六月丁香五月婷婷,丁香五月婷婷网,欧美激情网站,日本护士xxxx,禁止18岁天天操夜夜操,18岁禁止1000免费,国产福利无码一区色费

學習啦 > 學習電腦 > 網(wǎng)絡知識 > 路由器 > 路由器知識大全 > 路由器的安全設計技術(shù)全解

路由器的安全設計技術(shù)全解

時間: 若木635 分享

路由器的安全設計技術(shù)全解

  為了使路由器將合法信息完整、及時、安全地轉(zhuǎn)發(fā)到目的地,許多路由器廠商開始在路由器中添加安全模塊,于是出現(xiàn)了路由器與安全設備融合的趨勢。從本質(zhì)上講,增加安全模塊的路由器,在路由器功能實現(xiàn)方面與普通路由器沒有區(qū)別。所不同的是,添加安全模塊的路由器可以通過加密、認證等技術(shù)手段增強報文的安全性,與專用安全設備進行有效配合,來提高路由器本身的安全性和所管理網(wǎng)段的可用性。

  在介紹路由器所采用的安全技術(shù)之前,我們先來了解一下網(wǎng)絡應用環(huán)境對路由器提出的安全要求。

  完整性:要求路由器在轉(zhuǎn)發(fā)報文過程中,保證信息不會遭到偶然或蓄意地添加、刪除、修改、重放等破壞。

  保密性:要求路由器保證信息在發(fā)送過程中不會被竊聽,即使信息被竊聽也不能被破譯。

  可用性:要求路由器保證系統(tǒng)或系統(tǒng)資源可被授權(quán)用戶訪問并按照需求使用的特性。

  可控性:要求路由器根據(jù)需要對轉(zhuǎn)發(fā)信息進行安全監(jiān)控,對可疑的網(wǎng)絡信息進行分析、截留或其他處理。

  及時性:要求路由器保證網(wǎng)絡信息能夠被及時轉(zhuǎn)發(fā),不會因安全處理而使轉(zhuǎn)發(fā)時間超出限度。

  抗攻擊性:要求路由器具有抵抗網(wǎng)絡攻擊的能力。

  所采用的安全技術(shù)

  為了滿足網(wǎng)絡應用環(huán)境對路由器的安全要求,許多路由器廠商將防火墻、、IDS、防病毒、URL過濾等技術(shù)引入路由器當中。

  訪問控制技術(shù):用戶驗證是實現(xiàn)用戶安全防護的基礎技術(shù)。路由器上可以采用多種用戶接入的控制手段,如PPP、Web登錄認證、ACL、802.1x協(xié)議等,保護接入用戶不受網(wǎng)絡攻擊,同時能夠阻止接入用戶攻擊其他用戶和網(wǎng)絡。基于CA標準體系的安全認證,將進一步加強訪問控制的安全性。

  傳輸加密技術(shù):IPSec是路由器常用的協(xié)議。借助該協(xié)議,路由器支持建立虛擬專用網(wǎng)()。IPSec協(xié)議包括ESP(Encapsulating Security Payload)封裝安全負載、AH(Authentication Header)報頭驗證協(xié)議及IKE(Internet Key Exchange)密鑰管理協(xié)議等,可以用在公共IP網(wǎng)絡上確保數(shù)據(jù)通信的可靠性和完整性,能夠保障數(shù)據(jù)安全穿越公網(wǎng)而沒有被偵聽。由于IPSec的部署簡便,只需安全通道兩端的路由器或主機支持IPSec協(xié)議即可,幾乎不需對網(wǎng)絡現(xiàn)有基礎設施進行更動。這正是IPSec協(xié)議能夠確保包括遠程登錄、客戶機、服務器、電子郵件、文件傳輸及Web訪問等多種應用程序安全的重要原因。

  防火墻防護技術(shù):采用防火墻功能模塊的路由器具有報文過濾功能,能夠?qū)λ薪邮蘸娃D(zhuǎn)發(fā)的報文進行過濾和檢查,檢查策略可以通過配置實現(xiàn)更改和管理。路由器還可以利用NAT/PAT功能隱藏內(nèi)網(wǎng)拓撲結(jié)構(gòu),進一步實現(xiàn)復雜的應用網(wǎng)關(guān)(ALG)功能。還有一些路由器提供基于報文內(nèi)容的防護。原理是,當報文通過路由器時,防火墻功能模塊可以對報文與指定的訪問規(guī)則進行比較,如果規(guī)則允許,報文將接受檢查,否則報文直接被丟棄。如果該報文是用于打開一個新的控制或數(shù)據(jù)連接,防護功能模塊將動態(tài)修改或創(chuàng)建規(guī)則,同時更新狀態(tài)表以允許與新創(chuàng)建的連接相關(guān)的報文?;貋淼膱笪闹挥袑儆谝粋€已經(jīng)存在的有效連接,才會被允許通過。

  入侵檢測技術(shù):在安全架構(gòu)中,入侵檢測(IDS)是一個非常重要的技術(shù),目前有些路由器和高端交換機已經(jīng)內(nèi)置IDS功能模塊。內(nèi)置入侵檢測模塊需要路由器具備完善的端口鏡像(一對一、多對一)和報文統(tǒng)計支持功能。

  HA(高可用性):提高自身的安全性,需要路由器能夠支持備份協(xié)議(如VRRP)和具有日志管理功能,以使得網(wǎng)絡數(shù)據(jù)具備更高的冗余性和能夠獲取更多的保障。

  七層安全設計

  具體來說,人們正從以下七個層面來加強路由器的安全設計。

  硬件的安全保障:模塊化的硬件結(jié)構(gòu)體系結(jié)構(gòu)。

  軟件的安全保障:自主知識產(chǎn)權(quán)的操作系統(tǒng);操作系統(tǒng)高度模塊化結(jié)構(gòu),進程空間隔離、數(shù)據(jù)流和控制流空間隔離。

  鏈路層的安全保障:廣域網(wǎng)上采用PPP認證和EAP-TLS;以太網(wǎng)上采用802.1x、MAC地址/端口綁定、VLAN隔離和EAP-TLS;對流量峰值設置閥值,通過流量限速抵御DoS攻擊。

  網(wǎng)絡層和傳輸層的安全保障:IPSec協(xié)議、AH/ESP/IKE、3DES等;基于IP的報文過濾;對ICMP各種類型報文的過濾處理;根據(jù)TCP/UDP報文頭選項進行過濾;網(wǎng)絡處理器實現(xiàn)分類和過濾功能,保證線速。

  路由安全: OSPF/BGP/RIP2/IS-IS/RSVP/LDP支持各種認證方式(不認證、明文認證、HMAC-MD5認證)。

  應用層的安全保障:防火墻模塊。

  實現(xiàn)管理安全的手段:SSL保證web和CLI管理的安全通道;SSH替代Telnet的明文管理通道;多種用戶登錄驗證方式;命令行分級視圖管理;管理訪問策略控制(源地址、登錄端口、登錄時間控制);支持SNMPv3。

  安全特性有側(cè)重

  需要說明的是,路由器是一個龐大的家族,核心路由器和邊緣分支路由器從結(jié)構(gòu)到技術(shù)原理都有很大不同,因此不同級別的路由器的安全側(cè)重點是不同的。例如,遠程分支路由器主要需要集成較為完善的加密和功能,能夠在用戶端對數(shù)據(jù)進行加密或者建立通道,這樣可以保證信息在廣域網(wǎng)上安全地傳遞。對于在網(wǎng)絡中位于核心位置的高端路由器,則需要綜合化的安全實現(xiàn)措施,首先路由器需要具備完善的用戶接入認證和控制功能;其次路由器在應用程序過濾、入侵檢測等方面應具備更強大的能力;并且應該具備支持IP報文加密、MPLS等技術(shù)??梢哉f,中低端路由器只需在路由軟件中增加特性或者通過添加硬件加密卡即可實現(xiàn)安全功能;而高端路由器則需要綜合采用多種安全措施。

  為了使路由器在經(jīng)過諸多與安全相關(guān)的復雜報文處理之后,處理性能不會下降,業(yè)界出現(xiàn)了以網(wǎng)絡處理器(NP)為核心構(gòu)建高端路由器的方式。網(wǎng)絡處理器能夠較好解決高端路由器的業(yè)務能力和性能之間矛盾的問題,同時也適應網(wǎng)絡安全變化迅速的特征,可以說代表了路由器未來的發(fā)展方向之一。

  產(chǎn)品篇

  具有安全功能的路由器可以應用于不同的網(wǎng)絡環(huán)境中,如內(nèi)部網(wǎng)絡和外部網(wǎng)絡的互聯(lián)、不同子網(wǎng)之間的互聯(lián)以及網(wǎng)絡的接入服務等等。隨著電子政務建設的深入進行和企業(yè)級用戶安全問題的日漸突出,具有安全功能的路由器將會得到更廣泛的使用。下面我們就來介紹幾款加強安全設計的路由器產(chǎn)品。

  安奈特AT-AR700系列路由器

  AT-AR700系列路由器配置了高性能的80MHz RISC處理器和可升級的SDRAM,支持豐富的WAN接口,具有出色的路由功能、功能和防火墻功能。借助于模塊,AT-AR700支持基于硬件的DES/3DES加密,最多可同時支持1023個隧道。借助于基于狀態(tài)檢測防火墻模塊,AT-AR700可以防止DoS攻擊。AT-AR700還提供事件觸發(fā)、防火墻事件日志和信息統(tǒng)計功能,能夠生成全面的安全日志。AT-AR700設有豐富的PIC接口,可以最大限度地保護用戶投資。AT-AR745上的NSM(網(wǎng)絡服務)模塊可以配置各種高速LAN/WAN接口,32MHz 32位的PCI總線可以提供高速的數(shù)據(jù)轉(zhuǎn)發(fā)。NSM構(gòu)架同時也可以放置在安奈特公司的三層交換機上,為交換機提供豐富的WAN接口。此外,該路由器還具有流量整形、VRRP、冗余電源、腳本、異步撥號、支持IPv6等功能,適合用作大、中型企業(yè)和分支辦公機構(gòu)的路由器平臺。

  博達BDCOM 3660系列路由器

  BDCOM 3660系列路由器作為內(nèi)部網(wǎng)絡和外部網(wǎng)絡之間的關(guān)鍵通信設備,采用多種網(wǎng)絡安全機制,涉及的安全技術(shù)主要有備份技術(shù)、AAA、CA技術(shù)、CallBack技術(shù)、包過濾技術(shù)、網(wǎng)絡地址轉(zhuǎn)換、技術(shù)、密鑰交換技術(shù)、安全管理、硬件加密卡和路由信息認證技術(shù)。為了保證網(wǎng)絡數(shù)據(jù)傳輸安全,BDCOM 3660路由器在接受任何路由信息時,首先會對該信息的發(fā)送方進行認證,以確保收到的路由信息是合法的。該路由器支持OSPF和RIPv2,啟用認證機制能夠保護路由信息的正確性,同時不會影響路由器的路由功能。BDCOM 3660系列路由器分為BDOCM 3660、BDOCM 3660-DC兩種型號,均采用模塊化設計,具有6個網(wǎng)絡/語音模塊擴展槽,支持種高密度的網(wǎng)絡/語音模塊,可實現(xiàn)更多組合應用。操作系統(tǒng)采用博達擁有自主知識產(chǎn)權(quán)的ROS,能夠適應新技術(shù)、新業(yè)務、新功能的應用與擴展。

  Cisco 830系列路由器

  Cisco 830系列路由器可分為Cisco 831以太網(wǎng)寬帶路由器和Cisco 837 ADSL寬帶路由器。Cisco 831路由器設有一個以太網(wǎng)WAN端口,可與外部DSL或有線調(diào)制解調(diào)器共用,Cisco 837路由器則設有一個集成化ADSL WAN端口。這兩種型號均提供了一個4端口10/100以太網(wǎng)LAN交換機,可連接小型機構(gòu)網(wǎng)絡中的多個PC或網(wǎng)絡設備。Cisco 830系列提供集成化企業(yè)級安全服務,支持IPSec、3DES加密,并設有狀態(tài)檢測防火墻模塊??晒┻x擇的特性包括Cisco Easy Remote(可實現(xiàn)的簡單部署和管理的軟件特性)、需數(shù)字證書的公共密鑰基礎設施、網(wǎng)絡地址轉(zhuǎn)換、思科入侵檢測系統(tǒng)和URL過濾等,可確保中小企業(yè)、網(wǎng)吧、數(shù)碼工作室和個人用戶的上網(wǎng)安全。

  港灣NetHammer1760路由器

  NetHammer1760模塊化安全路由器是港灣新一代多業(yè)務接入路由器。NetHammer1760采用19英寸機架式設計,內(nèi)置電源,具有很高的穩(wěn)定性。尤其是它支持港灣公司獨有的H技術(shù),H可以對數(shù)據(jù)提供加密保護,支持路由協(xié)議,支持一端地址由ISP動態(tài)分配,是港灣公司為解決傳統(tǒng)技術(shù)的缺點而推出的專有技術(shù)。NetHammer1760還可以配置硬件加密卡以提高加密性能。

135674