科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航



ZDNet>网络频道>ZD评测>解析安全路由 企业边界网络的守护神

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

网络安全仅靠防火墙、IDS、防病毒、VPN产品吗?其实很多网络瘫痪都与路由器有关,将防火墙与VPN加密技术应用到路由器之中,成为一种新的安全解决之道……

来源: 2007年10月26日

关键字:路由器 企业网 网络安全 防火墙

  提起网络安全,很多用户马上想到的是防火墙和防病毒,其实许多网络瘫痪都与路由器有关。我们可以把网络的安全问题分为控制层和数据层两个层面。控制层所考虑的问题是如何确保数据从源端发送到正确的目的端,路由器能对进入报文的去向做出正确的决策。数据层的任务则是确保数据在传播时不被窃听、篡改或冒充。通过对路由信息附加验证而实现安全的路由协议属于控制层; 对转发的用户数据进行加密、验证、封装,使其可以在网络上安全地传输则由数据层来完成。

  链路加密:单链路安全

  早期的路由器采用的是链路加密技术。两个直接相连的路由器,数据分组在离开其中一台路由器时被加密,在到达另一台路由器时被解密。这样,数据在这条链路上传输时就不会被第三方偷听,第三方也很难篡改或加入伪造的数据。对数据的加密/解密操作,一开始是由专用的加密机完成的,后来,这部分功能被集成到路由器中,这就是原始的安全路由器。但当数据的传输超出这条链路时,这种安全措施就无能为力了 。

  隧道技术:传输层安全

  随着网络规模的扩大,网络的安全问题也变得越来越复杂,位于网络中的很多主机存在各种各样的安全隐患,比如缺乏严格的认证方式,网络协议在设计上缺乏足够的安全性,没有提供加密和认证机制等。

  作为网络上的主要设备,路由器也受到过各种恶意攻击。其中最常见的就是,非法用户通过破译密码进入路由器的操作系统,修改路由器的基本设置,使其发出错误的路由信息。一些黑客也可以非法截获路由信息和IP数据包,然后进行信息篡改,使整个网络瘫痪。还有一种是向路由器发送虚假信息,阻塞路由器的正常服务,从而导致瘫痪,这就是针对路由器的拒绝服务攻击(DoS)。这些问题都是由路由器自身软件的缺陷造成的,例如“后门”漏洞。

  针对这些安全问题,新的隧道技术出现了,它可以解决数据跨越Internet传输时的安全问题。与链路加密不同,隧道技术通常在网络层甚至更高的层次操作,这样,隧道就可以跨越多个链路。常见的隧道技术有L2TP和PP2P,这些隧道技术被广泛用于搭建VPN。

  路由器安全技术历程

  早期链路加密技术只保证单链路的安全性

  八九十年代隧道技术 l2tp和pp2p等保证多链路的安全

  九十年代末路由协议的认证机制保证了控制层和数据层的安全

  现在用ipsec协议搭建vpn,采用防火墙或加密卡保证了路由器自身和网络信息的安全

  ipv6技术保证了整体网络的安全

  路由协议:阻挡路由攻击

  隧道技术解决了用户数据在网络上传输的安全问题,而要确保数据能被正确地转发,就涉及到了路由协议的安全性。原有的路由协议(比如RIP)对所收到的路由信息不做任何检查与认证,攻击者很容易把自己伪装成一台路由器,并向网络中其他的路由器发送假的路由信息,这些非法的路由信息会通过路由器之间的路由信息进行交换,从而扩展到整条路径。安全的路由协议是对现有路由协议的扩展。安全的路由协议之间交换的路由信息要附加认证,这使得虚假的路由信息难以蒙混过关而进入路由表并扩散到整个网络,从而有效地避免了路由攻击的风险。目前Internet上最常用的路由协议OSPFv2版本和BGP-4都提供了认证机制。

  IPSec:实现全面安全

  隧道加密和安全的路由协议从数据层和控制层确保了网络的安全。而目前很多路由器厂商在产品中提供的多是IPSec协议。

  IPSec协议套件是为Internet上用户数据传输提供安全保障的一整套方案。整个套件包括多个标准,其中有规定对数据报文进行封装的各种格式的标准; 有对报文进行加密和附加认证信息所采用算法的各种标准; 有规定IP协议栈如何处理报文、对报文实施安全策略的标准。除此之外,还定义了密钥交换协议IKE,来为通信双方协商密钥。

  IPSec为报文传输提供的安全机制是通过安全联盟(SA,Security Association)实现的。对什么样的报文采用什么样的安全措施,是由安全策略(SP,Security Policy)决定的。通过定义安全策略和配置相应的SA,可以实现VPN和防火墙的功能。

  随着下一代网络IP协议标准的制定,IPv6也被加入了安全功能。IPv6弥补了IPv4在很多设计上的缺陷,增加了新的功能。它要求任何实现IPv6的路由器都必须强制实现IPSec,所以一旦IPv6开始部署,其路由器必定具备一定的安全功能。

  多种思路发展安全路由器

  众多路由器厂商对于是否在路由器中添加功能已经达成了共识,越来越多的路由器都具有了一定的安全功能。目前,市场上的安全路由器产品一般分成具有VPN、防火墙或配置加密卡的方式,其产品的功能和性能也就各不相同。可以说如何提供一个安全的网络建设方案,已经成为各大厂商争夺市场的筹码,Radius(防止未经授权的访问),PPTP(提供VPN服务),Kerberos(通过第三方提供的认证服务来确认用户的身份),IPSec/IKE,访问控制列表(ACL)等技术的引入,成为网络安全非常重要的一个部分。另外还有一些厂商将防火墙与VPN的功能作为一个安全模块加入到路由器当中。

  众多厂商采用VPN技术是因为它为用户提供了一种通过公用网络安全地对企业内部专用网络进行远程访问的连接方式。它采用隧道作为传输通道,这个隧道是建立在公共网络或专用网络基础之上的,如Internet或Intranet。搭建VPN的目的在于解决隐秘数据在公共网络或专有网络上传输时安全性较低的问题,非常特别适合远程办公的分支机构与总部进行信息互连,很多安全路由器都针对这方面的需求作了加强。

  防火墙主要用来防止不安全数据、恶意数据和非法数据流入某个内部网络,可以在很大程度上降低子网被攻击的可能性,所以,支持防火墙功能,成为面向接入的路由器的重要功能之一。

  一些路由器厂商从安全加密角度对路由器进行加密,成为安全加密路由器。从技术角度来说,加密是一个完整的流程,相对不加密来说,必然要附加一些动作,因此,效率的降低也是必然的,所以会对路由器的整体性能产生影响。而厂家在设计产品时也考虑到了这一层,因此在产品中安装了加速卡,在保密和效率之间进行了有效的平衡。

  专用区别通用

  安全路由器是在通用路由器上配置了具有特殊安全功能的专用路由器。

  与通用的路由器相比,它采用了一些新的安全技术,最突出的就是将IPSec协议标准融入到产品中。另外,安全路由器内置了传统的VPN和防火墙技术,具有包过滤功能,使流经路由器的信息更加安全可靠。一些安全路由器还在产品中加装了专用的加密卡,提供密钥交换技术和身份认证功能,弥补了通用路由器的不安全性问题。

    从两者在网络中的工作位置来看,通用路由器主要是承担路由包的转发功能,相比之下,由于加入了安全功能,所以安全路由器的路由性能要求不像通用路由器那样高。因此,市场上的安全路由器主要是为中小型网络和大型网络的分支机构设计的,它属于边缘接入路由器。

推广二维码
邮件订阅

如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

重磅专题