路由器的安全淺析

摘要：本文分析了路由器的工作原理，對路由器在Internet中存在的安全隱患進行了較詳細的分析，最后提出了一些防范的措施和思路。

關鍵詞：路由器；路由器安全；網絡安全；網絡攻擊

中圖分類號：TP393.05 文獻標識碼：A 文章編號：1674-7712 （2012） 14-0072-01

IP網絡監控系統指的是基于網絡設備監控系統和通信網絡技術的基礎上的監控系統，這樣的監控系統打破了以往的監控模式，監控地域的范圍從城市的一個地方擴展到多個地方。通過此種遠程監控系統，使得許多的專業人員可以對遠處的更多現場設備實施監管，此類監控工作和經濟效益也得到了較大的提高。

一、引言

路由器用于連接的多個邏輯單獨的網絡。不同部分之間的數據傳輸數據時，路由器必須能夠完成轉移。因此，路由器具有判斷網絡地址和選擇的IP路徑功能（路由和尋址功能），多網絡互聯環境，它可以創建一個靈活的連接，可用完全不同的數據分組和介質訪問方法連接各種子網絡中，路由器只接受源站或其他路由器是一個網絡層的互連設備的信息。它不關心各子網使用的硬件設備，但需要與網絡層協議軟件的操作和一致的。在現代網絡通信設備網絡路由器是最重要的，作為一個橋梁連接兩個不同的網段，所以這是非常重要的安全性。因此，路由器的安全性分析是網絡安全評估的重要手段。本文從分析的路由器在安全問題工作中存在的，和的措施和建議。

二、路由器的概念

路由器是在網絡層提供多個獨立的子網間連接服務的一種存貯/轉發設備。它的基本功能包括：接收和傳送數據報表，出錯時能生成ICMP報文，丟棄那些TTL到0的數據報，需要時對數據報分組，以適合下一個網絡的MTU·進行路由選擇，根據路由表為每個數據報選擇下一個節點。

三、網絡應用環境對路由器提出的安全要求

為了讓合法信息完整、及時、安全地從源轉發到目的地，網絡應用環境對路由器提出如下的安全要求：

防火墻功能模塊路由器的包過濾能力，過濾和檢查所有接收和轉發數據包，檢查政策的變化。還可以利用路由器的NAT / PAT功能隱藏在網絡的拓撲結構，更加復雜的應用層網關（ALG）功能。有些路由器提供了基于數據包的內容保護。其原理是，當數據包通過路由器，防火墻功能模塊可以比較的數據包與指定的訪問規則，如果規則允許的數據包將接受檢查，否則報文，直接丟棄。如果包是用來打開一個新的控制或數據連接，保護模塊會動態地修改或創建規則來更新狀態表的同時，讓新創建的連接的數據包。返回的數據包只屬于一個有效的連接已經存在，將被允許通過。

入侵檢測技術：安全體系結構，入侵檢測（IDS）是一個非常重要的技術，有些路由器和高端交換機的IDS功能模塊。內置入侵檢測模塊需要一個路由器端口鏡像和報文的統計信息支持功能。

及時性：可以轉發的路由器，確保網絡信息的要求，及時轉發時間超出安全處理。抵御攻擊的路由器有能力抵御網絡攻擊。

四、提高路由器安全性的方法

目前提高路由器安全性的途徑可以分為兩類：一類是通過技術手段，在普通路由器中添加安全模塊，加強路由器的安全設計，來提高其安全性；另外一類就是借助管理手段，不斷加強對路由器的安全管理。

（一）加強路由器的安全設計

為了使路由器將完成合法的信息及時，安全地轉發到目的地，你可以添加一個安全模塊的路由器，使路由器和安全設備融合的趨勢。從本質上講，以增加的安全模塊的路由器，路由器的功能實現與普通的路由器沒有區別。不同的是，在路由器中添加安全模塊可以提高通過技術手段，如加密，身份認證，信息安全，有效的協調與特殊安全設備，以提高路由器的鏈路層安全：的WAN PPP認證和EAP-TLS以太網，IEEE 802.1X，MAC地址/端口綁定，VLAN隔離和EAP-TLS，抵御DoS攻擊，通過行車速度的限制設置的閾值，在交通高峰期。

網絡層和傳輸層安全協議IPSec協議，AH/ ESP / IKE，3DES等；包過濾基于IP，基于TCP/ UDP報文頭中的選項過濾ICMP包過濾處理各類；網絡處理器實現分類和過濾功能，以確保線速。

路由安全性：OSPF/BGP/RIP2/IS-IS/RSVP/LDP支持多種身份驗證方法（明文認證未認證，HMAC-MD5認證）啟用的身份驗證機制，以保護路由信息的正確性，并在同一時間不會影響路由器的路由的功能。

應用層安全：防火墻模塊。防火墻功能模塊路由器的包過濾功能，過濾和檢查所有的接收和轉發數據包。

（二）增強路由器的安全管理

保護路由器自身安全的手段主要包括物理訪問、登錄賬號、軟件防護、遠程管理以及相應的配置操作。

五、如何預防路由器遭攻擊

1.去掉不必要的計算機協議：將NETBIOS關閉，避免針對NETBIOS的攻擊。

2.禁用一些不重要的服務：無論是路由器、服務器和任務站上的不需要的服務都要禁用。在有些路由器中經過網絡操作系統默許地供應一些服務，chargen和discard。

3.禁用Ping命令：IIPSec 策略是用來配置 IPSec 安全服務。可以通過系統中提供的“IP 安全策略”管理單元來為 Active Directory 中的計算機定義 IPSec 策略。

4.禁用IP路由和IP重新定向：重新定向允許數據包從一個接口進來然后從另一個接口出去。你不需要把精心設計的數據包重新定向到專用的內部網路。

六、結束語

路由器中許多與安全相關的復雜的數據包處理后，性能必然下降，建立一個高端路由器為核心的網絡處理器（NP）。網絡處理器能夠更好地解決高端路由器市場的容量和性能之間的矛盾，同時也能適應快速變化的網絡安全特性，代表未來發展方向的路由器之一。

參考文獻：

[1]周德澤，袁南兒，應英.計算機智能監測控制系統的設計及應用[M].北京：清華大學出版社，2002，1，1-161.

[2]謝希仁.計算機網絡[M].北京：電子工業出版社，2008.

[3]http：//baike.baidu.com/view/1360.htm

[作者簡介]譚再峰（1976.6-），男，湖北恩施，現為恩施職業技術學院計算機與信息工程系助講，計算機軟件開發專業。