路由器的安全淺析

摘要：本文分析了路由器的工作原理，對路由器在Internet中存在的安全隱患進行了較詳細的分析，最后提出了一些防范的措施和思路。

關鍵詞：路由器；路由器安全；網(wǎng)絡安全；網(wǎng)絡攻擊

中圖分類號：TP393.05 文獻標識碼：A 文章編號：1674-7712 （2012） 14-0072-01

IP網(wǎng)絡監(jiān)控系統(tǒng)指的是基于網(wǎng)絡設備監(jiān)控系統(tǒng)和通信網(wǎng)絡技術的基礎上的監(jiān)控系統(tǒng)，這樣的監(jiān)控系統(tǒng)打破了以往的監(jiān)控模式，監(jiān)控地域的范圍從城市的一個地方擴展到多個地方。通過此種遠程監(jiān)控系統(tǒng)，使得許多的專業(yè)人員可以對遠處的更多現(xiàn)場設備實施監(jiān)管，此類監(jiān)控工作和經(jīng)濟效益也得到了較大的提高。

一、引言

路由器用于連接的多個邏輯單獨的網(wǎng)絡。不同部分之間的數(shù)據(jù)傳輸數(shù)據(jù)時，路由器必須能夠完成轉移。因此，路由器具有判斷網(wǎng)絡地址和選擇的IP路徑功能（路由和尋址功能），多網(wǎng)絡互聯(lián)環(huán)境，它可以創(chuàng)建一個靈活的連接，可用完全不同的數(shù)據(jù)分組和介質訪問方法連接各種子網(wǎng)絡中，路由器只接受源站或其他路由器是一個網(wǎng)絡層的互連設備的信息。它不關心各子網(wǎng)使用的硬件設備，但需要與網(wǎng)絡層協(xié)議軟件的操作和一致的。在現(xiàn)代網(wǎng)絡通信設備網(wǎng)絡路由器是最重要的，作為一個橋梁連接兩個不同的網(wǎng)段，所以這是非常重要的安全性。因此，路由器的安全性分析是網(wǎng)絡安全評估的重要手段。本文從分析的路由器在安全問題工作中存在的，和的措施和建議。

二、路由器的概念

路由器是在網(wǎng)絡層提供多個獨立的子網(wǎng)間連接服務的一種存貯/轉發(fā)設備。它的基本功能包括：接收和傳送數(shù)據(jù)報表，出錯時能生成ICMP報文，丟棄那些TTL到0的數(shù)據(jù)報，需要時對數(shù)據(jù)報分組，以適合下一個網(wǎng)絡的MTU·進行路由選擇，根據(jù)路由表為每個數(shù)據(jù)報選擇下一個節(jié)點。

三、網(wǎng)絡應用環(huán)境對路由器提出的安全要求

為了讓合法信息完整、及時、安全地從源轉發(fā)到目的地，網(wǎng)絡應用環(huán)境對路由器提出如下的安全要求：

防火墻功能模塊路由器的包過濾能力，過濾和檢查所有接收和轉發(fā)數(shù)據(jù)包，檢查政策的變化。還可以利用路由器的NAT / PAT功能隱藏在網(wǎng)絡的拓撲結構，更加復雜的應用層網(wǎng)關（ALG）功能。有些路由器提供了基于數(shù)據(jù)包的內容保護。其原理是，當數(shù)據(jù)包通過路由器，防火墻功能模塊可以比較的數(shù)據(jù)包與指定的訪問規(guī)則，如果規(guī)則允許的數(shù)據(jù)包將接受檢查，否則報文，直接丟棄。如果包是用來打開一個新的控制或數(shù)據(jù)連接，保護模塊會動態(tài)地修改或創(chuàng)建規(guī)則來更新狀態(tài)表的同時，讓新創(chuàng)建的連接的數(shù)據(jù)包。返回的數(shù)據(jù)包只屬于一個有效的連接已經(jīng)存在，將被允許通過。

入侵檢測技術：安全體系結構，入侵檢測（IDS）是一個非常重要的技術，有些路由器和高端交換機的IDS功能模塊。內置入侵檢測模塊需要一個路由器端口鏡像和報文的統(tǒng)計信息支持功能。

及時性：可以轉發(fā)的路由器，確保網(wǎng)絡信息的要求，及時轉發(fā)時間超出安全處理。抵御攻擊的路由器有能力抵御網(wǎng)絡攻擊。

四、提高路由器安全性的方法

目前提高路由器安全性的途徑可以分為兩類：一類是通過技術手段，在普通路由器中添加安全模塊，加強路由器的安全設計，來提高其安全性；另外一類就是借助管理手段，不斷加強對路由器的安全管理。

（一）加強路由器的安全設計

為了使路由器將完成合法的信息及時，安全地轉發(fā)到目的地，你可以添加一個安全模塊的路由器，使路由器和安全設備融合的趨勢。從本質上講，以增加的安全模塊的路由器，路由器的功能實現(xiàn)與普通的路由器沒有區(qū)別。不同的是，在路由器中添加安全模塊可以提高通過技術手段，如加密，身份認證，信息安全，有效的協(xié)調與特殊安全設備，以提高路由器的鏈路層安全：的WAN PPP認證和EAP-TLS以太網(wǎng)，IEEE 802.1X，MAC地址/端口綁定，VLAN隔離和EAP-TLS，抵御DoS攻擊，通過行車速度的限制設置的閾值，在交通高峰期。

網(wǎng)絡層和傳輸層安全協(xié)議IPSec協(xié)議，AH/ ESP / IKE，3DES等；包過濾基于IP，基于TCP/ UDP報文頭中的選項過濾ICMP包過濾處理各類；網(wǎng)絡處理器實現(xiàn)分類和過濾功能，以確保線速。

路由安全性：OSPF/BGP/RIP2/IS-IS/RSVP/LDP支持多種身份驗證方法（明文認證未認證，HMAC-MD5認證）啟用的身份驗證機制，以保護路由信息的正確性，并在同一時間不會影響路由器的路由的功能。

應用層安全：防火墻模塊。防火墻功能模塊路由器的包過濾功能，過濾和檢查所有的接收和轉發(fā)數(shù)據(jù)包。

（二）增強路由器的安全管理

保護路由器自身安全的手段主要包括物理訪問、登錄賬號、軟件防護、遠程管理以及相應的配置操作。

五、如何預防路由器遭攻擊

1.去掉不必要的計算機協(xié)議：將NETBIOS關閉，避免針對NETBIOS的攻擊。

2.禁用一些不重要的服務：無論是路由器、服務器和任務站上的不需要的服務都要禁用。在有些路由器中經(jīng)過網(wǎng)絡操作系統(tǒng)默許地供應一些服務，chargen和discard。

3.禁用Ping命令：IIPSec 策略是用來配置 IPSec 安全服務。可以通過系統(tǒng)中提供的“IP 安全策略”管理單元來為 Active Directory 中的計算機定義 IPSec 策略。

4.禁用IP路由和IP重新定向：重新定向允許數(shù)據(jù)包從一個接口進來然后從另一個接口出去。你不需要把精心設計的數(shù)據(jù)包重新定向到專用的內部網(wǎng)路。

六、結束語

路由器中許多與安全相關的復雜的數(shù)據(jù)包處理后，性能必然下降，建立一個高端路由器為核心的網(wǎng)絡處理器（NP）。網(wǎng)絡處理器能夠更好地解決高端路由器市場的容量和性能之間的矛盾，同時也能適應快速變化的網(wǎng)絡安全特性，代表未來發(fā)展方向的路由器之一。

參考文獻：

[1]周德澤，袁南兒，應英.計算機智能監(jiān)測控制系統(tǒng)的設計及應用[M].北京：清華大學出版社，2002，1，1-161.

[2]謝希仁.計算機網(wǎng)絡[M].北京：電子工業(yè)出版社，2008.

[3]http：//baike.baidu.com/view/1360.htm

[作者簡介]譚再峰（1976.6-），男，湖北恩施，現(xiàn)為恩施職業(yè)技術學院計算機與信息工程系助講，計算機軟件開發(fā)專業(yè)。