設計安全路由器
路由器作為一種網路間的連接設備,它的基本功能是實現直接將報文發送到正確目的地和維持路由器用來決定正確路徑的路由選擇表。路由器作為內部網路與外部網路之間通信的關鍵設備,有必要提供一定的安全保護功能。在路由協議中有效的安全功能包括過濾路由廣播及認證。利用過濾,路由協議能禁止路由廣播到鄰居,因此可以保護網路的某一部分。一些路由協議在進行路由表更新前先要對鄰居進行認證,能保證阻止從其它子網來的非正確連接。然而,隨著網路在各種領域應用的日益普及,網路安全問題趨於複雜化和多樣化,今天的網路需要根據不同的應用建立全面的內在安全機制及設施。
常見的通過路由器的攻擊方式
嚴格地說,所有的網路攻擊都要經過路由器,但有些典型的攻擊方式就是利用路由器本身的設計缺陷展開的,而有些方式乾脆就是在路由器上進行的。比如發送虛假路由信息,使路由器路由混亂從而導致網路癱瘓,或者攻擊者通過改變自己的IP地址來偽裝成內部網用戶或可信任的外部網路用戶,發送特定的報文以擾亂正常的網路數據傳輸,或者偽造一些可接受的路由報文來更改路由信息,以竊取信息;更有甚者將自製路由器放在網路上,完全改變原有路由表的功能,造成報文無序路由。而最危險的是一種叫做埠掃描的直接針對路由器的攻擊方式,攻擊者通過探測防火牆在偵聽的埠,來發現系統的漏洞;或者事先知道路由器軟體的某個版本存在漏洞,通過查詢特定埠,判斷是否存在該漏洞。然後利用這些漏洞對路由器進行攻擊,使得整個路由器DOWN掉或無法正常運行。
安全路由器的設計原則
路由器在設計時,必須考慮路由器本身的可靠性和線路安全措施、身份認證、數據加密、入侵檢測和防範以及安全管理幾個方面。
在路由器的可靠性與線路安全方面來說,路由器設計介面時,必須有備份支持。當主介面發生故障時,備份介面自動投入工作,保證網路的正常運行;當網路流量增大時,備份介面又可以擔當負載分擔的任務。
身份認證可以分為兩種。一是針對訪問路由器方式、對端路由器和路由信息進行身份認證。二是針對用戶的身份認證,也就是訪問控制,路由器的訪問許可權需要進行口令的分級保護,通過包過濾實現基於IP地址的訪問控制。在基於用戶的訪問控制方面,路由器也可以提供接入服務功能。通過對用戶設置特定的過濾屬性,可實現對接入用戶的訪問控制。此外,與對端路由器通信時,通過地址轉換,可以做到隱藏網內地址、只以公共地址的方式訪問外部網路。除了內部網路首先發起的連接,網外用戶不能通過地址轉換直接訪問網內資源。
通過對路由器所發送的報文進行加密,即使在Internet上進行傳輸,也能保證數據的私有性、完整性以及報文內容的真實性。對於利用公網構建VPN的情況,數據加密能夠保證通過隧道傳輸的數據安全。現在通行的做法是採用內嵌式設計方法,將加密模件內化到路由器中。
針對埠掃描攻擊,一個安全的路由器必須具有良好的入侵檢測和防範功能,必要時要通過各種攻擊測試才能確認路由器是否足夠安全。同時,路由器的安全運行涉及到越來越多的安全策略,有必要進行安全策略管理。
華為Quidway系列路由器的安全技術
華為公司的Quidway系列路由器提供全面的安全設施,主要包括:CallBack技術、備份中心、AAA 、CA技術、包過濾技術、地址轉換、VPN技術、加密與密鑰交換技術、智能防火牆、安全管理和其他安全措施幾個方面。
首先,為了保證網路的可靠性,華為系列路由器提供了完備的備份功能,其強大的備份中心可以為路由器上除了撥號口之外的任意介面提供備份介面,而且所有介面互為備份。
其次,面對目前廣泛存在的人為破壞行為,確認訪問者的許可權已經成為最關鍵的問題之一,在這方面,華為提供的保障是全方位的。CallBack技術即回呼技術,實際是通過客戶端和伺服器的對話,將主動權交給伺服器的過程,最初由客戶端發起呼叫,伺服器端根據本端配置的呼叫號碼決定是否回呼客戶端,從而可避免因用戶名、口令失密而導致的不安全性。另外,伺服器端還可根據本端的配置,對呼入請求進行分類,即拒絕呼叫、接受呼叫(不回呼)或接受回呼,從而可以對不同的客戶端實施不同的限制,並且伺服器端在外部呼入時可以實現資源訪問的主動性。AAA(驗證、授權合記賬)網路安全伺服器提供了一個實現身份認證以及訪問控制的主框架。AAA使用RADIUS、TACACS+、Kerberos等協議來實現對網路的訪問控制。Quidway系列安全路由器實現時使用了最廣泛的RADIUS協議。CA技術是安全認證技術的一種,它基於公開密鑰體系通過安全證書來實現。安全證書採用國際標準的X.509證書格式。Quidway系列路由器正在實現對CA中心的支持,包含兩方面的內容,其一是針對CA中心的管理功能完成與CA中心的交互;其二即是路由器作為通信實體的認證功能。
在保障報文的安全方面,華為Quidway系列路由器提供了基於介面的包過濾,即可以在一個介面的進出兩個方向上進行過濾。同時還提供了基於時間段的包過濾,可以規定過濾規則發生作用的時間範圍。華為Quidway系列路由器支持L2TP(二層隧道協議)、IPSec和GRE(三層隧通技術)。華為Quidway系列路由器支持標準的三層隧道加密協議IPSec和密鑰交換協議IKE以及硬體和軟體加密演算法,有助於用戶在Internet上構建安全的VPN。華為Quidway系列路由器提供基於報文內容的訪問控制,能夠對應用層的一部分攻擊加以檢測和防範,包括對於SMTP命令的檢測、SYN flooding、Packet Injection的檢測。
在安全管理方面,Quidway安全路由器提供系統信息的記錄功能,包括訪問列表的記錄功能、關鍵事件的日誌記錄、Debug信息。通過對這些信息的分析,可以對網路進行運行維護和管理。
隨著網路安全性的要求越來越高,安全產品也日益複雜,路由器也不例外。成熟的安全策略分析與管理將基於策略資料庫實現,並且在需要的地方可以設置安全策略伺服器。安全策略分析與管理是華為Quidway系列路由器在安全方面的一個新的發展方向。
華為Quidway系列路由器基本上實現了各種先進的安全技術,能夠滿足構建VPN、電子商務等多種應用情況的組網要求。華為Quidway正在實現對智能防火牆、CA中心、策略分析與管理等新一代安全技術的支持。
原作者: 華之
-----------------------------------------------------------------
