI(x.509)；豐富的治理功能，采用基于Web的圖形化配置與幫助界面，自動安裝向導能自動檢測廣域網連接的類型，支持對設備的遠程治理；IP地址分配，可靜態設定IP地址，廣域網口支持PPPoE和DHCP Client功能,設備同時內置DHCP Server功能可為內網用戶分配IP地址；路由功能，支持網絡地址轉換NAT和PAT，支持靜態路由、動態路由(RIPv1和RIPv2)。可以說NETGEAR FVL328是非凡針對中小企業和大型企業分支機構而專門定制的高安全、高性能的路由器產品。
　　
　　北電Contivity 2700路由器
　　
　　Contivity 2700在單一集成平臺上提供IP路由、VPN、狀態防火墻、加密、鑒權、目錄和策略服務、QoS以及帶寬治理服務，可以用作總部或分支機構的安全路由解決方案。通過包括T1/E1、V.35/X.21以及幀中繼等在內的WAN服務，Contivity 2700可以作為企業的全能型“IP邊緣”解決方案。一臺Contivity 2700可以解決過去要求多臺分立設備（如路由器、VPN網關、防火墻）才能解決的問題，并且無需成本高昂的硬件升級就可以增加新的IP服務。靈活的軟件許可證答應在初期將Contivity作為路由器、VPN網關或防火墻來安裝，以后可以通過軟件許可證來進行升級。Contivity 2700結合了北電公司的安全路由技術框架，即使在同一設備中運行多種IP服務，它也可以提供擴展性和較高的性能，并且還提供一些要害特性——如IPSec VPN隧道上的動態路由、VPN中的公共安全性策略、路由和防火墻服務。此外，Contivity 2700可以與用戶現有的路由、鑒權、目錄和安全性系統互操作，能夠為新IP服務的過渡發揮橋梁作用。
　　
　　紫光BitEngine 3600路由器
　　
　　BitEngine 3600模塊化中心路由器采用模塊化的結構設計，具有以下特點：自主知識產權的網絡操作系統平臺（BWOS），將Internet基礎協議TCP/IP協議棧、實時操作技術、設備及網絡治理技術和應用技術融為一體，支持各種網絡協議，具有很強的可伸縮性和可配置性；完善的系統安全設計，通過BWOS獨有的安全路由技術，包括包過濾、IPSec、路由協議加密、硬件加密、RADIUS/AAA、日志和系統監控等多種安全技術的有效結合，實現了數據安全傳輸、路由保護、策略控制和安全治理；高性能和模塊化的完美結合，采用模塊化的體系結構，提供2個固定端口10/100Base-TX以太網模塊和6個擴展插槽，可以提供十多種不同類型的模塊，幫助用戶定制適合自己的網絡架構。此外，BitEngine 3600支持多種接口類型，具有接口備份、鏈路備份、路由備份等功能，支持FXS、FXO等語音接口，支持與多種國內外廠商VoIP設備的互通，實現了語音與數據網絡的有效融合，是一款專門面向大中型企業網絡、校園網、公安、稅務專用網的高性能、模塊化的中心路由器。
　　
　　在實際應用中，我們發現盡管一些用戶部署了具有安全功能的路由器，但這些用戶的路由器和網絡仍然遭受攻擊，這說明路由器的安全不僅取決于路由器本身的安全設計，而且還取決于治理員的治理水平。事實證實，一位有經驗的治理員能夠有效化解針對路由器的許多攻擊。林棟是一位從事電信骨干網大型網絡維護工作多年的網管員，以下是他對路由器的治理心得，供讀者參考。

上一篇：基本的CISCO路由器安全配置

下一篇：用路由器構造Intranet防護體系