摘要：隨著網(wǎng)絡(luò)技術(shù)的快速發(fā)展，黑客的入侵手段越來(lái)越高明，網(wǎng)絡(luò)常常受到攻擊。路由器作為Intranet和Internet的網(wǎng)間互連設(shè)備，位于不可信任網(wǎng)絡(luò)和可信任網(wǎng)絡(luò)之間，是保證網(wǎng)絡(luò)安全的第一關(guān)，安全性已成為路由器設(shè)計(jì)中最關(guān)鍵的技術(shù)問(wèn)題。本文對(duì)基于訪問(wèn)列表控制的路由器安全策略進(jìn)行了探討，并以最常用的Cisco路由器為例進(jìn)行了分析。

關(guān)鍵詞：訪問(wèn)列表；路由器；安全

引言。網(wǎng)絡(luò)安全一直是倍受關(guān)注的領(lǐng)域，如果缺乏一定的安全保障，無(wú)論是公共網(wǎng)還是企業(yè)專(zhuān)用網(wǎng)都難以抵擋網(wǎng)絡(luò)攻擊和非法入侵。隨著人們對(duì)網(wǎng)絡(luò)依賴(lài)程度的日益增強(qiáng)，網(wǎng)絡(luò)的安全性和可靠性問(wèn)題愈來(lái)愈重要，一旦網(wǎng)絡(luò)癱瘓或重要信息被竊取，將帶來(lái)巨大損失。而路由器作為網(wǎng)絡(luò)傳輸過(guò)程中的重要設(shè)備，對(duì)報(bào)文安全、正確和快速的轉(zhuǎn)發(fā)起著關(guān)鍵作用。因此，研究常用路由器的安全配置和策略，就具有重要的意義。

1.路由器安全概述

1.1路由器的功能

路由器處于網(wǎng)絡(luò)層，是網(wǎng)絡(luò)中進(jìn)行網(wǎng)間互連的關(guān)鍵設(shè)備，能夠跨越不同類(lèi)型的物理網(wǎng)絡(luò)類(lèi)型，并將整個(gè)互聯(lián)網(wǎng)絡(luò)分割成獨(dú)立的網(wǎng)絡(luò)單位，使網(wǎng)絡(luò)具有一定的邏輯結(jié)構(gòu)。作為不同網(wǎng)絡(luò)之間連接的樞紐，路由器系統(tǒng)構(gòu)成了基于TCP/IP的Internet主體脈絡(luò)。不同地位的路由器其功能也不相同：

第一，在主干網(wǎng)上，路由器的主要作用是路由選擇。主干網(wǎng)上的路由器必須知道到達(dá)所有下層網(wǎng)絡(luò)的路徑。這需要維護(hù)龐大的路由表，并對(duì)連接狀態(tài)的變化做出盡可能快速的反應(yīng)。

第二，在地區(qū)網(wǎng)中，路由器的主要作用是網(wǎng)絡(luò)連接和路由選擇，即連接下層各個(gè)基層網(wǎng)絡(luò)單位--園區(qū)網(wǎng)，并負(fù)責(zé)下層網(wǎng)絡(luò)之間的數(shù)據(jù)轉(zhuǎn)發(fā)。

第三，在園區(qū)網(wǎng)內(nèi)部，路由器的主要作用是分隔子網(wǎng)。各個(gè)子網(wǎng)在邏輯上獨(dú)立，而路由器則負(fù)責(zé)子網(wǎng)間的數(shù)據(jù)轉(zhuǎn)發(fā)和廣播隔離，在園區(qū)網(wǎng)邊界上的路由器則負(fù)責(zé)與地區(qū)網(wǎng)的連接。

1.2路由器的安全機(jī)制

安全路由器能夠按照需要向內(nèi)部局域網(wǎng)或外部公用網(wǎng)轉(zhuǎn)發(fā)授權(quán)包；能夠?qū)γ恳粭l鏈路的訪問(wèn)權(quán)限進(jìn)行控制；能夠協(xié)助對(duì)傳輸?shù)臄?shù)據(jù)進(jìn)行加密；提供內(nèi)外識(shí)別地址的轉(zhuǎn)變：提供配置管理、性能管理、流量控制、安全管理等功能；確保路由信息能夠安全、準(zhǔn)確地傳遞；提供包括分組過(guò)濾、優(yōu)先級(jí)、復(fù)用、加密、壓縮等功能。

為了構(gòu)建路由器的安全機(jī)制，必須采用不同的安全對(duì)策。在控制數(shù)據(jù)流量上，可以采用包過(guò)濾和代理服務(wù)；在訪問(wèn)路由器上，為了保證路由器本身的安全，可以采用認(rèn)證的技術(shù)；為了保證數(shù)據(jù)的安全，可以采用數(shù)據(jù)加密技術(shù)。

當(dāng)然，包過(guò)濾技術(shù)和代理服務(wù)技術(shù)是當(dāng)今最廣泛采用的網(wǎng)絡(luò)安全技術(shù)，也就是我們通常稱(chēng)的防火墻技術(shù)。防火墻可以根據(jù)網(wǎng)絡(luò)安全的規(guī)則設(shè)置允許經(jīng)過(guò)授權(quán)的數(shù)據(jù)包進(jìn)出內(nèi)部網(wǎng)絡(luò)，同時(shí)將非法數(shù)據(jù)包擋在防火墻內(nèi)外，最大限度地阻止黑客攻擊。包過(guò)濾技術(shù)以訪問(wèn)列表的形式出現(xiàn)，被創(chuàng)建的訪問(wèn)列表可以用來(lái)允許或拒絕信息流通過(guò)一或多個(gè)路由器接口。

目前，市場(chǎng)上的路由器品牌很多，其中Cisco（思科）路由器在路由器技術(shù)方面最為權(quán)威，從某種意義上來(lái)說(shuō)已經(jīng)成為路由器的代名詞。因此，本文主要以Cisco路由器為例，來(lái)探討基于訪問(wèn)列表控制的路由器安全策略。

2. 路由器訪問(wèn)列表的原理與設(shè)計(jì)

2.1路由器訪問(wèn)列表的基本原理

訪問(wèn)列表是基于規(guī)則與數(shù)據(jù)包進(jìn)行匹配來(lái)允許或拒絕數(shù)據(jù)流的排序表，其基本格式為：

access-list [access-list-number] [permit|deny|join|evaluate] [refnum][protocol]

[source source-wildcard|any] [source port]

[destination detination-wildcand|any] [destination port]

[options]

在實(shí)際使用時(shí)，每個(gè)語(yǔ)句一般都在單獨(dú)一行上。并非所有的域都是必需的，只有第1、第2和第5域在每種類(lèi)型的訪問(wèn)列表中都需要。訪問(wèn)列表在配置時(shí)，遵循以下原則：

第一，從上到下的處理過(guò)程。訪問(wèn)列表的檢測(cè)順序是從第一表項(xiàng)開(kāi)始的，如果找到了匹配項(xiàng)，則處理過(guò)程結(jié)束，系統(tǒng)不再過(guò)問(wèn)剩下的表項(xiàng)。

第二，隱含的拒絕所有的數(shù)據(jù)包。在訪問(wèn)列表的最后，總是有一個(gè)隱含的\"deny all\"表項(xiàng)，所有不能顯式匹配訪問(wèn)表項(xiàng)的數(shù)據(jù)包都會(huì)自動(dòng)地被拒絕。

第三，新的表項(xiàng)增加到底部。要進(jìn)行增加表項(xiàng)到訪問(wèn)列表的修改，一般需要?jiǎng)h除和重建整個(gè)訪問(wèn)列表；也可以在客戶(hù)機(jī)中建立訪問(wèn)列表文本文件，使用TFTP協(xié)議達(dá)到修改訪問(wèn)列表的目的。

2.2路由器訪問(wèn)列表的主要功能

路由器的訪問(wèn)列表包括標(biāo)準(zhǔn)訪問(wèn)列表、擴(kuò)展訪問(wèn)列表、第二層訪問(wèn)列表和自反訪問(wèn)列表四種。其中前三種為靜態(tài)包過(guò)濾，自反訪問(wèn)列表為動(dòng)態(tài)包過(guò)濾。

第一，標(biāo)準(zhǔn)訪問(wèn)列表定義的范圍為l－99，只允許通過(guò)源IP地址進(jìn)行過(guò)濾。標(biāo)準(zhǔn)訪問(wèn)列表在限制虛擬終端訪問(wèn)、限制SNMP訪問(wèn)、過(guò)濾路由協(xié)議等方面比擴(kuò)展訪問(wèn)列表更為有用。

第二，擴(kuò)展訪問(wèn)列表提供了與標(biāo)準(zhǔn)訪問(wèn)列表一樣的基于源地址的過(guò)濾，同時(shí)還可以通過(guò)目的地址和協(xié)議信息進(jìn)行過(guò)濾。使用擴(kuò)展訪問(wèn)列表可以建立非常復(fù)雜的包過(guò)濾機(jī)制。擴(kuò)展訪問(wèn)列表的號(hào)碼為從100－199，支持的協(xié)議包括IP、TCP、UDP、ICMP和OSPF。

第三，第二層訪問(wèn)列表是基于第二層地址過(guò)濾數(shù)據(jù)幀，也稱(chēng)為MAC層地址過(guò)濾。通過(guò)地址過(guò)濾是最簡(jiǎn)單的第二層過(guò)濾形式，它可以過(guò)濾一部分，也可以準(zhǔn)確過(guò)濾某個(gè)MAC地址。

第四，自反訪問(wèn)列表提供了一種保留已存在連接狀態(tài)信息的方式。當(dāng)一個(gè)新IP包從內(nèi)部網(wǎng)絡(luò)發(fā)往外部網(wǎng)絡(luò)時(shí)，自反訪問(wèn)列表可以被觸發(fā)。自反訪問(wèn)列表在已存在的擴(kuò)展訪問(wèn)列表中建立\"鏡像\"或稱(chēng)為\"反向的\"表項(xiàng)，使得已存在連接的數(shù)據(jù)包可以通過(guò)訪問(wèn)列表的控制。

2.3 Cisco路由器訪問(wèn)列表的設(shè)計(jì)

Cisco的訪問(wèn)列表基于不同的協(xié)議有許多種類(lèi)型，本文以基于TCP/IP協(xié)議為例，只考慮實(shí)現(xiàn)四種訪問(wèn)列表：標(biāo)準(zhǔn)訪問(wèn)列表（1－99）；擴(kuò)展訪問(wèn)列表（100－199）；第二層訪問(wèn)列表（200－299）；自反訪問(wèn)列表（300－399）。以下是設(shè)計(jì)時(shí)需注意的事項(xiàng)：

首先，可以將訪問(wèn)列表的數(shù)據(jù)結(jié)構(gòu)設(shè)計(jì)為一個(gè)數(shù)組。每個(gè)數(shù)組都是100個(gè)元素，只有標(biāo)準(zhǔn)訪問(wèn)列表是99個(gè)。數(shù)組的每個(gè)元素為一個(gè)指針，指針指向一個(gè)訪問(wèn)列表項(xiàng)的鏈表，構(gòu)成一個(gè)訪問(wèn)列表。如果沒(méi)有訪問(wèn)列表鏈表，其對(duì)應(yīng)的數(shù)組元素的指針就為空。訪問(wèn)列表項(xiàng)的元素隨訪問(wèn)列表的不同而不同，但其結(jié)構(gòu)基本上是一樣的。

其次，可以將訪問(wèn)列表保存到FLASH存儲(chǔ)器中。每次路由器啟動(dòng)時(shí)，F(xiàn)LASH存儲(chǔ)器中讀出訪問(wèn)列表轉(zhuǎn)換為內(nèi)存中的格式存入內(nèi)存。當(dāng)需要把訪問(wèn)列表寫(xiě)入FLASH存儲(chǔ)器時(shí)，把存在內(nèi)存的訪問(wèn)列表轉(zhuǎn)換為FLASH存儲(chǔ)格式，一次存入或?qū)懭隖LASH存儲(chǔ)器。

第三，可以采用以下方式對(duì)訪問(wèn)列表的查找進(jìn)行優(yōu)化：一是增加CACHE緩存，避免每次都要遍查整個(gè)訪問(wèn)列表，但要對(duì)CACHE的大小作限制，因?yàn)镃ACHE存的是單個(gè)數(shù)據(jù)包的相關(guān)內(nèi)容，而訪問(wèn)列表存的是各種規(guī)則，范圍更大。二是視內(nèi)存大小來(lái)限制訪問(wèn)列表的總項(xiàng)數(shù)，如果超過(guò)此限制，不允許再增加新的表項(xiàng)，避免因訪問(wèn)列表項(xiàng)過(guò)多降低查表效率。

3. Cisco路由器訪問(wèn)列表控制的實(shí)施策略

在分析了路由器訪問(wèn)列表的基本原理與設(shè)計(jì)要點(diǎn)后，可以采用以下策略來(lái)實(shí)現(xiàn)Cisco路由器的訪問(wèn)列表控制：

3.1 Cisco路由器訪問(wèn)控制的安全配置

Cisco路由器中內(nèi)嵌IOS安全機(jī)制，增加了企業(yè)網(wǎng)絡(luò)的安全性，可以滿(mǎn)足一般企業(yè)互聯(lián)的需求，使網(wǎng)絡(luò)安全和管理技術(shù)得以提高。但是僅此一點(diǎn)是遠(yuǎn)遠(yuǎn)不夠的，保護(hù)路由器安全還需要網(wǎng)管員在配置和管理路由器過(guò)程中采取相應(yīng)的安全措施。

具體來(lái)說(shuō)，常用的安全配置包括：（1）嚴(yán)格控制可以訪問(wèn)路由器的管理員，任何一次維護(hù)都需要記錄備案；（2）盡量不要遠(yuǎn)程訪問(wèn)路由器，即使需要遠(yuǎn)程訪問(wèn)，也要使用訪問(wèn)控制列表和高強(qiáng)度的密碼控制；（3）嚴(yán)格控制CON端口的訪問(wèn)，切斷與CON口互聯(lián)的物理線路，改變默認(rèn)的連接屬性，修改波特率（默認(rèn)是96000，可以改為其他的）。（4）為進(jìn)入特權(quán)模式設(shè)置強(qiáng)壯的密碼，不采用enable password設(shè)置密碼，而采用enable secret命令，并啟用Service password-encryption。（5）BIOS的升級(jí)和備份，以及配置文件的備份使用FTP代替TFTP，并及時(shí)升級(jí)和修補(bǔ)IOS軟件。

3.2 Cisco路由器訪問(wèn)控制的具體實(shí)施

因篇幅限制，本文主要以標(biāo)準(zhǔn)訪問(wèn)列表為例，來(lái)分析Cisco路由器訪問(wèn)控制的具體實(shí)施。

第一，標(biāo)準(zhǔn)訪問(wèn)列表的數(shù)據(jù)結(jié)構(gòu)。

struct accstdinfo

{

u_intaction;/*0->permit，1->deny*/

u_long ipaddr; /*IP地址*/

u_long mask;/*屏蔽碼*/

struct accstdinfo next;/*指向標(biāo)準(zhǔn)訪問(wèn)列表項(xiàng)的指針*/

};

typedef struct accstdinfo*ACC_STD_INFO

ACC_STD_INFO acc_std_list[100];/*標(biāo)準(zhǔn)訪問(wèn)列表數(shù)組*/

第二，CACHE的數(shù)據(jù)結(jié)構(gòu)。

為了提高查表的效率，采用CACHE方式，每次查表先查CACHE尋找匹配。

struct accstdcache

{

u_long src_addr; /*數(shù)據(jù)包的原地址*/

u_long mask；/*屏蔽碼*/

u_int action;/*0->permit，l->deny*/

struct accstdcache *next;/*指向標(biāo)準(zhǔn)訪問(wèn)列CACHE表項(xiàng)的指針*/

}

typedef struct accstdcache*ACC_STD_CACHE;

第三，配置命令。

（1）建立標(biāo)準(zhǔn)訪問(wèn)列表或刪除標(biāo)準(zhǔn)訪問(wèn)列表

access_list [1-99] [permit|deny] ip-address mask

no access list [1-99]

（2）將標(biāo)準(zhǔn)訪問(wèn)列表應(yīng)用于接口酬冬訪問(wèn)列表從接口中移走

ip access-group[1-99][in|out]

no ip accees-group [1-99]

（3）顯示標(biāo)準(zhǔn)訪問(wèn)列表

show access-list [1-99]

3.3 Cisco路由器訪問(wèn)控制的實(shí)例分析

下面列舉了一些重要的訪問(wèn)列表控制實(shí)例：

（1）防范IP欺騙和欺騙路由器

access-list 1 deny 210.41.176.0.0.0.255

access-list 2 permit 210.41.176.0.0.0.255

將訪問(wèn)列表1用于wan連接ip access-group 1 in；將訪間列表2用于以太網(wǎng)接口，連接ip access-group 2 out。

（2）阻擊來(lái)自遠(yuǎn)程特定IP地址的訪問(wèn)：access-list 1 deny x.x.x.x x.x.x.x

（3）保護(hù)內(nèi)部特定主機(jī)：access-list 101 deny ip any host 210.41.176.1

（4）保護(hù)內(nèi)部所有主機(jī)的重要端口，如果保護(hù)用于文件和打印共享的端口，應(yīng)阻止進(jìn)入網(wǎng)絡(luò)的135、137、138、139的TCPT和UDP端口。

（5）阻止外部網(wǎng)絡(luò)用ping來(lái)探測(cè)網(wǎng)絡(luò)，可以用： access-list 101 deny icmp any any echo

阻止外部網(wǎng)絡(luò)用traceroute來(lái)探測(cè)網(wǎng)絡(luò)，可以用： access-list 102 deny icmp any any time-exceeded

參考文獻(xiàn)

[1]夏亮．強(qiáng)化Cisco路由器的安全配置[J].軟件導(dǎo)刊，2008(6)。

[2]趙清源．試論路由器的安全配置與安全維護(hù)[J] ．電腦與電信，2008年（3）。

[3]房莉．Cisco路由器的安全與加固[J]．黑龍江科技信息，2007年（22）。

[4]馬素剛．路由器安全訪問(wèn)策略設(shè)計(jì)與實(shí)現(xiàn)》，《西安郵電學(xué)院學(xué)報(bào)》，2007年（5）。

[5]王云．路由器訪問(wèn)列表與網(wǎng)絡(luò)安全[J]．陜西氣象，2006年（4）。

[6]伍樹(shù)乾．利用Cisco路由器的訪問(wèn)列表提高網(wǎng)絡(luò)安全[J]．華南金融電腦，2003年（1）。