路由器的安全设计
为了使路由器将合法信息完整、及时、安全地转发到目的地,许多路由器厂商开始在路由器中添加安全模块,于是出现了路由器与安全设备融合的趋势。从本质上讲,增加安全模块的路由器,在路由器功能实现方面与普通路由器没有区别。所不同的是,添加安全模块的路由器可以通过加密、认证等技术手段增强报文的安全性,与专用安全设备进行有效配合,来提高路由器本身的安全性和所治理网段的可用性。
在介绍路由器所采用的安全技术之前,我们先来了解一下网络应用环境对路由器提出的安全要求。
完整性:要求路由器在转发报文过程中,保证信息不会遭到偶然或蓄意地添加、删除、修改、重放等破坏。
保密性:要求路由器保证信息在发送过程中不会被窃听,即使信息被窃听也不能被破译。
可用性:要求路由器保证系统或系统资源可被授权用户访问并按照需求使用的特性。
可控性:要求路由器根据需要对转发信息进行安全监控,对可疑的网络信息进行分析、截留或其他处理。
及时性:要求路由器保证网络信息能够被及时转发,不会因安全处理而使转发时间超出限度。
抗攻击性:要求路由器具有反抗网络攻击的能力。
所采用的安全技术
为了满足网络应用环境对路由器的安全要求,许多路由器厂商将防火墙、VPN、IDS、防病毒、URL过滤等技术引入路由器当中。
访问控制技术:用户验证是实现用户安全防护的基础技术。路由器上可以采用多种用户接入的控制手段,如PPP、Web登录认证、ACL、802.1x协议等,保护接入用户不受网络攻击,同时能够阻止接入用户攻击其他用户和网络。基于CA标准体系的安全认证,将进一步加强访问控制的安全性。
传输加密技术:IPSec是路由器常用的协议。借助该协议,路由器支持建立虚拟专用网(VPN)。IPSec协议包括ESP(Encapsulating Security Payload)封装安全负载、AH(Authentication Header)报头验证协议及IKE(Internet Key Exchange)密钥治理协议等,可以用在公共IP网络上确保数据通信的可靠性和完整性,能够保障数据安全穿越公网而没有被侦听。由于IPSec的部署简便,只需安全通道两端的路由器或主机支持IPSec协议即可,几乎不需对网络现有基础设施进行更动。这正是IPSec协议能够确保包括远程登录、客户机、服务器、电子邮件、文件传输及Web访问等多种应用程序安全的重要原因。
防火墙防护技术:采用防火墙功能模块的路由器具有报文过滤功能,能够对所有接收和转发的报文进行过滤和检查,检查策略可以通过配置实现更改和治理。路由器还可以利用NAT/PAT功能隐藏内网拓扑结构,进一步实现复杂的应用网关(ALG)功能。还有一些路由器提供基于报文内容的防护。原理是,当报文通过路由器时,防火墙功能模块可以对报文与指定的访问规则进行比较,假如规则答应,报文将接受检查,否则报文直接被丢弃。假如该报文是用于打开一个新的控制或数据连接,防护功能模块将动态修改或创建规则,同时更新状态表以答应与新创建的连接相关的报文。回来的报文只有属于一个已经存在的有效连接,才会被答应通过。
入侵检测技术:在安全架构中,入侵检测(IDS)是一个非常重要的技术,目前有些路由器和高端交换机已经内置IDS功能模块。内置入侵检测模块需要路由器具备完善的端口镜像(一对一、多对一)和报文统计支持功能。
HA(高可用性):提高自身的安全性,需要路由器能够支持备份协议(如VRRP)和具有日志治理功能,以使得网络数据具备更高的冗余性和能够获取更多的保障。
表一为路由器的安全机制所对应的安全功能特性。
表一
七层安全设计
具体来说,人们正从以下七个层面来加强路由器的安全设计。
硬件的安全保障:模块化的硬件结构体系结构。
软件的安全保障:自主知识产权的操作系统;操作系统高度模块化结构,进程空间隔离、数据流和控制流空间隔离。
链路层的安全保障:广域网上采用PPP认证和EAP-TLS;以太网上采用802.1x、MAC地址/端口绑定、VLAN隔离和EAP-TLS;对流量峰值设置阀值,通过流量限速抵御DoS攻击。
网络层和传输层的安全保障:IPSec协议、AH/ESP/IKE、3DES等;基于IP的报文过滤;对ICMP各种类型报文的过滤处理;根据TCP/UDP报文头选项进行过滤;网络处理器实现分类和过滤功能,保证线速。
路由安全: OSPF/BGP/RIP2/IS-IS/RSVP/LDP支持各种认证方式(不认证、明文认证、HMAC-MD5认证)。
应用层的安全保障:防火墙模块。
实现治理安全的手段:SSL保证web和CLI治理的安全通道;SSH替代Telnet的明文治理通道;多种用户登录验证方式;命令行分级视图治理;治理访问策略控制(源地址、登录端口、登录时间控制);支持SNMPv3。
表二为七层安全设计所对应的路由器安全特性。
表二
安全特性有侧重
需要说明的是,路由器是一个庞大的家族,核心路由器和边缘分支路由器从结构到技术原理都有很大不同,因此不同级别的路由器的安全侧重点是不同的。例如,远程分支路由器主要需要集成较为完善的加密和VPN功能,能够在用户端对数据进行加密或者建立VPN通道,这样可以保证信息在广域网上安全地传递。对于在网络中位于核心位置的高端路由器,则需要综合化的安全实现措施,首先路由器需要具备完善的用户接入认证和控制功能;其次路由器在应用程序过滤、入侵检测等方面应具备更强大的能力;并且应该具备支持IP报文加密、MPLS等技术。可以说,中低端路由器只需在路由软件中增加特性或者通过添加硬件加密卡即可实现安全功能;而高端路由器则需要综合采用多种安全措施。
为了使路由器在经过诸多与安全相关的复杂报文处理之后,处理性能不会下降,业界出现了以网络处理器(NP)为核心构建高端路由器的方式。网络处理器能够较好解决高端路由器的业务能力和性能之间矛盾的问题,同时也适应网络安全变化迅速的特征,可以说代表了路由器未来的发展方向之一。
产品篇
具有安全功能的路由器可以应用于不同的网络环境中,如内部网络和外部网络的互联、不同子网之间的互联以及网络的接入服务等等。随着电子政务建设的深入进行和企业级用户安全问题的日渐突出,具有安全功能的路由器将会得到更广泛的使用。下面我们就来介绍几款加强安全设计的路由器产品。
安奈特AT-AR700系列路由器
AT-AR700系列路由器配置了高性能的80MHz RISC处理器和可升级的SDRAM,支持丰富的WAN接口,具有出色的路由功能、VPN功能和防火墙功能。借助于VPN模块,AT-AR700支持基于硬件的DES/3DES加密,最多可同时支持1023个VPN隧道。借助于基于状态检测防火墙模块,AT-AR700可以防止DoS攻击。AT-AR700还提供事件触发、防火墙事件日志和信息统计功能,能够生成全面的安全日志。AT-AR700设有丰富的PIC接口,可以最大限度地保护用户投资。AT-AR745上的NSM(网络服务)模块可以配置各种高速LAN/WAN接口,32MHz 32位的PCI总线可以提供高速的数据转发。NSM构架同时也可以放置在安奈特公司的三层交换机上,为交换机提供丰富的WAN接口。此外,该路由器还具有流量整形、VRRP、冗余电源、脚本、异步拨号、支持IPv6等功能,适合用作大、中型企业和分支办公机构的路由器平台。
博达BDCOM 3660系列路由器
BDCOM 3660系列路由器作为内部网络和外部网络之间的要害通信设备,采用多种网络安全机制,涉及的安全技术主要有备份技术、AAA、CA技术、CallBack技术、包过滤技术、网络地址转换、VPN技术、密钥交换技术、安全治理、硬件加密卡和路由信息认证技术。为了保证网络数据传输安全,BDCOM 3660路由器在接受任何路由信息时,首先会对该信息的发送方进行认证,以确保收到的路由信息是合法的。该路由器支持OSPF和RIPv2,启用认证机制能够保护路由信息的正确性,同时不会影响路由器的路由功能。BDCOM 3660系列路由器分为BDOCM 3660、BDOCM 3660-DC两种型号,均采用模块化设计,具有6个网络/语音模块扩展槽,支持种高密度的网络/语音模块,可实现更多组合应用。操作系统采用博达拥有自主知识产权的ROS,能够适应新技术、新业务、新功能的应用与扩展。
Cisco 830系列路由器
Cisco 830系列路由器可分为Cisco 831以太网宽带路由器和Cisco 837 ADSL宽带路由器。Cisco 831路由器设有一个以太网WAN端口,可与外部DSL或有线调制解调器共用,Cisco 837路由器则设有一个集成化ADSL WAN端口。这两种型号均提供了一个4端口10/100以太网LAN交换机,可连接小型机构网络中的多个PC或网络设备。Cisco 830系列提供集成化企业级安全服务,支持IPSec、3DES加密,并设有状态检测防火墙模块。可供选择的特性包括Cisco Easy VPN Remote(可实现VPN的简单部署和治理的软件特性)、需数字证书的公共密钥基础设施、网络地址转换、思科入侵检测系统和URL过滤等,可确保中小企业、网吧、数码工作室和个人用户的上网安全。
港湾NetHammer1760路由器
NetHammer1760模块化安全路由器是港湾新一代多业务接入路由器。NetHammer1760采用19英寸机架式设计,内置电源,具有很高的稳定性。尤其是它支持港湾公司独有的HVPN技术,HVPN可以对VPN数据提供加密保护,支持路由协议,支持VPN一端地址由ISP动态分配,是港湾公司为解决传统VPN技术的缺点而推出的专有技术。NetHammer1760还可以配置VPN硬件加密卡以提高加密性能。此外,NetHammer1760采用低成本、灵活的模块化结构,提供3个通用扩展插槽,提供丰富的数据/语音/传真接口,具有丰富的QoS、VPN、组播、防火墙及硬件加密功能,支持VLAN、PPPoE、ADSL等宽带接入服务,内嵌中文Web网管功能,支持SNA、哑终端等特色服务。
华为NE80/40路由器
NE80/40路由器属于华为第五代路由器,采用基于电信级高可靠性的设计,既为业务顺利实施提供了保证,又为网络安全及扩展性提供了强大支持。该路由器基于网络处理器开发,其最大的优势就是可编程及灵活性,能够不断升级以适应网络环境的变化,满足用户个性化的要求。网络处理器在实现灵活业务的同时,还能保证性能不降低。NE80/40支持PPP认证实现访问控制,支持路由安全和VPN,支持基于IP的报文过滤规则设定,每块接口板可以支持5000条ACL的线速转发,支持NAT/PAT功能,能够基于NAT实现多种应用层网关解析。NE80/40既能为客户提供定制化的安全解决方案,又能不断增加新的安全特性以帮助用户及时应对新的安全挑战。
NETGEAR FVL328路由器
FVL328配备有1个10/100M的广域网口(支持所有宽带技术的接入)和 8个10/100M的局域网口,具有以下功能: 防火墙功能,采用状态数据包检测技术提供最高级别的安全性,防止DoS的攻击,进行Java/URL/ActiveX内容过滤等;VPN功能,提供100个专门的VPN隧道,支持Client-to-Site 和Site-to-Site两种VPN连接方式,密匙的治理支持Manual Key、 IKE以及PKI(x.509);丰富的治理功能,采用基于Web的图形化配置与帮助界面,自动安装向导能自动检测广域网连接的类型,支持对设备的远程治理;IP地址分配,可静态设定IP地址,广域网口支持PPPoE和DHCP Client功能,设备同时内置DHCP Server功能可为内网用户分配IP地址;路由功能,支持网络地址转换NAT和PAT,支持静态路由、动态路由(RIPv1和RIPv2)。可以说NETGEAR FVL328是非凡针对中小企业和大型企业分支机构而专门定制的高安全、高性能的路由器产品。
北电Contivity 2700路由器
Contivity 2700在单一集成平台上提供IP路由、VPN、状态防火墙、加密、鉴权、目录和策略服务、QoS以及带宽治理服务,可以用作总部或分支机构的安全路由解决方案。通过包括T1/E1、V.35/X.21以及帧中继等在内的WAN服务,Contivity 2700可以作为企业的全能型“IP边缘”解决方案。一台Contivity 2700可以解决过去要求多台分立设备(如路由器、VPN网关、防火墙)才能解决的问题,并且无需成本高昂的硬件升级就可以增加新的IP服务。灵活的软件许可证答应在初期将Contivity作为路由器、VPN网关或防火墙来安装,以后可以通过软件许可证来进行升级。Contivity 2700结合了北电公司的安全路由技术框架,即使在同一设备中运行多种IP服务,它也可以提供扩展性和较高的性能,并且还提供一些要害特性——如IPSec VPN隧道上的动态路由、VPN中的公共安全性策略、路由和防火墙服务。此外,Contivity 2700可以与用户现有的路由、鉴权、目录和安全性系统互操作,能够为新IP服务的过渡发挥桥梁作用。
紫光BitEngine 3600路由器
BitEngine 3600模块化中心路由器采用模块化的结构设计,具有以下特点:自主知识产权的网络操作系统平台(BWOS),将Internet基础协议TCP/IP协议栈、实时操作技术、设备及网络治理技术和应用技术融为一体,支持各种网络协议,具有很强的可伸缩性和可配置性;完善的系统安全设计,通过BWOS独有的安全路由技术,包括包过滤、IPSec、路由协议加密、硬件加密、RADIUS/AAA、日志和系统监控等多种安全技术的有效结合,实现了数据安全传输、路由保护、策略控制和安全治理;高性能和模块化的完美结合,采用模块化的体系结构,提供2个固定端口10/100Base-TX以太网模块和6个扩展插槽,可以提供十多种不同类型的模块,帮助用户定制适合自己的网络架构。此外,BitEngine 3600支持多种接口类型,具有接口备份、链路备份、路由备份等功能,支持FXS、FXO等语音接口,支持与多种国内外厂商VoIP设备的互通,实现了语音与数据网络的有效融合,是一款专门面向大中型企业网络、校园网、公安、税务专用网的高性能、模块化的中心路由器。
在实际应用中,我们发现尽管一些用户部署了具有安全功能的路由器,但这些用户的路由器和网络仍然遭受攻击,这说明路由器的安全不仅取决于路由器本身的安全设计,而且还取决于治理员的治理水平。事实证实,一位有经验的治理员能够有效化解针对路由器的许多攻击。林栋是一位从事电信骨干网大型网络维护工作多年的网管员,以下是他对路由器的治理心得,供读者参考。