將防火墻與VPN加密技術(shù)應(yīng)用到路由器之中,使它成為一個新的安全設(shè)備,遂成為一種新的安全解決之道。
提起網(wǎng)絡(luò)安全,我們馬上想到的是防火墻和防病毒,其實(shí)許多網(wǎng)絡(luò)癱瘓都與路由器有關(guān)。我們不妨把網(wǎng)絡(luò)的安全問題分為控制層和數(shù)據(jù)層兩個層面。控制層所考慮的問題是如何確保數(shù)據(jù)從源端發(fā)送到正確的目的端。也就是說,路由器能對進(jìn)入報文的去向做出正確的決策。這好比郵局的郵件分揀系統(tǒng),要保證信件被送到正確的目的地。數(shù)據(jù)層的任務(wù)則是確保數(shù)據(jù)在傳播時不被竊聽、篡改或冒充。
安全路由器的安全功能也可以按照上面的思路進(jìn)行劃分。通過對路由信息附加驗(yàn)證而實(shí)現(xiàn)安全的路由協(xié)議屬于控制層;對轉(zhuǎn)發(fā)的用戶數(shù)據(jù)進(jìn)行加密、驗(yàn)證、封裝,使其可以在網(wǎng)絡(luò)上安全地傳輸則屬于數(shù)據(jù)層。另外,各種預(yù)防路由器本身收到攻擊的措施也屬于控制層。
鏈路加密:單鏈路安全
早期的路由器采用的是鏈路加密技術(shù)。兩個直接相連的路由器,數(shù)據(jù)分組在離開其中一臺路由器時被加密,在到達(dá)另一臺路由器時被解密。這樣,數(shù)據(jù)在這條鏈路上傳輸時就不會被第三方偷聽,第三方也很難篡改或加入偽造的數(shù)據(jù)。對數(shù)據(jù)的加密/解密操作,一開始是由專用的加密機(jī)完成的,后來,這部分功能被集成到路由器中,這就是原始的安全路由器。但當(dāng)數(shù)據(jù)的傳輸超出這條鏈路時,這種安全措施就無能為力了。
隧道技術(shù):傳輸層安全
到了上世紀(jì)90年代,由于網(wǎng)絡(luò)規(guī)模的擴(kuò)大,網(wǎng)絡(luò)的安全問題也變得越來越復(fù)雜,其原因之一在于,很多位于網(wǎng)絡(luò)的主機(jī)存在安全缺陷,比如缺乏嚴(yán)格的認(rèn)證方式,網(wǎng)絡(luò)協(xié)議在設(shè)計上缺乏足夠的安全性,沒有提供加密和認(rèn)證機(jī)制等。
這時,路由器作為網(wǎng)絡(luò)上的主要設(shè)備,也受到過各種惡意攻擊。其中最常見的就是,非法用戶通過破譯密碼進(jìn)入路由器的操作系統(tǒng),修改路由器的基本設(shè)置,使其發(fā)出錯誤的路由信息。一些黑客也可以非法截獲路由信息和IP數(shù)據(jù)包,然后進(jìn)行信息篡改,使整個網(wǎng)絡(luò)癱瘓。還有一種是向路由器發(fā)送虛假信息,阻塞路由器的正常服務(wù),從而導(dǎo)致癱瘓,這就是針對路由器的拒絕服務(wù)攻擊(DoS)。這些問題都是由路由器自身軟件的缺陷造成的,比如系統(tǒng)漏洞,就是我們俗稱的“后門”。因此,路由器廠家采用了新的安全技術(shù)來解決這些問題。
針對這些安全問題,新的隧道技術(shù)出現(xiàn)了,它可以解決數(shù)據(jù)跨越Internet傳輸時的安全問題。與鏈路加密不同,隧道技術(shù)通常在網(wǎng)絡(luò)層甚至更高的層次操作,這樣,隧道就可以跨越多個鏈路。常見的隧道技術(shù)有L2TP和PP2P,這些隧道技術(shù)被廣泛用于搭建VPN。
路由器安全技術(shù)歷程
路由協(xié)議:阻擋路由攻擊
隧道技術(shù)解決了用戶數(shù)據(jù)在網(wǎng)絡(luò)上傳輸?shù)陌踩珕栴},而要確保數(shù)據(jù)能被正確地轉(zhuǎn)發(fā),就涉及到了路由協(xié)議的安全性。原有的路由協(xié)議(比如RIP)對所收到的路由信息不做任何檢查與認(rèn)證,攻擊者很容易把自己偽裝成一臺路由器,并向網(wǎng)絡(luò)中其他的路由器發(fā)送假的路由信息,這些非法的路由信息會通過路由器之間的路由信息進(jìn)行交換,從而擴(kuò)展到整條路徑。安全的路由協(xié)議是對現(xiàn)有路由協(xié)議的擴(kuò)展。安全的路由協(xié)議之間交換的路由信息要附加認(rèn)證,這使得虛假的路由信息難以蒙混過關(guān)而進(jìn)入路由表并擴(kuò)散到整個網(wǎng)絡(luò),從而有效地避免了路由攻擊的風(fēng)險。目前Internet上最常用的路由協(xié)議OSPFv2版本和BGP-4都提供了認(rèn)證機(jī)制。
IPSec:實(shí)現(xiàn)全面安全
隧道加密和安全的路由協(xié)議從數(shù)據(jù)層和控制層確保了網(wǎng)絡(luò)的安全。而目前很多路由器廠商在產(chǎn)品中提供的多是IPSec協(xié)議。
IPSec協(xié)議套件是為Internet上用戶數(shù)據(jù)傳輸提供安全保障的一整套方案。整個套件包括多個標(biāo)準(zhǔn),其中有規(guī)定對數(shù)據(jù)報文進(jìn)行封裝的各種格式的標(biāo)準(zhǔn);有對報文進(jìn)行加密和附加認(rèn)證信息所采用算法的各種標(biāo)準(zhǔn);有規(guī)定IP協(xié)議棧如何處理報文、對報文實(shí)施安全策略的標(biāo)準(zhǔn)。除此之外,還定義了密鑰交換協(xié)議IKE,來為通信雙方協(xié)商密鑰。
IPSec為報文傳輸提供的安全機(jī)制是通過安全聯(lián)盟(SA,Security Association)實(shí)現(xiàn)的。對什么樣的報文采用什么樣的安全措施,是由安全策略(SP,Security Policy)決定的。通過定義安全策略和配置相應(yīng)的SA,可以實(shí)現(xiàn)VPN和防火墻的功能。
隨著下一代網(wǎng)絡(luò)IP協(xié)議標(biāo)準(zhǔn)的制定,IPv6也被加入了安全功能。IPv6彌補(bǔ)了IPv4在很多設(shè)計上的缺陷,增加了新的功能。它要求任何實(shí)現(xiàn)IPv6的路由器都必須強(qiáng)制實(shí)現(xiàn)IPSec,所以一旦IPv6開始部署,其路由器必定具備一定的安全功能。
多種思路發(fā)展安全路由器
眾多路由器廠商對于是否在路由器中添加功能已經(jīng)達(dá)成了共識,越來越多的路由器都具有了一定的安全功能。目前,市場上的安全路由器產(chǎn)品一般分成具有VPN、防火墻或配置加密卡的方式,其產(chǎn)品的功能和性能也就各不相同。可以說如何提供一個安全的網(wǎng)絡(luò)建設(shè)方案,已經(jīng)成為各大廠商爭奪市場的籌碼。比如Cisco的SAFE安全解決方案中,就融合了多種設(shè)備的安全聯(lián)動,而不是簡簡單單的一兩款安全產(chǎn)品。當(dāng)然,Cisco的路由器對安全提供了完善的支持,包括Radius(防止未經(jīng)授權(quán)的訪問),PPTP(提供VPN服務(wù)),Kerberos(通過第三方提供的認(rèn)證服務(wù)來確認(rèn)用戶的身份),IPSec/IKE,訪問控制列表(ACL)等,成為網(wǎng)絡(luò)安全非常重要的一個部分。還有一些廠商將防火墻與VPN的功能作為一個安全模塊加入到路由器當(dāng)中,成為我們通用的安全路由器,如凱創(chuàng)公司和邁普公司等。
眾多廠商采用VPN技術(shù)是因?yàn)樗鼮橛脩籼峁┝艘环N通過公用網(wǎng)絡(luò)安全地對企業(yè)內(nèi)部專用網(wǎng)絡(luò)進(jìn)行遠(yuǎn)程訪問的連接方式。它采用隧道作為傳輸通道,這個隧道是建立在公共網(wǎng)絡(luò)或?qū)S镁W(wǎng)絡(luò)基礎(chǔ)之上的,如Internet或Intranet。搭建VPN的目的在于解決隱秘數(shù)據(jù)在公共網(wǎng)絡(luò)或?qū)S芯W(wǎng)絡(luò)上傳輸時安全性較低的問題。比如,一個企業(yè)利用公共網(wǎng)絡(luò)連接兩個子公司,數(shù)據(jù)在公司內(nèi)部傳輸被認(rèn)為是安全的,而數(shù)據(jù)在兩個子公司之間傳輸時就無法確保其不被偷聽、篡改或冒充。在兩個子公司之間鋪設(shè)專用線路的代價又過于高昂。這時采用VPN技術(shù),在兩個子公司之間建立一條安全的數(shù)據(jù)隧道,既利用了原有的網(wǎng)絡(luò)設(shè)施,降低了成本,又滿足所需的安全性。所以,它特別適合遠(yuǎn)程辦公的分支機(jī)構(gòu)與總部進(jìn)行信息互連,很多安全路由器都針對這方面的需求作了加強(qiáng)。 #p#分頁標(biāo)題#e#
防火墻主要用來防止不安全數(shù)據(jù)、惡意數(shù)據(jù)和非法數(shù)據(jù)流入某個內(nèi)部網(wǎng)絡(luò),可以在很大程度上降低子網(wǎng)被攻擊的可能性,所以,支持防火墻功能,成為面向接入的路由器的重要功能之一。
而國內(nèi)的路由器廠家如華為、博達(dá)、邁普和華正天網(wǎng)公司等,則從安全加密角度對路由器進(jìn)行加密,成為安全加密路由器。從技術(shù)角度來說,加密是一個完整的流程,相對不加密來說,必然要附加一些動作,因此,效率的降低也是必然的,所以會對路由器的整體性能產(chǎn)生影響。而廠家在設(shè)計產(chǎn)品時也考慮到了這一層,因此在產(chǎn)品中安裝了加速卡,在保密和效率之間進(jìn)行了有效的平衡。
--------------------------------------------------------------------------------
專用區(qū)別通用
安全路由器是在通用路由器上配置了具有特殊安全功能的專用路由器。
與通用的路由器相比,它采用了一些新的安全技術(shù),最突出的就是將IPSec協(xié)議標(biāo)準(zhǔn)融入到產(chǎn)品中。另外,安全路由器內(nèi)置了傳統(tǒng)的VPN和防火墻技術(shù),具有包過濾功能,使流經(jīng)路由器的信息更加安全可靠。一些安全路由器還在產(chǎn)品中加裝了專用的加密卡,提供密鑰交換技術(shù)和身份認(rèn)證功能,彌補(bǔ)了通用路由器的不安全性問題。
從兩者在網(wǎng)絡(luò)中的工作位置來看,通用路由器主要是承擔(dān)路由包的轉(zhuǎn)發(fā)功能,所以可以工作在各種網(wǎng)絡(luò)之中,既可以在核心層,也可以在匯聚層。由于加入了安全功能,所以安全路由器的路由性能要求不像通用路由器那樣高。因此,市場上的安全路由器主要是為中小型網(wǎng)絡(luò)和大型網(wǎng)絡(luò)的分支機(jī)構(gòu)設(shè)計的,它屬于邊緣接入路由器。
