解析安全路由 企业边界网络的守护神

　　提起网络安全，很多用户马上想到的是防火墙和防病毒，其实许多网络瘫痪都与路由器有关。我们可以把网络的安全问题分为控制层和数据层两个层面。控制层所考虑的问题是如何确保数据从源端发送到正确的目的端，路由器能对进入报文的去向做出正确的决策。数据层的任务则是确保数据在传播时不被窃听、篡改或冒充。通过对路由信息附加验证而实现安全的路由协议属于控制层; 对转发的用户数据进行加密、验证、封装，使其可以在网络上安全地传输则由数据层来完成。

　　链路加密:单链路安全

　　早期的路由器采用的是链路加密技术。两个直接相连的路由器，数据分组在离开其中一台路由器时被加密，在到达另一台路由器时被解密。这样，数据在这条链路上传输时就不会被第三方偷听，第三方也很难篡改或加入伪造的数据。对数据的加密/解密操作，一开始是由专用的加密机完成的，后来，这部分功能被集成到路由器中，这就是原始的安全路由器。但当数据的传输超出这条链路时，这种安全措施就无能为力了 。

　　隧道技术:传输层安全

　　随着网络规模的扩大，网络的安全问题也变得越来越复杂，位于网络中的很多主机存在各种各样的安全隐患，比如缺乏严格的认证方式，网络协议在设计上缺乏足够的安全性，没有提供加密和认证机制等。

　　作为网络上的主要设备，路由器也受到过各种恶意攻击。其中最常见的就是，非法用户通过破译密码进入路由器的操作系统，修改路由器的基本设置，使其发出错误的路由信息。一些黑客也可以非法截获路由信息和IP数据包，然后进行信息篡改，使整个网络瘫痪。还有一种是向路由器发送虚假信息，阻塞路由器的正常服务，从而导致瘫痪，这就是针对路由器的拒绝服务攻击(DoS)。这些问题都是由路由器自身软件的缺陷造成的，例如“后门”漏洞。

　　针对这些安全问题，新的隧道技术出现了，它可以解决数据跨越Internet传输时的安全问题。与链路加密不同，隧道技术通常在网络层甚至更高的层次操作，这样，隧道就可以跨越多个链路。常见的隧道技术有L2TP和PP2P，这些隧道技术被广泛用于搭建VPN。

　　路由器安全技术历程

　　早期链路加密技术只保证单链路的安全性

　　八九十年代隧道技术 l2tp和pp2p等保证多链路的安全

　　九十年代末路由协议的认证机制保证了控制层和数据层的安全

　　现在用ipsec协议搭建vpn，采用防火墙或加密卡保证了路由器自身和网络信息的安全

　　ipv6技术保证了整体网络的安全

　　路由协议:阻挡路由攻击

　　隧道技术解决了用户数据在网络上传输的安全问题，而要确保数据能被正确地转发，就涉及到了路由协议的安全性。原有的路由协议(比如RIP)对所收到的路由信息不做任何检查与认证，攻击者很容易把自己伪装成一台路由器，并向网络中其他的路由器发送假的路由信息，这些非法的路由信息会通过路由器之间的路由信息进行交换，从而扩展到整条路径。安全的路由协议是对现有路由协议的扩展。安全的路由协议之间交换的路由信息要附加认证，这使得虚假的路由信息难以蒙混过关而进入路由表并扩散到整个网络，从而有效地避免了路由攻击的风险。目前Internet上最常用的路由协议OSPFv2版本和BGP-4都提供了认证机制。