科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网网络频道网络路由安全攻防对策分析及实践(3)

网络路由安全攻防对策分析及实践(3)

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

路由器(Router)是因特网上最为重要的设备之一,正是遍布世界各地的数以万计的路由器构成了因特网这个在我们的身边日夜不停地运转的巨型信息网络的“桥梁”,所以不可忽视路由器的安全。

作者:51CTO.COM 2007年10月24日

关键字: 入侵检测 路由器入侵 IPSec协议

  • 评论
  • 分享微博
  • 分享邮件

  路由器五大类安控技术

  访问控制技术:用户验证是实现用户安全防护的基础技术,路由器上可以采用多种用户接入的控制手段,如PPP、Web登录认证、ACL、802.1x协议等,保护接入用户不受网络攻击,同时能够阻止接入用户攻击其他用户和网络。基于CA标准体系的安全认证,将进一步加强访问控制的安全性。

  传输加密技术:IPSec是路由器常用的协议,借助该协议,路由器支持建立虚拟专用网(VPN)。IPSec协议包括ESP(Encapsulating Security Payload)封装安全负载、AH(Authentication Header)报头验证协议及IKE,密钥管理协议等,可以用在公共IP网络上确保数据通信的可靠性和完整性,能够保障数据安全穿越公网而没有被侦听。由于IPSec的部署简便,只需安全通道两端的路由器或主机支持IPSec协议即可,几乎不需对网络现有基础设施进行更动,这正是IPSec协议能够确保包括远程登录、客户机、服务器、电子邮件、文件传输及Web访问等多种应用程序安全的重要原因。

  防火墙防护技术:采用防火墙功能模块的路由器具有报文过滤功能,能够对所有接收和转发的报文进行过滤和检查,检查策略可以通过配置实现更改和管理。路由器还可以利用NAT/PAT功能隐藏内网拓扑结构,进一步实现复杂的应用网关(ALG)功能,还有一些路由器提供基于报文内容的防护。原理是当报文通过路由器时,防火墙功能模块可以对报文与指定的访问规则进行比较,如果规则允许,报文将接受检查,否则报文直接被丢弃,如果该报文是用于打开一个新的控制或数据连接,防护功能模块将动态修改或创建规则,同时更新状态表以允许与新创建的连接相关的报文,回来的报文只有属于一个已经存在的有效连接,才会被允许通过。

  入侵检测技术:在安全架构中,入侵检测(IDS)是一个非常重要的技术,目前有些路由器和高端交换机已经内置IDS功能模块,内置入侵检测模块需要路由器具备完善的端口镜像(一对一、多对一)和报文统计支持功能。

  HA(高可用性):提高自身的安全性,需要路由器能够支持备份协议(如VRRP)和具有日志管理功能,以使得网络数据具备更高的冗余性和能够获取更多的保障。

 

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章