当前,市场上的安全路由器产品形态五花八门,这让用户在选择安全路由器时更加迷惑,到底符合什么标准的路由器才算是安全路由器?究竟应该看中的是哪一点安全?
其实,安全路由器是从功能方面定义的,用户在选购产品时可以从路由器本身的可靠性和线路安全措施、身份认证、数据加密、入侵检测和防范以及安全管理等几个方面来考虑。
从路由器的可靠性与线路安全方面来说,路由器设计接口时,必须有备份支持。当主接口发生故障时,备份接口自动投入工作,保证网络的正常运行;当网络流量增大时,备份接口又可以担当负载分担的任务。
身份认证可以分为两种:一是针对访问路由器方式、对端路由器和路由信息进行身份认证;二是针对用户的身份认证,也就是访问控制。路由器的访问权限需要进行口令的分级保护,通过包过滤实现基于IP地址的访问控制。在基于用户的访问控制方面,路由器也可以提供接入服务功能。通过对用户设置特定的过滤属性,可实现对接入用户的访问控制。此外,与对端路由器通信时,支持链路层的验证如PPP认证,通过地址转换,可以做到隐藏网内地址,只以公共地址的方式访问外部网络。除了内部网络首先发起的连接,网外用户不能通过地址转换直接访问网内资源。
通过对路由器所发送的报文进行加密,即使在Internet上进行传输,也能保证数据的私有性、完整性以及报文内容的真实性。通过明文或者MD5加密算法对交互路由信息的双方进行验证,确保交互对象的合法身份,对路由信息进行策略控制,增加路由信息的安全可靠性。对于利用公网构建VPN的情况,数据加密能够保证通过隧道传输的数据安全。现在通行的做法是,采用内嵌式设计方法,将加密模件内化到路由器中。
针对端口扫描攻击,一个安全的路由器必须具有良好的入侵检测和防范功能,必要时要通过各种攻击测试才能确认路由器是否足够安全。同时,路由器的安全运行涉及到越来越多的安全策略,有必要进行安全策略管理。 此外,路由器还可以通过日志、系统监控结合SNMP形成对网络的有效监控并提供分析依据。
作者:徐文
