路由器的安全設計技術全解

　　為了使路由器將合法信息完整、及時、安全地轉發到目的地，許多路由器廠商開始在路由器中添加安全模塊，於是出現了路由器與安全設備融合的趨勢。從本質上講，增加安全模塊的路由器，在路由器功能實現方面與普通路由器沒有區別。所不同的是，添加安全模塊的路由器可以通過加密、認證等技術手段增強報文的安全性，與專用安全設備進行有效配合，來提高路由器本身的安全性和所管理網段的可用性。

　　在介紹路由器所采用的安全技術之前，我們先來了解一下網絡應用環境對路由器提出的安全要求。

　　完整性：要求路由器在轉發報文過程中，保證信息不會遭到偶然或蓄意地添加、刪除、修改、重放等破壞。

　　保密性：要求路由器保證信息在發送過程中不會被竊聽，即使信息被竊聽也不能被破譯。

　　可用性：要求路由器保證系統或系統資源可被授權用戶訪問並按照需求使用的特性。

　　可控性：要求路由器根據需要對轉發信息進行安全監控，對可疑的網絡信息進行分析、截留或其他處理。

　　及時性：要求路由器保證網絡信息能夠被及時轉發，不會因安全處理而使轉發時間超出限度。

　　抗攻擊性：要求路由器具有抵抗網絡攻擊的能力。

　　所采用的安全技術

　　為了滿足網絡應用環境對路由器的安全要求，許多路由器廠商將防火牆、VPN、IDS、防病毒、URL過濾等技術引入路由器當中。

　　訪問控制技術：用戶驗證是實現用戶安全防護的基礎技術。路由器上可以采用多種用戶接入的控制手段，如PPP、Web登錄認證、ACL、802.1x協議等，保護接入用戶不受網絡攻擊，同時能夠阻止接入用戶攻擊其他用戶和網絡。基於CA標准體系的安全認證，將進一步加強訪問控制的安全性。

　　傳輸加密技術：IPSec是路由器常用的協議。借助該協議，路由器支持建立虛擬專用網(VPN)。IPSec協議包括ESP(Encapsulating Security Payload)封裝安全負載、AH(Authentication Header)報頭驗證協議及IKE(Internet Key Exchange)密鑰管理協議等，可以用在公共IP網絡上確保數據通信的可靠性和完整性，能夠保障數據安全穿越公網而沒有被偵聽。由於IPSec的部署簡便，只需安全通道兩端的路由器或主機支持IPSec協議即可，幾乎不需對網絡現有基礎設施進行更動。這正是IPSec協議能夠確保包括遠程登錄、客戶機、服務器、電子郵件、文件傳輸及Web訪問等多種應用程序安全的重要原因。

　　防火牆防護技術：采用防火牆功能模塊的路由器具有報文過濾功能，能夠對所有接收和轉發的報文進行過濾和檢查，檢查策略可以通過配置實現更改和管理。路由器還可以利用NAT/PAT功能隱藏內網拓撲結構，進一步實現復雜的應用網關(ALG)功能。還有一些路由器提供基於報文內容的防護。原理是，當報文通過路由器時，防火牆功能模塊可以對報文與指定的訪問規則進行比較，如果規則允許，報文將接受檢查，否則報文直接被丟棄。如果該報文是用於打開一個新的控制或數據連接，防護功能模塊將動態修改或創建規則，同時更新狀態表以允許與新創建的連接相關的報文。回來的報文只有屬於一個已經存在的有效連接，才會被允許通過。

　　入侵檢測技術：在安全架構中，入侵檢測(IDS)是一個非常重要的技術，目前有些路由器和高端交換機已經內置IDS功能模塊。內置入侵檢測模塊需要路由器具備完善的端口鏡像(一對一、多對一)和報文統計支持功能。

　　HA(高可用性)：提高自身的安全性，需要路由器能夠支持備份協議(如VRRP)和具有日志管理功能，以使得網絡數據具備更高的冗余性和能夠獲取更多的保障。

　　七層安全設計

　　具體來說，人們正從以下七個層面來加強路由器的安全設計。

　　硬件的安全保障：模塊化的硬件結構體系結構。

　　軟件的安全保障：自主知識產權的操作系統;操作系統高度模塊化結構，進程空間隔離、數據流和控制流空間隔離。

　　鏈路層的安全保障：廣域網上采用PPP認證和EAP-TLS;以太網上采用802.1x、MAC地址/端口綁定、VLAN隔離和EAP-TLS;對流量峰值設置閥值，通過流量限速抵御DoS攻擊。

　　網絡層和傳輸層的安全保障：IPSec協議、AH/ESP/IKE、3DES等;基於IP的報文過濾;對ICMP各種類型報文的過濾處理;根據TCP/UDP報文頭選項進行過濾;網絡處理器實現分類和過濾功能，保證線速。

　　路由安全： OSPF/BGP/RIP2/IS-IS/RSVP/LDP支持各種認證方式(不認證、明文認證、HMAC-MD5認證)。

　　應用層的安全保障:防火牆模塊。

　　實現管理安全的手段：SSL保證web和CLI管理的安全通道;SSH替代Telnet的明文管理通道;多種用戶登錄驗證方式;命令行分級視圖管理;管理訪問策略控制(源地址、登錄端口、登錄時間控制);支持SNMPv3。

　　安全特性有側重

　　需要說明的是，路由器是一個龐大的家族，核心路由器和邊緣分支路由器從結構到技術原理都有很大不同，因此不同級別的路由器的安全側重點是不同的。例如，遠程分支路由器主要需要集成較為完善的加密和VPN功能，能夠在用戶端對數據進行加密或者建立VPN通道，這樣可以保證信息在廣域網上安全地傳遞。對於在網絡中位於核心位置的高端路由器，則需要綜合化的安全實現措施，首先路由器需要具備完善的用戶接入認證和控制功能;其次路由器在應用程序過濾、入侵檢測等方面應具備更強大的能力;並且應該具備支持IP報文加密、MPLS等技術。可以說，中低端路由器只需在路由軟件中增加特性或者通過添加硬件加密卡即可實現安全功能;而高端路由器則需要綜合采用多種安全措施。

　　為了使路由器在經過諸多與安全相關的復雜報文處理之後，處理性能不會下降，業界出現了以網絡處理器(NP)為核心構建高端路由器的方式。網絡處理器能夠較好解決高端路由器的業務能力和性能之間矛盾的問題，同時也適應網絡安全變化迅速的特征，可以說代表了路由器未來的發展方向之一。

　　產品篇

　　具有安全功能的路由器可以應用於不同的網絡環境中，如內部網絡和外部網絡的互聯、不同子網之間的互聯以及網絡的接入服務等等。隨著電子政務建設的深入進行和企業級用戶安全問題的日漸突出，具有安全功能的路由器將會得到更廣泛的使用。下面我們就來介紹幾款加強安全設計的路由器產品。

　　安奈特AT-AR700系列路由器

　　AT-AR700系列路由器配置了高性能的80MHz RISC處理器和可升級的SDRAM，支持豐富的WAN接口，具有出色的路由功能、VPN功能和防火牆功能。借助於VPN模塊，AT-AR700支持基於硬件的DES/3DES加密，最多可同時支持1023個VPN隧道。借助於基於狀態檢測防火牆模塊，AT-AR700可以防止DoS攻擊。AT-AR700還提供事件觸發、防火牆事件日志和信息統計功能，能夠生成全面的安全日志。AT-AR700設有豐富的PIC接口，可以最大限度地保護用戶投資。AT-AR745上的NSM(網絡服務)模塊可以配置各種高速LAN/WAN接口，32MHz 32位的PCI總線可以提供高速的數據轉發。NSM構架同時也可以放置在安奈特公司的三層交換機上，為交換機提供豐富的WAN接口。此外，該路由器還具有流量整形、VRRP、冗余電源、腳本、異步撥號、支持IPv6等功能，適合用作大、中型企業和分支辦公機構的路由器平台。

　　博達BDCOM 3660系列路由器

　　BDCOM 3660系列路由器作為內部網絡和外部網絡之間的關鍵通信設備，采用多種網絡安全機制，涉及的安全技術主要有備份技術、AAA、CA技術、CallBack技術、包過濾技術、網絡地址轉換、VPN技術、密鑰交換技術、安全管理、硬件加密卡和路由信息認證技術。為了保證網絡數據傳輸安全，BDCOM 3660路由器在接受任何路由信息時，首先會對該信息的發送方進行認證，以確保收到的路由信息是合法的。該路由器支持OSPF和RIPv2，啟用認證機制能夠保護路由信息的正確性，同時不會影響路由器的路由功能。BDCOM 3660系列路由器分為BDOCM 3660、BDOCM 3660-DC兩種型號，均采用模塊化設計，具有6個網絡/語音模塊擴展槽，支持種高密度的網絡/語音模塊，可實現更多組合應用。操作系統采用博達擁有自主知識產權的ROS，能夠適應新技術、新業務、新功能的應用與擴展。

　　Cisco 830系列路由器

　　Cisco 830系列路由器可分為Cisco 831以太網寬帶路由器和Cisco 837 ADSL寬帶路由器。Cisco 831路由器設有一個以太網WAN端口，可與外部DSL或有線調制解調器共用，Cisco 837路由器則設有一個集成化ADSL WAN端口。這兩種型號均提供了一個4端口10/100以太網LAN交換機，可連接小型機構網絡中的多個PC或網絡設備。Cisco 830系列提供集成化企業級安全服務，支持IPSec、3DES加密，並設有狀態檢測防火牆模塊。可供選擇的特性包括Cisco Easy VPN Remote(可實現VPN的簡單部署和管理的軟件特性)、需數字證書的公共密鑰基礎設施、網絡地址轉換、思科入侵檢測系統和URL過濾等，可確保中小企業、網吧、數碼工作室和個人用戶的上網安全。

　　港灣NetHammer1760路由器

　　NetHammer1760模塊化安全路由器是港灣新一代多業務接入路由器。NetHammer1760采用19英寸機架式設計，內置電源，具有很高的穩定性。尤其是它支持港灣公司獨有的HVPN技術，HVPN可以對VPN數據提供加密保護，支持路由協議，支持VPN一端地址由ISP動態分配，是港灣公司為解決傳統VPN技術的缺點而推出的專有技術。NetHammer1760還可以配置VPN硬件加密卡以提高加密性能。