设计安全路由器
路由器作为一种网络间的连接设备,它的基本功能是实现直接将报文发送到正确目的地和维持路由器用来决定正确路径的路由选择表。路由器作为内部网络与外部网络之间通信的关键设备,有必要提供一定的安全保护功能。在路由协议中有效的安全功能包括过滤路由广播及认证。利用过滤,路由协议能禁止路由广播到邻居,因此可以保护网络的某一部分。一些路由协议在进行路由表更新前先要对邻居进行认证,能保证阻止从其它子网来的非正确连接。然而,随着网络在各种领域应用的日益普及,网络安全问题趋于复杂化和多样化,今天的网络需要根据不同的应用建立全面的内在安全机制及设施。
常见的通过路由器的攻击方式
严格地说,所有的网络攻击都要经过路由器,但有些典型的攻击方式就是利用路由器本身的设计缺陷展开的,而有些方式干脆就是在路由器上进行的。比如发送虚假路由信息,使路由器路由混乱从而导致网络瘫痪,或者攻击者通过改变自己的IP地址来伪装成内部网用户或可信任的外部网络用户,发送特定的报文以扰乱正常的网络数据传输,或者伪造一些可接受的路由报文来更改路由信息,以窃取信息;更有甚者将自制路由器放在网络上,完全改变原有路由表的功能,造成报文无序路由。而最危险的是一种叫做端口扫描的直接针对路由器的攻击方式,攻击者通过探测防火墙在侦听的端口,来发现系统的漏洞;或者事先知道路由器软件的某个版本存在漏洞,通过查询特定端口,判断是否存在该漏洞。然后利用这些漏洞对路由器进行攻击,使得整个路由器DOWN掉或无法正常运行。
安全路由器的设计原则
路由器在设计时,必须考虑路由器本身的可靠性和线路安全措施、身份认证、数据加密、入侵检测和防范以及安全管理几个方面。
在路由器的可靠性与线路安全方面来说,路由器设计接口时,必须有备份支持。当主接口发生故障时,备份接口自动投入工作,保证网络的正常运行;当网络流量增大时,备份接口又可以担当负载分担的任务。
身份认证可以分为两种。一是针对访问路由器方式、对端路由器和路由信息进行身份认证。二是针对用户的身份认证,也就是访问控制,路由器的访问权限需要进行口令的分级保护,通过包过滤实现基于IP地址的访问控制。在基于用户的访问控制方面,路由器也可以提供接入服务功能。通过对用户设置特定的过滤属性,可实现对接入用户的访问控制。此外,与对端路由器通信时,通过地址转换,可以做到隐藏网内地址、只以公共地址的方式访问外部网络。除了内部网络首先发起的连接,网外用户不能通过地址转换直接访问网内资源。
通过对路由器所发送的报文进行加密,即使在Internet上进行传输,也能保证数据的私有性、完整性以及报文内容的真实性。对于利用公网构建VPN的情况,数据加密能够保证通过隧道传输的数据安全。现在通行的做法是采用内嵌式设计方法,将加密模件内化到路由器中。
针对端口扫描攻击,一个安全的路由器必须具有良好的入侵检测和防范功能,必要时要通过各种攻击测试才能确认路由器是否足够安全。同时,路由器的安全运行涉及到越来越多的安全策略,有必要进行安全策略管理。
华为Quidway系列路由器的安全技术
华为公司的Quidway系列路由器提供全面的安全设施,主要包括:CallBack技术、备份中心、AAA 、CA技术、包过滤技术、地址转换、VPN技术、加密与密钥交换技术、智能防火墙、安全管理和其他安全措施几个方面。
首先,为了保证网络的可靠性,华为系列路由器提供了完备的备份功能,其强大的备份中心可以为路由器上除了拨号口之外的任意接口提供备份接口,而且所有接口互为备份。
其次,面对目前广泛存在的人为破坏行为,确认访问者的权限已经成为最关键的问题之一,在这方面,华为提供的保障是全方位的。CallBack技术即回呼技术,实际是通过客户端和服务器的对话,将主动权交给服务器的过程,最初由客户端发起呼叫,服务器端根据本端配置的呼叫号码决定是否回呼客户端,从而可避免因用户名、口令失密而导致的不安全性。另外,服务器端还可根据本端的配置,对呼入请求进行分类,即拒绝呼叫、接受呼叫(不回呼)或接受回呼,从而可以对不同的客户端实施不同的限制,并且服务器端在外部呼入时可以实现资源访问的主动性。AAA(验证、授权合记账)网络安全服务器提供了一个实现身份认证以及访问控制的主框架。AAA使用RADIUS、TACACS+、Kerberos等协议来实现对网络的访问控制。Quidway系列安全路由器实现时使用了最广泛的RADIUS协议。CA技术是安全认证技术的一种,它基于公开密钥体系通过安全证书来实现。安全证书采用国际标准的X.509证书格式。Quidway系列路由器正在实现对CA中心的支持,包含两方面的内容,其一是针对CA中心的管理功能完成与CA中心的交互;其二即是路由器作为通信实体的认证功能。
在保障报文的安全方面,华为Quidway系列路由器提供了基于接口的包过滤,即可以在一个接口的进出两个方向上进行过滤。同时还提供了基于时间段的包过滤,可以规定过滤规则发生作用的时间范围。华为Quidway系列路由器支持L2TP(二层隧道协议)、IPSec和GRE(三层隧通技术)。华为Quidway系列路由器支持标准的三层隧道加密协议IPSec和密钥交换协议IKE以及硬件和软件加密算法,有助于用户在Internet上构建安全的VPN。华为Quidway系列路由器提供基于报文内容的访问控制,能够对应用层的一部分攻击加以检测和防范,包括对于SMTP命令的检测、SYN flooding、Packet Injection的检测。
在安全管理方面,Quidway安全路由器提供系统信息的记录功能,包括访问列表的记录功能、关键事件的日志记录、Debug信息。通过对这些信息的分析,可以对网络进行运行维护和管理。
随着网络安全性的要求越来越高,安全产品也日益复杂,路由器也不例外。成熟的安全策略分析与管理将基于策略数据库实现,并且在需要的地方可以设置安全策略服务器。安全策略分析与管理是华为Quidway系列路由器在安全方面的一个新的发展方向。
华为Quidway系列路由器基本上实现了各种先进的安全技术,能够满足构建VPN、电子商务等多种应用情况的组网要求。华为Quidway正在实现对智能防火墙、CA中心、策略分析与管理等新一代安全技术的支持。
原作者: 华之
-----------------------------------------------------------------