安全路由器研究
1、引言
随着全社会信息化程度的日益提高,国家政治、经济、文化以及军事对基础信息网以及重要信息系统的依赖性越来越大,因此网络与信息安全也越来越成为关注的焦点。路由器是IP网络的核心设备,直接影响大多数网络与信息系统的安全。路由器的安全性以及安全保障能力也越来越受关注。一方面,一些厂家将安全路由器作为一种特殊的设备或者一个卖点来宣传。另一方面,相关部门也希望将安全路由器作为影响信息安全的设备强制认证。
对于安全路由器而言,无论是业界还是学术界都还没有统一的认识。一些支持部分安全选项、具备一定防攻击能力、集成某些例如防火墙的安全模块、支持加密能力的路由器都被称为"安全路由器"来宣传和销售。这些产品形态和功能各异,定位也各不相同,被当作同一类特殊的设备来对待也不甚妥当。研究安全路由器专门的定义与定位,有利于网络与信息安全的保障以及国家相关部门的有效监管。
2、安全路由器介绍
2.1 路由器产品概述
按照信息产业部行业标准中的定义,路由器是通过转发数据包来实现网络互联的设备,通常是指基于TCP/IP协议族,运行路由协议维护路由表,通过转发IP包来实现IP网网络层互联的设备。可见路由器的核心功能是按照IP包的目的地址以及路由表中的信息,将IP包转交到下一个目的地。
最初的路由器设备是计算机网络的互联设备,主要用于校园网,用于替代在校园网规模扩大的过程中越来越不能满足需求的网桥设备。为满足互联网的飞速发展的需求,路由器设备也有了很大的发展,端口速度越来越高,转发能力也越来越强,路由协议处理能力也越来越大。在电信企业应用IP技术作为下一代网的承载网以及3G网络的核心网技术以后,路由器的稳定性以及可靠性有了进一步的发展,已经由企业网和校园网设备演进成电信设备。
当前高端路由器主要来自思科,华为,Juniper,上海贝尔阿尔卡特,中兴等企业。主流的高端设备交换能力超过360G,单端口速率10Gbit/s,端口能力最小包线速,路由表能力超过100万条,支持五元组ACL,支持MPLS。中低端路由器生产厂家较多,除了上述厂家以外,还有H3C,锐捷,博达,比威,神州数码,迈普等众多厂家。中低端设备适用范围广泛,定位相差较远,功能形态各异,不再一一赘述。
2.2 相关的安全特性
所谓安全路由器,是相对普通路由器而言的。一般具备一些普通路由器所不具备的安全功能与特性,能额外防范一些安全风险。因此,要研究安全路由器,有必要首先研究与路由器相关的安全特性。路由器相关的安全功能与特性主要包括以下几方面:
(1)路由器自身的可靠性和稳定性。路由器是一种非常复杂的设备,不但包括高速复杂的硬件,而且包括非常复杂的软件。典型的高端路由器大约有150万行代码,注重功能的边缘路由器可能会超过300万行。路由器设备的可靠性和稳定性直接影响IP网络的性能。
(2)保护路由器抵御一定程度攻击的能力。一般来说,针对路由器的攻击主要来自管理面、控制面以及数据面。来自管理面的攻击一般指通过远程登录、SNMP以及一些系统的后门和漏洞进行非授权的操作。来自控制面的攻击主要是指利用路由协议使用中配置上的疏漏,干扰路由表的正确建立。来自数据面的攻击主要是指用产生大流量占用路由器主控板或者转发板的资源,造成设备过载影响效能。
(3)保护所转发数据的机密性、可用性以及完整性。一般来说出于安全责任考虑以及路由器能力有限的考虑,IP网络上数据的完整性机密性和可用性是通过端到端加密来实施的,路由器不会也没有能力对所转发数据作加密处理。随着技术的发展,路由器性能越来越高,当前路由器设备已经有能力协商密钥并对所转发的数据作加密操作,甚至一些设备可以做到最小包线速加密。
(4)基于安全策略的访问控制。由于基于策略的访问控制通常在包括网络层、会话层、应用层等多个层面实施,而路由器是网络层设备,所以通常来说基于策略的访问控制不是路由器的必需和主要功能。防火墙是指一个或一组在不同安全策略的网络或安全域之间实施访问控制的系统,所以防火墙才是基于策略访问控制的典型设备。由于路由器通常能针对五元组作ACL,所以访问控制即防火墙功能也与路由器安全特性相关。
(5)VPN功能。VPN即虚拟专用网功能,能在公共网上通过封装隧道等方式架构一个封闭的用户群组,群组内的用户可以相互通信,不同群组的用户不能或者只能通过专用的网关通信。VPN能够对用户的数据作一定程度的隔离,因此也是路由器的安全特性之一。
(6)入侵检测、日志审计等其他安全功能。入侵检测系统指通