为了使路由器将合法信息完整、及时、安全地转发到目的地,许多路由器厂商开始在路由器中添加安全模块,于是出现了路由器与安全设备融合的趋势。从本质上讲,增加安全模块的路由器,在路由器功能实现方面与普通路由器没有区别。所不同的是,添加安全模块的路由器可以通过加密、认证等技术手段增强报文的安全性,与专用安全设备进行有效配合,来提高路由器本身的安全性和所管理网段的可用性。
在介绍路由器所采用的安全技术之前,我们先来了解一下网络应用环境对路由器提出的安全要求。
完整性:要求路由器在转发报文过程中,保证信息不会遭到偶然或蓄意地添加、删除、修改、重放等破坏。
保密性:要求路由器保证信息在发送过程中不会被窃听,即使信息被窃听也不能被破译。
可用性:要求路由器保证系统或系统资源可被授权用户访问并按照需求使用的特性。
可控性:要求路由器根据需要对转发信息进行安全监控,对可疑的网络信息进行分析、截留或其他处理。
及时性:要求路由器保证网络信息能够被及时转发,不会因安全处理而使转发时间超出限度。
抗攻击性:要求路由器具有抵抗网络攻击的能力。
所采用的安全技术
为了满足网络应用环境对路由器的安全要求,许多路由器厂商将防火墙、VPN、IDS、防病毒、URL过滤等技术引入路由器当中。
访问控制技术:用户验证是实现用户安全防护的基础技术。路由器上可以采用多种用户接入的控制手段,如PPP、Web登录认证、ACL、802.1x协议等,保护接入用户不受网络攻击,同时能够阻止接入用户攻击其他用户和网络。基于CA标准体系的安全认证,将进一步加强访问控制的安全性。
传输加密技术:IPSec是路由器常用的协议。借助该协议,路由器支持建立虚拟专用网(VPN)。IPSec协议包括ESP(Encapsulating Security Payload)封装安全负载、AH(Authentication Header)报头验证协议及IKE(Internet Key Exchange)密钥管理协议等,可以用在公共IP网络上确保数据通信的可靠性和完整性,能够保障数据安全穿越公网而没有被侦听。由于IPSec的部署简便,只需安全通道两端的路由器或主机支持IPSec协议即可,几乎不需对网络现有基础设施进行更动。这正是IPSec协议能够确保包括远程登录、客户机、服务器、电子邮件、文件传输及Web访问等多种应用程序安全的重要原因。
防火墙防护技术:采用防火墙功能模块的路由器具有报文过滤功能,能够对所有接收和转发的报文进行过滤和检查,检查策略可以通过配置实现更改和管理。路由器还可以利用NAT/PAT功能隐藏内网拓扑结构,进一步实现复杂的应用网关(ALG)功能。还有一些路由器提供基于报文内容的防护。原理是,当报文通过路由器时,防火墙功能模块可以对报文与指定的访问规则进行比较,如果规则允许,报文将接受检查,否则报文直接被丢弃。如果该报文是用于打开一个新的控制或数据连接,防护功能模块将动态修改或创建规则,同时更新状态表以允许与新创建的连接相关的报文。回来的报文只有属于一个已经存在的有效连接,才会被允许通过。
入侵检测技术:在安全架构中,入侵检测(IDS)是一个非常重要的技术,目前有些路由器和高端交换机已经内置IDS功能模块。内置入侵检测模块需要路由器具备完善的端口镜像(一对一、多对一)和报文统计支持功能。
HA(高可用性):提高自身的安全性,需要路由器能够支持备份协议(如VRRP)和具有日志管理功能,以使得网络数据具备更高的冗余性和能够获取更多的保障。
表一为路由器的安全机制所对应的安全功能特性。
七层安全设计
具体来说,人们正从以下七个层面来加强路由器的安全设计。
硬件的安全保障:模块化的硬件结构体系结构。
软件的安全保障:自主知识产权的操作系统;操作系统高度模块化结构,进程空间隔离、数据流和控制流空间隔离。
链路层的安全保障:广域网上采用PPP认证和EAP-TLS;以太网上采用802.1x、MAC地址/端口绑定、VLAN隔离和EAP-TLS;对流量峰值设置阀值,通过流量限速抵御DoS攻击。
网络层和传输层的安全保障:IPSec协议、AH/ESP/IKE、3DES等;基于IP的报文过滤;对ICMP各种类型报文的过滤处理;根据TCP/UDP报文头选项进行过滤;网络处理器实现分类和过滤功能,保证线速。
路由安全: OSPF/BGP/RIP2/IS-IS/RSVP/LDP支持各种认证方式(不认证、明文认证、HMAC-MD5认证)。
应用层的安全保障:防火墙模块。
实现管理安全的手段:SSL保证web和CLI管理的安全通道;SSH替代Telnet的明文管理通道;多种用户登录验证方式;命令行分级视图管理;管理访问策略控制(源地址、登录端口、登录时间控制);支持SNMPv3。
表二为七层安全设计所对应的路由器安全特性。
安全特性有侧重
需要说明的是,路由器是一个庞大的家族,核心路由器和边缘分支路由器从结构到技术原理都有很大不同,因此不同级别的路由器的安全侧重点是不同的。例如,远程分支路由器主要需要集成较为完善的加密和VPN功能,能够在用户端对数据进行加密或者建立VPN通道,这样可以保证信息在广域网上安全地传递。对于在网络中位于核心位置的高端路由器,则需要综合化的安全实现措施,首先路由器需要具备完善的用户接入认证和控制功能;其次路由器在应用程序过滤、入侵检测等方面应具备更强大的能力;并且应该具备支持IP报文加密、MPLS等技术。可以说,中低端路由器只需在路由软件中增加特性或者通过添加硬件加密卡即可实现安全功能;而高端路由器则需要综合采用多种安全措施。
为了使路由器在经过诸多与安全相关的复杂报文处理之后,处理性能不会下降,业界出现了以网络处理器(NP)为核心构建高端路由器的方式。网络处理器能够较好解决高端路由器的业务能力和性能之间矛盾的问题,同时也适应网络安全变化迅速的特征,可以说代表了路由器未来的发展方向之一。
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
作者
相关推荐
-
下一个网络挑战:保护SD-WAN
随着软件定义的广域网(SD-WAN)逐渐成为企业主流,这项技术越来越为人所熟知,尽管仍然存在大量令人眼花缭乱的 […]
-
通过数字化转型改造传统网络
云计算网络和安全厂商Zscaler本周在拉斯维加斯举办了其首次用户会议ZenithLive。该会议共吸引约60 […]
-
区块链技术可以用于网络管理吗?没那么快
有IT分析人士称,区块链技术用于网络管理价值不大。他们还分析了物联网安全以及灾难发生时AI会发生的事。 Glo […]
-
Cyphort分析技术助力Juniper Security Director
瞻博网络在去年收购Cyphort公司,近日瞻博网络公司便推出第一款整合其安全产品与Cyphort威胁检测技术的 […]