摘要：本文分析了路由器的工作原理，對(duì)路由器在Internet中存在的安全隱患進(jìn)行了較詳細(xì)的分析，最后提出了一些防范的措施和思路。

關(guān)鍵詞：路由器；路由器安全；網(wǎng)絡(luò)安全；網(wǎng)絡(luò)攻擊

中圖分類號(hào)：TP393.05 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1674-7712 （2012） 14-0072-01

IP網(wǎng)絡(luò)監(jiān)控系統(tǒng)指的是基于網(wǎng)絡(luò)設(shè)備監(jiān)控系統(tǒng)和通信網(wǎng)絡(luò)技術(shù)的基礎(chǔ)上的監(jiān)控系統(tǒng)，這樣的監(jiān)控系統(tǒng)打破了以往的監(jiān)控模式，監(jiān)控地域的范圍從城市的一個(gè)地方擴(kuò)展到多個(gè)地方。通過此種遠(yuǎn)程監(jiān)控系統(tǒng)，使得許多的專業(yè)人員可以對(duì)遠(yuǎn)處的更多現(xiàn)場設(shè)備實(shí)施監(jiān)管，此類監(jiān)控工作和經(jīng)濟(jì)效益也得到了較大的提高。

一、引言

路由器用于連接的多個(gè)邏輯單獨(dú)的網(wǎng)絡(luò)。不同部分之間的數(shù)據(jù)傳輸數(shù)據(jù)時(shí)，路由器必須能夠完成轉(zhuǎn)移。因此，路由器具有判斷網(wǎng)絡(luò)地址和選擇的IP路徑功能（路由和尋址功能），多網(wǎng)絡(luò)互聯(lián)環(huán)境，它可以創(chuàng)建一個(gè)靈活的連接，可用完全不同的數(shù)據(jù)分組和介質(zhì)訪問方法連接各種子網(wǎng)絡(luò)中，路由器只接受源站或其他路由器是一個(gè)網(wǎng)絡(luò)層的互連設(shè)備的信息。它不關(guān)心各子網(wǎng)使用的硬件設(shè)備，但需要與網(wǎng)絡(luò)層協(xié)議軟件的操作和一致的。在現(xiàn)代網(wǎng)絡(luò)通信設(shè)備網(wǎng)絡(luò)路由器是最重要的，作為一個(gè)橋梁連接兩個(gè)不同的網(wǎng)段，所以這是非常重要的安全性。因此，路由器的安全性分析是網(wǎng)絡(luò)安全評(píng)估的重要手段。本文從分析的路由器在安全問題工作中存在的，和的措施和建議。

二、路由器的概念

路由器是在網(wǎng)絡(luò)層提供多個(gè)獨(dú)立的子網(wǎng)間連接服務(wù)的一種存貯/轉(zhuǎn)發(fā)設(shè)備。它的基本功能包括：接收和傳送數(shù)據(jù)報(bào)表，出錯(cuò)時(shí)能生成ICMP報(bào)文，丟棄那些TTL到0的數(shù)據(jù)報(bào)，需要時(shí)對(duì)數(shù)據(jù)報(bào)分組，以適合下一個(gè)網(wǎng)絡(luò)的MTU·進(jìn)行路由選擇，根據(jù)路由表為每個(gè)數(shù)據(jù)報(bào)選擇下一個(gè)節(jié)點(diǎn)。

三、網(wǎng)絡(luò)應(yīng)用環(huán)境對(duì)路由器提出的安全要求

為了讓合法信息完整、及時(shí)、安全地從源轉(zhuǎn)發(fā)到目的地，網(wǎng)絡(luò)應(yīng)用環(huán)境對(duì)路由器提出如下的安全要求：

防火墻功能模塊路由器的包過濾能力，過濾和檢查所有接收和轉(zhuǎn)發(fā)數(shù)據(jù)包，檢查政策的變化。還可以利用路由器的NAT / PAT功能隱藏在網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)，更加復(fù)雜的應(yīng)用層網(wǎng)關(guān)（ALG）功能。有些路由器提供了基于數(shù)據(jù)包的內(nèi)容保護(hù)。其原理是，當(dāng)數(shù)據(jù)包通過路由器，防火墻功能模塊可以比較的數(shù)據(jù)包與指定的訪問規(guī)則，如果規(guī)則允許的數(shù)據(jù)包將接受檢查，否則報(bào)文，直接丟棄。如果包是用來打開一個(gè)新的控制或數(shù)據(jù)連接，保護(hù)模塊會(huì)動(dòng)態(tài)地修改或創(chuàng)建規(guī)則來更新狀態(tài)表的同時(shí)，讓新創(chuàng)建的連接的數(shù)據(jù)包。返回的數(shù)據(jù)包只屬于一個(gè)有效的連接已經(jīng)存在，將被允許通過。

入侵檢測技術(shù)：安全體系結(jié)構(gòu)，入侵檢測（IDS）是一個(gè)非常重要的技術(shù)，有些路由器和高端交換機(jī)的IDS功能模塊。內(nèi)置入侵檢測模塊需要一個(gè)路由器端口鏡像和報(bào)文的統(tǒng)計(jì)信息支持功能。

及時(shí)性：可以轉(zhuǎn)發(fā)的路由器，確保網(wǎng)絡(luò)信息的要求，及時(shí)轉(zhuǎn)發(fā)時(shí)間超出安全處理。抵御攻擊的路由器有能力抵御網(wǎng)絡(luò)攻擊。

四、提高路由器安全性的方法

目前提高路由器安全性的途徑可以分為兩類：一類是通過技術(shù)手段，在普通路由器中添加安全模塊，加強(qiáng)路由器的安全設(shè)計(jì)，來提高其安全性；另外一類就是借助管理手段，不斷加強(qiáng)對(duì)路由器的安全管理。

（一）加強(qiáng)路由器的安全設(shè)計(jì)

為了使路由器將完成合法的信息及時(shí)，安全地轉(zhuǎn)發(fā)到目的地，你可以添加一個(gè)安全模塊的路由器，使路由器和安全設(shè)備融合的趨勢(shì)。從本質(zhì)上講，以增加的安全模塊的路由器，路由器的功能實(shí)現(xiàn)與普通的路由器沒有區(qū)別。不同的是，在路由器中添加安全模塊可以提高通過技術(shù)手段，如加密，身份認(rèn)證，信息安全，有效的協(xié)調(diào)與特殊安全設(shè)備，以提高路由器的鏈路層安全：的WAN PPP認(rèn)證和EAP-TLS以太網(wǎng)，IEEE 802.1X，MAC地址/端口綁定，VLAN隔離和EAP-TLS，抵御DoS攻擊，通過行車速度的限制設(shè)置的閾值，在交通高峰期。

網(wǎng)絡(luò)層和傳輸層安全協(xié)議IPSec協(xié)議，AH/ ESP / IKE，3DES等；包過濾基于IP，基于TCP/ UDP報(bào)文頭中的選項(xiàng)過濾ICMP包過濾處理各類；網(wǎng)絡(luò)處理器實(shí)現(xiàn)分類和過濾功能，以確保線速。

路由安全性：OSPF/BGP/RIP2/IS-IS/RSVP/LDP支持多種身份驗(yàn)證方法（明文認(rèn)證未認(rèn)證，HMAC-MD5認(rèn)證）啟用的身份驗(yàn)證機(jī)制，以保護(hù)路由信息的正確性，并在同一時(shí)間不會(huì)影響路由器的路由的功能。

應(yīng)用層安全：防火墻模塊。防火墻功能模塊路由器的包過濾功能，過濾和檢查所有的接收和轉(zhuǎn)發(fā)數(shù)據(jù)包。

（二）增強(qiáng)路由器的安全管理

保護(hù)路由器自身安全的手段主要包括物理訪問、登錄賬號(hào)、軟件防護(hù)、遠(yuǎn)程管理以及相應(yīng)的配置操作。

五、如何預(yù)防路由器遭攻擊

1.去掉不必要的計(jì)算機(jī)協(xié)議：將NETBIOS關(guān)閉，避免針對(duì)NETBIOS的攻擊。

2.禁用一些不重要的服務(wù)：無論是路由器、服務(wù)器和任務(wù)站上的不需要的服務(wù)都要禁用。在有些路由器中經(jīng)過網(wǎng)絡(luò)操作系統(tǒng)默許地供應(yīng)一些服務(wù)，chargen和discard。

3.禁用Ping命令：IIPSec 策略是用來配置 IPSec 安全服務(wù)?？梢酝ㄟ^系統(tǒng)中提供的“IP 安全策略”管理單元來為 Active Directory 中的計(jì)算機(jī)定義 IPSec 策略。

4.禁用IP路由和IP重新定向：重新定向允許數(shù)據(jù)包從一個(gè)接口進(jìn)來然后從另一個(gè)接口出去。你不需要把精心設(shè)計(jì)的數(shù)據(jù)包重新定向到專用的內(nèi)部網(wǎng)路。

六、結(jié)束語

路由器中許多與安全相關(guān)的復(fù)雜的數(shù)據(jù)包處理后，性能必然下降，建立一個(gè)高端路由器為核心的網(wǎng)絡(luò)處理器（NP）。網(wǎng)絡(luò)處理器能夠更好地解決高端路由器市場的容量和性能之間的矛盾，同時(shí)也能適應(yīng)快速變化的網(wǎng)絡(luò)安全特性，代表未來發(fā)展方向的路由器之一。

參考文獻(xiàn)：

[1]周德澤，袁南兒，應(yīng)英.計(jì)算機(jī)智能監(jiān)測控制系統(tǒng)的設(shè)計(jì)及應(yīng)用[M].北京：清華大學(xué)出版社，2002，1，1-161.

[2]謝希仁.計(jì)算機(jī)網(wǎng)絡(luò)[M].北京：電子工業(yè)出版社，2008.

[3]http：//baike.baidu.com/view/1360.htm

[作者簡介]譚再峰（1976.6-），男，湖北恩施，現(xiàn)為恩施職業(yè)技術(shù)學(xué)院計(jì)算機(jī)與信息工程系助講，計(jì)算機(jī)軟件開發(fā)專業(yè)。