做足边界路由的安全
在校园网中,边界路由器是连接外网的要害设备,
不论什么原因出现死机、拒绝服务或是运行效率急剧下降,其结果都将是灾难性的,
它在整个校园网的安全治理中担当着重要角色。
边界路由器(Router)是校园网中最为重要的设备之一,扮演着转发数据包“驿站”的角色,是网络间实现互连的桥梁。因此,如何利用边界路由器的安全特性是校园网安全治理须考虑的重要因素。
路由器的自身安全
由于边界路由器处在网络的最前沿,同时也是恶意攻击者的最主要的目标之一,因此,边界路由器自身的安全对网络通畅起着举足轻重的作用。
边界路由器通常都提供很多的服务,如Finger、Telnet等,但是这些服务中的一些能够被攻击者利用,所以,最好禁止所有不需要的服务,对必需的服务进行安全配置。例如:Cisco路由器提供了一些诸如echo、chargen和discard等基于TCP和UDP协议的小服务。这些服务很少被使用,反过来却轻易被攻击者利用来越过包过滤机制。如echo服务,就可以被攻击者利用它发送数据包,似乎这些数据包来自路由器本身。所以最好禁止这些服务,可以利用no service tcp-small-servers和no service udp-small-servers命令来实现。
Finger服务可能被攻击者利用查找用户和口令攻击。NTP不是十分危险的,但会影响路由器正确时间,导致日志和其他任务出错。CDP可能被攻击者利用获得路由器的版本等信息,从而进行攻击。所以对于上面的几种服务,假如没有十分必要的需求,最好禁止它们。可以用no service finger、no ntp enabel、no cdp run(或no cdp enable)实现。
对进出网络数据流控制
拿Cisco的边界路由器来说,它使用ACL(访问控制列表)提供基本的数据流过滤,可以通过配置访问列表,实现对通过边界路由器进行路由的所有网络协议进行过滤。因此可以通过过滤自己内部网络地址、回环地址(127.0.0.0/8)、RFC1918私有地址、DHCP自定义地址(169.254.0.0/16)、科学文档作者测试用地址(192.0.2.0/24)、不用的组播地址(224.0.0.0/4)、Sun公司古老的测试地址(20.20.20.0/24;204.152.64.0/23)等办法实现对ip欺骗的简单防护。同时,只答应有效的源地址包离开网络。这有助于防止IP地址欺骗,减小黑客利用用户系统攻击另一站点的可能性。
具有黑客攻击行为和高度自动化特点的蠕虫病毒正在迅速增加,由蠕虫病毒发起的针对网络端口和网络服务的攻击占据网络攻击总量的绝大部分,已经成为威胁网络安全的头号大敌。
蠕虫病毒一般总是使用固定的端口进行扫描、监听、控制和传播。比如:Blaster蠕虫利用端口4444、69、135、139、445和593,Slammer 蠕虫利用1434端口传播,Dvldr32 蠕虫利用5800、5900端口进行远程控制等。因此,可以利用ACL过滤掉到这些端口的数据流,从而减小对路由器性能的影响和防止对网络其他主机的危害。
充分利用附加功能
就目前大多数边界路由器来说,它们自身都通过软件提供了丰富的特性,校园网用户能根据特定的需要配置简单或精致的防火墙。
其中,NAT可以用来对防火墙外部世界隐藏内IP地址。NAT是未使用为注册(非全球唯一)的IP地址的内部网络设计的,在防火墙外将这些未注册的地址转化为合法地址。可以配置NAT,以便对外只为内部网络宣传一个地址,这样就提高了安全性,因为有效地隐藏了整个内部网络。
特征自动记录系统记录了出错信息和其他事件到控制台终端的信息。用户也可以将这些消息改发到其他目的地,例如虚拟终端、内部缓存区或系统记录服务器,还可以规定要记录事件的严重性,并将记录的输出配置为带时间邮戳,记录的输出可以用于实时调试和治理,以及跟踪整个校园网中潜在的安全缺口或者其他非标准活动。
边缘路由器在网络中的分布示意
主流边缘路由器产品链接
Cisco2600
Juniper J-系列边界路由器
华为3Com
Quidway AR 18-1X系列路由器
锐捷网络 STAR-R26系列路由器
清华紫光比威BitEngine2630/2631
神州数码LR-2501A
企业级VoIP
VoIP作为市场上新PBX的代言人,具有分布式PBX组织的灵活性。就把握、安装和操作三个步骤而言,IP-PBX的开销要远低于传统的PBX:轻轻松松就可将PBX置入每一个IP网络中,并从一个位置进行统一的治理;重新配置呼叫中心是常有的事,在这里也将变得非常简单;假如网络中存在基于包而不是基于TDM的语音流量,那么还能进一步节省带宽资源。据统计分析,IP-PBX在未来的几年中将逐渐占据市场的主导地位。
这种IP架构下的语音非常适用于基于WAN的企业:他不仅降低了长途话费,也可减少企业对电信公司路由呼叫的过分依靠,假如再利用G.711等压缩技术,那么使用VoIP而不是模拟主干线路就能增加呼叫的带宽。IP语音对SIP的吸收也颇引人注目,SIP使用了一种称为点对点的对等策略(Peer To Peer),使端点具有启动呼叫等智能特性,遗憾的是目前几乎没有厂商提供对SIP端点的第三方支持,倒是SIP最早的支持者之一,Microsoft公布将在2005年发布的Istanbul desktop OS新特性中包括SIP,并支持PBX系统,只是目前尚不清楚具体的时间表。 (张志刚)
PBX下线统计与分析
