云南龙网

  1. 首页 > 云知道 > >

路由器的安全设计( 二 )

云知道


表一为路由器的安全机制所对应的安全功能特性 。
表一
七层安全设计
具体来说,人们正从以下七个层面来加强路由器的安全设计 。
硬件的安全保障:模块化的硬件结构体系结构 。
软件的安全保障:自主知识产权的操作系统;操作系统高度模块化结构,进程空间隔离、数据流和控制流空间隔离 。
链路层的安全保障:广域网上采用PPP认证和EAP-TLS;以太网上采用802.1x、MAC地址/端口绑定、VLAN隔离和EAP-TLS;对流量峰值设置阀值,通过流量限速抵御DoS攻击 。
网络层和传输层的安全保障:IPSec协议、AH/ESP/IKE、3DES等;基于IP的报文过滤;对ICMP各种类型报文的过滤处理;根据TCP/UDP报文头选项进行过滤;网络处理器实现分类和过滤功能,保证线速 。
路由安全: OSPF/BGP/RIP2/IS-IS/RSVP/LDP支持各种认证方式(不认证、明文认证、HMAC-MD5认证) 。
应用层的安全保障:防火墙模块 。
实现治理安全的手段:SSL保证web和CLI治理的安全通道;SSH替代Telnet的明文治理通道;多种用户登录验证方式;命令行分级视图治理;治理访问策略控制(源地址、登录端口、登录时间控制);支持SNMPv3 。
表二为七层安全设计所对应的路由器安全特性 。
表二
安全特性有侧重
需要说明的是,路由器是一个庞大的家族,核心路由器和边缘分支路由器从结构到技术原理都有很大不同,因此不同级别的路由器的安全侧重点是不同的 。例如,远程分支路由器主要需要集成较为完善的加密和VPN功能,能够在用户端对数据进行加密或者建立VPN通道,这样可以保证信息在广域网上安全地传递 。对于在网络中位于核心位置的高端路由器,则需要综合化的安全实现措施,首先路由器需要具备完善的用户接入认证和控制功能;其次路由器在应用程序过滤、入侵检测等方面应具备更强大的能力;并且应该具备支持IP报文加密、MPLS等技术 。可以说,中低端路由器只需在路由软件中增加特性或者通过添加硬件加密卡即可实现安全功能;而高端路由器则需要综合采用多种安全措施 。
为了使路由器在经过诸多与安全相关的复杂报文处理之后,处理性能不会下降,业界出现了以网络处理器(NP)为核心构建高端路由器的方式 。网络处理器能够较好解决高端路由器的业务能力和性能之间矛盾的问题,同时也适应网络安全变化迅速的特征,可以说代表了路由器未来的发展方向之一 。
产品篇
具有安全功能的路由器可以应用于不同的网络环境中,如内部网络和外部网络的互联、不同子网之间的互联以及网络的接入服务等等 。随着电子政务建设的深入进行和企业级用户安全问题的日渐突出,具有安全功能的路由器将会得到更广泛的使用 。下面我们就来介绍几款加强安全设计的路由器产品 。
安奈特AT-AR700系列路由器
AT-AR700系列路由器配置了高性能的80MHz RISC处理器和可升级的SDRAM,支持丰富的WAN接口,具有出色的路由功能、VPN功能和防火墙功能 。借助于VPN模块,AT-AR700支持基于硬件的DES/3DES加密,最多可同时支持1023个VPN隧道 。借助于基于状态检测防火墙模块,AT-AR700可以防止DoS攻击 。AT-AR700还提供事件触发、防火墙事件日志和信息统计功能,能够生成全面的安全日志 。AT-AR700设有丰富的PIC接口,可以最大限度地保护用户投资 。AT-AR745上的NSM(网络服务)模块可以配置各种高速LAN/WAN接口,32MHz 32位的PCI总线可以提供高速的数据转发 。NSM构架同时也可以放置在安奈特公司的三层交换机上,为交换机提供丰富的WAN接口 。此外,该路由器还具有流量整形、VRRP、冗余电源、脚本、异步拨号、支持IPv6等功能,适合用作大、中型企业和分支办公机构的路由器平台 。

推荐阅读


上一篇:怎样防治草莓根腐病

下一篇:雾化消毒是干什么的