路由器安全技術論文
路由器用於連線的多個邏輯單獨的網路。下面是小編整理了,有興趣的親可以來閱讀一下!
篇一
路由器的安全淺析
摘要:本文分析了路由器的工作原理,對路由器在Internet中存在的安全隱患進行了較詳細的分析,最後提出了一些防範的措施和思路。
關鍵詞:路由器;路由器安全;網路安全;網路攻擊
中圖分類號:TP393.05 文獻標識碼:A 文章編號:1674-7712 ***2012*** 14-0072-01
IP網路監控系統指的是基於網路裝置監控系統和通訊網路技術的基礎上的監控系統,這樣的監控系統打破了以往的監控模式,監控地域的範圍從城市的一個地方擴充套件到多個地方。通過此種遠端監控系統,使得許多的專業人員可以對遠處的更多現場裝置實施監管,此類監控工作和經濟效益也得到了較大的提高。
一、引言
路由器用於連線的多個邏輯單獨的網路。不同部分之間的資料傳輸資料時,路由器必須能夠完成轉移。因此,路由器具有判斷網路地址和選擇的IP路徑功能***路由和定址功能***,多網路互聯環境,它可以建立一個靈活的連線,可用完全不同的資料分組和介質訪問方法連線各種子網路中,路由器只接受源站或其他路由器是一個網路層的互連裝置的資訊。它不關心各子網使用的硬體裝置,但需要與網路層協議軟體的操作和一致的。在現代網路通訊裝置網路路由器是最重要的,作為一個橋樑連線兩個不同的網段,所以這是非常重要的安全性。因此,路由器的安全性分析是網路安全評估的重要手段。本文從分析的路由器在安全問題工作中存在的,和的措施和建議。
二、路由器的概念
路由器是在網路層提供多個獨立的子網間連線服務的一種存貯/轉發裝置。它的基本功能包括:接收和傳送資料報表,出錯時能生成ICMP報文,丟棄那些TTL到0的資料報,需要時對資料報分組,以適合下一個網路的MTU·進行路由選擇,根據路由表為每個資料報選擇下一個節點。
三、網路應用環境對路由器提出的安全要求
為了讓合法資訊完整、及時、安全地從源轉發到目的地,網路應用環境對路由器提出如下的安全要求:
防火牆功能模組路由器的包過濾能力,過濾和檢查所有接收和轉發資料包,檢查政策的變化。還可以利用路由器的NAT / PAT功能隱藏在網路的拓撲結構,更加複雜的應用層閘道器***ALG***功能。有些路由器提供了基於資料包的內容保護。其原理是,當資料包通過路由器,防火牆功能模組可以比較的資料包與指定的訪問規則,如果規則允許的資料包將接受檢查,否則報文,直接丟棄。如果包是用來開啟一個新的控制或資料連線,保護模組會動態地修改或建立規則來更新狀態表的同時,讓新建立的連線的資料包。返回的資料包只屬於一個有效的連線已經存在,將被允許通過。
入侵檢測技術:安全體系結構,入侵檢測***IDS***是一個非常重要的技術,有些路由器和高階交換機的IDS功能模組。內建入侵檢測模組需要一個路由器埠映象和報文的統計資訊支援功能。
及時性:可以轉發的路由器,確保網路資訊的要求,及時轉發時間超出安全處理。抵禦攻擊的路由器有能力抵禦網路攻擊。
四、提高路由器安全性的方法
目前提高路由器安全性的途徑可以分為兩類:一類是通過技術手段,在普通路由器中新增安全模組,加強路由器的安全設計,來提高其安全性;另外一類就是藉助管理手段,不斷加強對路由器的安全管理。
***一***加強路由器的安全設計
為了使路由器將完成合法的資訊及時,安全地轉發到目的地,你可以新增一個安全模組的路由器,使路由器和安全裝置融合的趨勢。從本質上講,以增加的安全模組的路由器,路由器的功能實現與普通的路由器沒有區別。不同的是,在路由器中新增安全模組可以提高通過技術手段,如加密,身份認證,資訊保安,有效的協調與特殊安全裝置,以提高路由器的鏈路層安全:的WAN PPP認證和EAP-TLS乙太網,IEEE 802.1X,MAC地址/埠繫結,VLAN隔離和EAP-TLS,抵禦DoS攻擊,通過行車速度的限制設定的閾值,在交通高峰期。
網路層和傳輸層安全協議IPSec協議,AH/ ESP / IKE,3DES等;包過濾基於IP,基於TCP/ UDP報文頭中的選項過濾ICMP包過濾處理各類;網路處理器實現分類和過濾功能,以確保線速。
路由安全性:OSPF/BGP/RIP2/IS-IS/RSVP/LDP支援多種身份驗證方法***明文認證未認證,HMAC-MD5認證***啟用的身份驗證機制,以保護路由資訊的正確性,並在同一時間不會影響路由器的路由的功能。
應用層安全:防火牆模組。防火牆功能模組路由器的包過濾功能,過濾和檢查所有的接收和轉發資料包。
***二***增強路由器的安全管理
保護路由器自身安全的手段主要包括物理訪問、登入賬號、軟體防護、遠端管理以及相應的配置操作。
五、如何預防路由器遭攻擊
1.去掉不必要的計算機協議:將NETBIOS關閉,避免針對NETBIOS的攻擊。
2.禁用一些不重要的服務:無論是路由器、伺服器和任務站上的不需要的服務都要禁用。在有些路由器中經過網路作業系統默許地供應一些服務,chargen和discard。
3.禁用Ping命令:IIPSec 策略是用來配置 IPSec 安全服務。可以通過系統中提供的“IP 安全策略”管理單元來為 Active Directory 中的計算機定義 IPSec 策略。
4.禁用IP路由和IP重新定向:重新定向允許資料包從一個介面進來然後從另一個接口出去。你不需要把精心設計的資料包重新定向到專用的內部網路。
六、結束語
路由器中許多與安全相關的複雜的資料包處理後,效能必然下降,建立一個高階路由器為核心的網路處理器***NP***。網路處理器能夠更好地解決高階路由器市場的容量和效能之間的矛盾,同時也能適應快速變化的網路安全特性,代表未來發展方向的路由器之一。
參考文獻:
[1]周德澤,袁南兒,應英.計算機智慧監測控制系統的設計及應用[M].北京:清華大學出版社,2002,1,1-161.
[2]謝希仁.計算機網路[M].北京:電子工業出版社,2008.
[作者簡介]譚再峰***1976.6-***,男,湖北恩施,現為恩施職業技術學院計算機與資訊工程系助講,計算機軟體開發專業。
點選下頁還有更多>>>