IP网络路由器设备安全与设备测试(4)

　　(3)防止IP地址欺骗测试。主要是URPF(单播逆向路径转发，Unicast Reverse Path Forwarding)功能的测试。被测设备应具备URPF功能，即设备可以检查数据包的源地址，在FIB表中查找该源地址是否与数据包的来源接口相匹配，如果没有匹配表项将丢弃该数据包。

　　(4)IPSec协议测试。验证设备是否支持IPSec协议来保证用户数据的机密性。

　　(5)对协议的控制测试。被测设备应该能够关闭一些可能造成攻击的协议端口或过滤某些可能对网络造成安全隐患的协议报文，如关闭UDP的回应请求端口、过滤源路由数据包等。

　　2.控制/信令平面的安全测试

　　(1)OSPF协议安全测试。包括邻居路由器之间的明文/MD5认证、OSPF区域内使用明文/MD5认证。

　　(2)IS-IS协议安全测试。包括接口间Level-1明文/MD5认证、接口Level-2明文/MD5认证、IS-IS区域内明文/MD5认证和IS-IS路由域上的明文/MD5认证。

　　(3)BGP协议的MD5认证。

　　(4)RIPv2协议的认证。

　　3.管理平面的安全测试

　　(1)SSH协议支持能力的测试。

　　(2)SSL协议支持能力的测试。

　　(3)安全审计功能的测试。包括提供安全告警日志以及用户操作日志等的能力。

　　除安全功能及协议的测试外，路由器的安全测试还应包括性能测试，开启安全功能后对路由器的正常转发能力不应产生严重影响。

　　五、结束语

　　目前的IP网络仍然面临着许多安全问题，新的攻击手段和技术层出不穷，在这种形势下，迫切需要网络设备，尤其是路由器设备支持完善的安全功能。除了对安全技术的不断研究，对路由器等网络设备进行严格的安全测试。强制网络设备支持应有的安全功能也是提高IP网络安全性的一个重要方面。目前，《高端路由器的安全技术要求》、《中低端路由器的安全技术要求》、《高端路由器的安全测试规范》、《中低端路由器的安全测试规范》等标准文稿都已经在制订之中，这些标准的制订必将使路由器设备的测试更加完善，同时也会有助于网络安全水平的提高。