路由器和交換機安全技術應用研究

文/李彥

首先，本文從路由器安全技術應用的角度出發，提出構建漏洞修補技術。為此，本文基于常見的網絡安全漏洞，設計了漏洞檢測框架，并簡要介紹了該框架的真實應用場景。其次，本文從交換機安全技術應用的角度出發，提出構建ACL（訪問控制技術）交換機網絡安全訪問控制技術，針對性地設計網絡安全訪問控制網絡架構，并分析其仿真應用結果。

2017 年6 月，《中華人民共和國網絡安全法》正式實施，這說明，國家越來越重視網絡安全問題。為了更好地應對互聯網快速發展帶來的網絡安全事件，相關部門應聚焦于路由器漏洞修復和網絡安全訪問等方面，通過引進新技術、專業技術人才等方式，及時化解網絡安全風險，降低網絡安全事件的影響。

一、路由器漏洞修補技術

（一）漏洞檢測框架設計

現階段，常見的路由器安全漏洞有權限繞過漏洞、命令注入、后門賬戶和溢出攻擊等類型。目前，最為常見的攻擊形式有堆溢出攻擊和棧溢出攻擊兩種，二者均會制約程序和路由器的安全運行。[1]基于此，本文借助污點跟蹤與模糊測試方法，在傳統測試方法的基礎上對D-Link 版本的路由器進行改良，以求解決源代碼獲取難這一現實問題；應用污點分析技術，對來源不可信的數據進行檢測，進而判定其是否存在惡意行為。[2]

（二）真實場景應用

考慮到CGI 等格式的目標文件的正常運行通常離不開特殊環境變量的支持[3]，并且此種環境變量能夠為路由器用戶端線上傳輸和接收數據信息創造條件。因此，本文所述漏洞檢測框架的真實應用場景必須綜合考量CGI 文件的取值過程，從而確保所獲得的數據的有效性。[4]

本文中，固件解析方法的作用對象為D-Link DCS-942L 路由器，具體應用流程如下。（1）獲取管網固件信息并初步觀察固件，借助Binwalk 工具，輸出可視化結果和固件解析數據；（2）基于Binwalk 工具分析固件解析結果，明確未能完全解析的文件或系統存在的問題，并進入下一個固件解析環節；（3）根據固件腳本特征，選用合適的數據觀察方案。以本文提出的漏洞檢測框架為例，與其真實應用場景匹配度最高的數據觀察方法為hexdump，該方法對應的是用于觀察固件開頭的Shell 腳本特征。為了驗證該漏洞檢測方法是否可行，本文從代碼覆蓋率、誤警率以及漏警率三個指標出發，建立了驗證指標體系，并落實相應的測試工作。同時，為確保測試結果真實可靠，筆者分別將本文提出的漏洞檢測方法和Sulley（模糊測試工具）運用于磊科NW774路由器和D-link DCS-942L 路由器，同時記錄并計算二者的代碼覆蓋率、誤警率及漏警率。[5]

1.代碼覆蓋率

筆者將Sulley 運用于D-link DCS-942L 路由器后，采用模糊測試與采用污點跟蹤優化后的模糊測試，得出的代碼覆蓋率分別為51.33%、46.67%；在同等條件下，本文提出的漏洞檢測方法，其模糊測試得出的代碼覆蓋率為75.11%。筆者將Sulley 運用于磊科NW774 路由器后，采用模糊測試與采用污點跟蹤優化后的模糊測試，得出的代碼覆蓋率分別為55.20%、48.99%；在同等條件下，本文提出的漏洞檢測方法，其模糊測試得出的代碼覆蓋率為69.89%。由此可見，在不同型號的路由器應用場景下，后者的代碼覆蓋率均高于前者的代碼覆蓋率。

2.誤警率與漏警率

首先，筆者將Sulley 運用于D-link DCS-942L 路由器后，計算得出的誤警率與漏警率分別為47.20%、43.97%；在同等條件下，本文提出的漏洞檢測方法得到的誤警率與漏警率分別為40.18%、40.13%。其次，筆者將Sulley 運用于磊科NW774 路由器后，計算得到的誤警率與漏警率分別為39.24%、45.22%；在同等條件下，本文提出的漏洞檢測方法得到的誤警率與漏警率分別為32.10%、30.11%。這些指標值足以證明本文提出的漏洞檢測方法更具可信度，科學性更高，可以在實際應用中發揮積極作用。

二、ACL 交換機網絡安全訪問控制技術

（一）網絡安全訪問控制網絡架構設計

通常，企業網絡安全架構主要由接入層、匯聚層和核心層組成。其中，接入層是用戶訪問或面向終端的層結構，其與終端相連接以完成業務通信和寬帶分配等指令。ACL 與目的設備的間距較短，且普遍置于接入層。同時，置于接入層的交換機屬于二層網絡結構，具備即插即用等優勢，能夠滿足內部數據的交換和處理需求，后期維護及操作使用難度較低。匯聚層是承接接入層和核心層的層結構，其主要負責匯聚、分發和傳輸接入層的數據。匯聚層中的ACL 同樣位于源設備附近，以實現協議轉換功能。匯聚層的交換機符合三層結構特點，主要負責轉發三層路由器和網關。與接入層的交換機相比，匯聚層的交換機添加了匯聚等功能，性能更為強大。核心層主要負責路由表維護和數據轉發，其屬于主干部分，對所屬網絡安全訪問控制網絡架構的整體性能影響深遠。核心層的帶寬和吞吐量均為三層網絡架構中的最大值，并且關聯甚廣。因此，合理設計核心層的網絡架構是保障企業網絡安全的關鍵。

（1）從企業內部劃分區域，運行OSPF 協議以形成鏈路狀態。在路由器的支持下，企業員工均可通過Telnet 程序登錄自己的辦公賬號。其中，研發部和辦公室的員工可以根據業務需要訪問外網，進而實現外網數據與內網數據的安全流通，但財務部的員工無訪問外網的權限；財務部與辦公室的溝通主要通過基于OSPF 協議的組網區域來實現，且該組網區域的訪問形式僅限于HTTP 服務器，同樣無法訪問外網，從而確保企業內部數據不被泄露；毫無疑問，研發部和財務部的對接同樣只能通過訪問HTTP 服務器來實現。

（2）將OSPF 區域進一步劃分為Area0（A0）、Area1（A1）、Area2（A2）、Area3（A3）四個部分，各部分在OSPF 協議的支撐下緊密連接，進而達到數據互通的目的。其中，A0 為組網核心部分，負責將企業內部和財務部的路由器與研發部、辦公室的路由器相連接，以完成數據傳輸和協議轉換、包過濾源地址等指令；A1 是企業內部與外部通信相連接的區域，主要負責保障目的地址和源地址的安全；A2、A3 均為企業內部各部門通信區域，主要負責區域內和跨區域的數據交互。

（3）在ACL 和Telnet 的雙重保障下，企業內部擁有遠程登錄權限的人員只能憑借個人IP 地址或者輸入提前設置好的密碼，才能獲得訪問企業內部網絡的權限。如此一來，惡意登錄路由器等問題能夠得到有效解決，內網數據也能實現閉環傳輸，企業內部網絡的安全性明顯提升。此外，數據交換常出現于財務部與研發部之間，因此，該區域數據傳輸的通暢性是企業內部網絡保持連續性和穩定性的基礎。在具體操作過程中，企業可以在財務部與研發部的組網區域A3 中使用交換機，并設置二層結構，建立MSTP+VRRP 綜合組網架構，增加帶寬和冗余網絡。同時，為進一步縮減資源占有率，企業還可以引入多線路模式，從而在降低因線路故障導致數據無法傳輸等問題的同時，避免影響負載均衡。

（二）仿真應用

本文構建的網絡安全訪問控制網絡架構是基于OSPF 協議和ACL 規則來實現的，其網絡配置細則可概述為以下幾點。（1）內部運行網關協議，辦公室可訪問管理R1、R2、R3，財務部不可訪問外網。（2）采取區域認證方式作用于A0，采取MSTP+VRRP 綜合組網架構作用于A3。其中，VRRP 使用的協議數據包是目的IP 地址為224.0.0.18 的組播數據包。配置完成后，ACL 的生效順序為：在config 模式及auto 模式下，編號小的優先級高。ACL6 的生效順序為：在config 模式下，編號小的優先級高；在auto 模式下，排序靠前的優先級高。當ACL 作用于黑名單攻擊防護時，ACL6 可以直接過濾處理后的協議數據包，然后將處理好的數據發送至CPU。在系統視圖下，ACL6 能夠準確接受并執行命令，并轉至攻擊/防護視角。在此期間，黑名單由執行命令創設，并可直接應用于防護/攻擊策略。

在規劃好網絡拓撲圖后，筆者基于華為eNSP 軟件，在ACL 策略、單臂路由以及VLAN間通信的組合配置下，順利開展了仿真實驗。實驗結果顯示，本文設計的網絡接入方式能夠完善網絡基礎，且當ACL 作用于核心層后，網絡健壯性和企業網絡訪問控制過程的安全性均得到有效提升。

三、結語

綜上所述，路由器和交換機的安全運行與企業內部網絡的安全性直接相關。因此，為了實現數據精準傳輸和資源共享等功能，企業技術部門需要針對更深層次的路由器和交換機安全運行技術展開研究，同時借助漏洞修補技術和ACL 等技術創設更加安全、健康、文明的網絡運行環境。