【摘 要】本文主要對(duì)路由器內(nèi)部組件及工作原理、工作內(nèi)容、路由距離向量算法和鏈路狀態(tài)算法工作原理和區(qū)別進(jìn)行了詳盡論述，在對(duì)路由器各個(gè)環(huán)節(jié)進(jìn)行充分分析后，提出維護(hù)路由器安全的幾點(diǎn)做法，達(dá)到安全有效使用路由器的目的。

【關(guān)鍵詞】路由器 工作原理 安全維護(hù)

連接多個(gè)網(wǎng)絡(luò)或網(wǎng)段的網(wǎng)絡(luò)設(shè)備稱作路由器，它能將不同網(wǎng)絡(luò)或網(wǎng)段之間的數(shù)據(jù)信息進(jìn)行“翻譯”，從而使它們能夠相互“讀”懂對(duì)方的數(shù)據(jù)，并能夠以最快的速度選擇信息傳送線路，提高通信速度，減輕網(wǎng)絡(luò)系統(tǒng)通信負(fù)荷，達(dá)到節(jié)約網(wǎng)絡(luò)系統(tǒng)資源，提高網(wǎng)絡(luò)系統(tǒng)暢通率的目的。

一、路由器的內(nèi)部組成及工作原理

路由器是在IP協(xié)議網(wǎng)絡(luò)層實(shí)現(xiàn)子網(wǎng)之間轉(zhuǎn)發(fā)數(shù)據(jù)的設(shè)備。路由器內(nèi)部分別由控制平面和數(shù)據(jù)通道組成。在控制平面上，路由協(xié)議可以有不同的類型，根據(jù)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)動(dòng)態(tài)生成路由表。路由器通過路由協(xié)議交換網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)信息，依照拓?fù)浣Y(jié)構(gòu)動(dòng)態(tài)生成路由表。在數(shù)據(jù)通道上，轉(zhuǎn)發(fā)引擎從輸入線路接收IP包后，分析與修改包頭，使用轉(zhuǎn)發(fā)表查找輸出端口，把數(shù)據(jù)交換到輸出線路上。轉(zhuǎn)發(fā)表是根據(jù)路由表生成的，其表項(xiàng)和路由表項(xiàng)有直接對(duì)應(yīng)關(guān)系，但轉(zhuǎn)發(fā)表的格式和路由表的格式不同，它更適合實(shí)現(xiàn)快速查找。IP協(xié)議把整個(gè)網(wǎng)絡(luò)劃分為管理區(qū)域，這些管理區(qū)域稱為自治域，自治域區(qū)號(hào)實(shí)行全網(wǎng)統(tǒng)一管理。這樣就由域內(nèi)協(xié)議和域間協(xié)議組成路由協(xié)議。轉(zhuǎn)發(fā)的主要流程包括線路輸入、包頭分析、數(shù)據(jù)存儲(chǔ)、包頭修改和線路輸出。

二、路由器的工作內(nèi)容

首先路由器支持各種局域網(wǎng)和廣域網(wǎng)接口，主要用于把局域網(wǎng)和廣域網(wǎng)相互連接，從而實(shí)現(xiàn)不同網(wǎng)絡(luò)互相通信；其次路由器提供包括分組過濾、分組轉(zhuǎn)發(fā)、優(yōu)先級(jí)、復(fù)用、加密、壓縮和防火墻等功能；最后路由器可以實(shí)現(xiàn)配置管理、性能管理、容錯(cuò)管理和流量控制等功能。

三、路由距離向量算法和鏈路狀態(tài)算法工作原理和區(qū)別

路由算法按照種類可分為以下幾種：靜態(tài)和動(dòng)態(tài)、單路和多路、平等和分級(jí)、源路由和透明路由、域內(nèi)和域間、鏈路狀態(tài)和距離向量。距離向量算法（也稱為Bellman-Ford算法）要求每個(gè)路由器發(fā)送其路由表全部或部分信息，但僅發(fā)送到鄰近結(jié)點(diǎn)上。鏈路狀態(tài)算法（也稱最短路徑算法）則發(fā)送路由信息到互聯(lián)網(wǎng)上所有的結(jié)點(diǎn)，然而對(duì)于每個(gè)路由器，只發(fā)送它的路由表中描述了其自身鏈路狀態(tài)的那一部分。

從本質(zhì)上來說，距離向量算法發(fā)送大量更新信息至鄰接路由器，而鏈路狀態(tài)算法將少量更新信息發(fā)送至網(wǎng)絡(luò)各處，由于距離向量算法容易易產(chǎn)生路由循環(huán)，而鏈路狀態(tài)算法收斂更快，所以更能克服這一問題?？墒?，距離向量算法比鏈路狀態(tài)算法在CPU能力和內(nèi)存空間上相對(duì)要求更低，因此鏈路狀態(tài)算法將會(huì)在實(shí)現(xiàn)時(shí)顯得更昂貴一些。這就是距離向量算法和鏈路狀態(tài)算法的主要區(qū)別，除過這些，這兩種算法在大多數(shù)環(huán)境下都能很好地運(yùn)行。

四、維護(hù)路由器安全的做法

由于路由器作為一種信息傳輸工具，存在各種不可避免的漏洞，所以就有黑客利用路由器的漏洞發(fā)起攻擊，而攻擊的結(jié)果會(huì)浪費(fèi)CPU周期，誤導(dǎo)信息流量，使網(wǎng)絡(luò)異常甚至陷入癱瘓，給各種數(shù)據(jù)造成安全隱患，因此需要采取相應(yīng)的安全措施來保護(hù)路由器的安全。主要做法有

（一）嚴(yán)格口令保密，加強(qiáng)口令加密

據(jù)卡內(nèi)基梅隆大學(xué)的CERT/CC（計(jì)算機(jī)應(yīng)急反應(yīng)小組/控制中心）稱，80%的安全突破事件是由薄弱的口令引起的。黑客常常利用弱口令或默認(rèn)口令進(jìn)行攻擊。加長口令、選用30到60天的口令有效期等措施有助于這類漏洞的產(chǎn)生。

（二）阻止Smurf攻擊

Smurf攻擊是一種拒絕服務(wù)攻擊。在這種攻擊中，攻擊者使用假冒的源地址向你的網(wǎng)絡(luò)廣播地址發(fā)送一個(gè)“ICMP echo”請求。這要求所有的主機(jī)對(duì)這個(gè)廣播請求做出回應(yīng)。這種情況會(huì)降低網(wǎng)絡(luò)性能。使用no ip source-route關(guān)閉IP直接廣播地址。

（三）對(duì)不必要的本地服務(wù)實(shí)行禁用

強(qiáng)調(diào)路由器的安全性就不得不禁用一些不必要的本地服務(wù)，例如SNMP和DHCP這些用戶很少用到的服務(wù)，都可以禁用，只有絕對(duì)必要的時(shí)候才使用。另外，可能時(shí)關(guān)閉路由器的HTTP設(shè)置，因?yàn)镠TTP使用的身份識(shí)別協(xié)議相當(dāng)于向整個(gè)網(wǎng)絡(luò)發(fā)送一個(gè)未加密的口令。然而，HTTP協(xié)議中沒有一個(gè)用于驗(yàn)證口令或者一次性口令的有效規(guī)定。

（四）限制邏輯訪問的措施

限制邏輯訪問主要借助于合理處置訪問控制列表，限制遠(yuǎn)程終端會(huì)話有助于防止黑客獲得系統(tǒng)邏輯訪問。SSH是優(yōu)先的邏輯訪問方法，但如果無法避免Telnet，不妨使用終端訪問控制，以限制只能訪問可信主機(jī)。因此，用戶需要給Telnet在路由器上使用的虛擬終端端口添加一份訪問列表。

（五）取消遠(yuǎn)程用戶接收ping請求的應(yīng)答能力

控制消息協(xié)議（ICMP）有助于排除故障，識(shí)別正在使用的主機(jī)，這樣為攻擊者提供了用來瀏覽網(wǎng)絡(luò)設(shè)備、確定本地時(shí)間戳和網(wǎng)絡(luò)掩碼以及對(duì)OS修正版本做出推測的信息。因此通過取消遠(yuǎn)程用戶接收ping請求的應(yīng)答能力，就能更容易的避開那些無人注意的掃描活動(dòng)或者防御那些尋找容易攻擊的目標(biāo)的“腳本小子”（script kiddies）。

（六）對(duì)IP源路由實(shí)行關(guān)閉

IP協(xié)議允許一臺(tái)主機(jī)指定數(shù)據(jù)包通過你的網(wǎng)絡(luò)路由，而不是允許網(wǎng)絡(luò)組件確定最佳的路徑。這個(gè)功能的合法應(yīng)用是診斷連接故障。但是，這種用途應(yīng)用的很少，實(shí)際上，它最常見的用途是為了偵察目的對(duì)網(wǎng)絡(luò)進(jìn)行鏡像，或者用于攻擊者在專用網(wǎng)絡(luò)中尋找一個(gè)后門。除非指定這項(xiàng)功能只能用于診斷故障，否則應(yīng)該關(guān)閉這個(gè)功能。

（七）對(duì)路由器進(jìn)行監(jiān)控配置實(shí)時(shí)更改

用戶在對(duì)路由器配置進(jìn)行改動(dòng)之后，需要對(duì)其進(jìn)行監(jiān)控。如果用戶使用SNMP，那么一定要選擇功能強(qiáng)大的共用字符串，最好是使用提供消息加密功能的SNMP。如果不通過SNMP管理對(duì)設(shè)備進(jìn)行遠(yuǎn)程配置，用戶最好將SNMP設(shè)備配置成只讀。拒絕對(duì)這些設(shè)備進(jìn)行寫訪問，用戶就能防止黑客改動(dòng)或關(guān)閉接口。 此外，用戶還需將系統(tǒng)日志消息從路由器發(fā)送至指定服務(wù)器。

通過以上論述，路由器在網(wǎng)絡(luò)中起著至關(guān)重要的作用，它在網(wǎng)絡(luò)層上工作，網(wǎng)絡(luò)上的各個(gè)數(shù)據(jù)包的目的地址都由它確定，并將數(shù)據(jù)包發(fā)往通向目的地的最短路徑上，同時(shí)路由器還可以過濾數(shù)據(jù)包。

參考文獻(xiàn)：

[1]尚曉航等.Internet 技術(shù)與應(yīng)用.中國鐵道出版社.2007年.