唐海和 徐曉艷

【摘 要】路由器是一種將網(wǎng)絡(luò)互聯(lián)起來(lái)的硬件設(shè)施。路由器的主要作用即是將數(shù)據(jù)包的發(fā)送指明一個(gè)方向。在網(wǎng)絡(luò)設(shè)計(jì)中，路由器的正常運(yùn)轉(zhuǎn)牽系著整個(gè)客戶端的運(yùn)行良好與否。本文主要針對(duì)路由器進(jìn)行簡(jiǎn)要分析，將路由器的工作原理和網(wǎng)絡(luò)安全所要注意的問(wèn)題進(jìn)行簡(jiǎn)要分析，并集中對(duì)路由器概念和一些常見(jiàn)路由協(xié)議進(jìn)行簡(jiǎn)要分析。

【關(guān)鍵詞】路由器 工作原理 網(wǎng)絡(luò)安全

路由器，是一種將網(wǎng)絡(luò)互聯(lián)起來(lái)的硬件設(shè)施。將互聯(lián)網(wǎng)中的廣域網(wǎng)和局域網(wǎng)的設(shè)備有效連接起來(lái)，信道的選擇有兩種方式即設(shè)定路由和自動(dòng)選擇，發(fā)送信號(hào)的設(shè)備原則是順序是前后順序和最佳路徑。我們可以將路由這么來(lái)分析，將網(wǎng)絡(luò)通過(guò)相互連接之后，將所要傳達(dá)的信息從源地點(diǎn)移動(dòng)到目標(biāo)點(diǎn)的活動(dòng)。路由過(guò)程中信息一般會(huì)通過(guò)一個(gè)或者多個(gè)中間節(jié)點(diǎn)進(jìn)行傳遞，我們一般將交換和路由進(jìn)行相對(duì)的比較主要原因在于普通用戶對(duì)于兩者的實(shí)現(xiàn)功能視同一致的。但是兩者的主要區(qū)別在于路由器的數(shù)據(jù)交換在第三層即網(wǎng)絡(luò)層，而交換器數(shù)據(jù)的交換發(fā)生在數(shù)據(jù)鏈路層即第二層，這也就決定了對(duì)不同的控制信息在移動(dòng)信息過(guò)程中傳遞過(guò)程的不同，以及實(shí)現(xiàn)功能的差異性。

1路由器的發(fā)展

路由器TCP/IP發(fā)展由來(lái)是上個(gè)世紀(jì)的70年代中期美國(guó)國(guó)防部的ARPANET技術(shù)，軍方常用它連接不同的廣域網(wǎng)和局域網(wǎng)，它無(wú)法用交換機(jī)替代。后來(lái)的TCP/IP技術(shù)架構(gòu)逐漸被運(yùn)用在廣大高校和科研機(jī)構(gòu)當(dāng)中，成為事實(shí)上的一個(gè)標(biāo)準(zhǔn)。準(zhǔn)確地講，路由器的發(fā)展主要經(jīng)歷了五個(gè)階段：總線交換和集中轉(zhuǎn)發(fā)處于第一個(gè)階段；接口模塊化、總線交換和集中分布式轉(zhuǎn)發(fā)是處于第二階段；總線交換和分布轉(zhuǎn)發(fā)是處于第三階段；網(wǎng)線交換和ASIC分布轉(zhuǎn)發(fā)是第四階段；網(wǎng)線交換和網(wǎng)絡(luò)處理器分布轉(zhuǎn)發(fā)是第五個(gè)階段。

2 功能介紹

按照字面意思上講，路由器的主要作用就在于“路由”，也就是通常所說(shuō)的“向?qū)А弊饔?，即?shù)據(jù)包的發(fā)送指明一個(gè)方向。細(xì)細(xì)講來(lái)路由器的功能主要有路由選擇、分組轉(zhuǎn)發(fā)、防火墻功能。路由選擇即以IP地址為網(wǎng)絡(luò)地址部分為依據(jù)，對(duì)數(shù)據(jù)信息的算法進(jìn)行最佳路由的選擇；分組轉(zhuǎn)發(fā)即從選擇點(diǎn)進(jìn)行選擇之后的路由選擇路線結(jié)點(diǎn)進(jìn)行數(shù)據(jù)發(fā)出接收；防火墻功能即起到最起碼的基本防火墻功能，對(duì)內(nèi)部網(wǎng)絡(luò)的IP地址進(jìn)行有效屏蔽，對(duì)通信端口進(jìn)行過(guò)濾且對(duì)IP地址進(jìn)行自由的設(shè)定，保證網(wǎng)絡(luò)的安全穩(wěn)定性。

3 路由器的基本工作原理

路由器的主要構(gòu)成是路由表，路由表即對(duì)各種傳輸數(shù)據(jù)的相關(guān)數(shù)據(jù)的保存載體，主要使用在路由的選擇的時(shí)候。路由表的主要內(nèi)容有子網(wǎng)掩碼、目的網(wǎng)絡(luò)地址、發(fā)送接口和下一跳地址。路由表生存方式有動(dòng)態(tài)協(xié)議和手工動(dòng)態(tài)配置兩種。此外，路由表主要分為動(dòng)態(tài)和靜態(tài)的路由表，靜態(tài)路由表的重點(diǎn)在于系統(tǒng)管理員對(duì)于固定的路由表是事先設(shè)置好的，根據(jù)網(wǎng)絡(luò)配置情況預(yù)先將系統(tǒng)安裝是的狀況設(shè)定好，一般情況下是隨著未來(lái)的網(wǎng)絡(luò)結(jié)構(gòu)的改變而變化。動(dòng)態(tài)路由表，主要是指以網(wǎng)絡(luò)系統(tǒng)的運(yùn)行實(shí)際情況為基準(zhǔn)對(duì)路由器的路徑表進(jìn)行自動(dòng)調(diào)整，由選擇協(xié)議提供的功能對(duì)記憶網(wǎng)絡(luò)和自動(dòng)學(xué)習(xí)的運(yùn)行情況進(jìn)行實(shí)時(shí)數(shù)據(jù)傳輸最佳路徑的選擇。

路由協(xié)議通常有動(dòng)態(tài)路由和靜態(tài)路由兩種，動(dòng)態(tài)路由的主要協(xié)議包括OSPF（開(kāi)放式最短徑優(yōu)先）協(xié)議和RIP協(xié)議（路由信息協(xié)議）這兩種。RIP協(xié)議即信息選擇的標(biāo)準(zhǔn)，是主機(jī)與網(wǎng)關(guān)之間的交換器的信息選擇標(biāo)準(zhǔn)，作為一部網(wǎng)關(guān)協(xié)議RIP主要采用的算法有內(nèi)耳曼-福德距離向量算法，使用的是520端口的UDP協(xié)議，主要可以作為小型網(wǎng)絡(luò)設(shè)計(jì)。RIP主要是運(yùn)用大小適度的網(wǎng)絡(luò)和同類技術(shù)的共同工作。主要作用于局域網(wǎng)和校園網(wǎng)，但對(duì)于復(fù)雜的網(wǎng)絡(luò)情況并不是很復(fù)雜。OSPF（開(kāi)放式最短路徑優(yōu)先協(xié)議）也是一個(gè)內(nèi)部網(wǎng)關(guān)協(xié)議，鏈路狀態(tài)路由協(xié)議相比于RIP的距離矢量路由協(xié)議來(lái)講，作為典型的鏈路狀態(tài)的路由協(xié)議，只存在于同一個(gè)路由域內(nèi)。

4路由器的網(wǎng)絡(luò)安全

4.1 防火墻的網(wǎng)絡(luò)安全

主觀意見(jiàn)上的防火墻在信息化技術(shù)的層面是主要是指軟硬設(shè)施，是用來(lái)將內(nèi)部網(wǎng)絡(luò)和危險(xiǎn)網(wǎng)絡(luò)進(jìn)行隔離的設(shè)施，其設(shè)計(jì)依據(jù)就是以一定的規(guī)則通過(guò)其設(shè)定的報(bào)文，不被允許的報(bào)文是不被通過(guò)的，防火墻的本質(zhì)即是報(bào)文過(guò)濾技術(shù)。我們將防火墻進(jìn)行分類的時(shí)候，主要依據(jù)是報(bào)文過(guò)濾時(shí)所依據(jù)的規(guī)則，即靜態(tài)配置規(guī)則ASPF（應(yīng)用相關(guān)報(bào)文過(guò)濾技術(shù)）和ACL（網(wǎng)絡(luò)層報(bào)文過(guò)濾技術(shù)）兩種。

4.2 NAT的網(wǎng)絡(luò)安全設(shè)置

NAT的工作原理在于在經(jīng)過(guò)NAT網(wǎng)關(guān)時(shí)的公共網(wǎng)主機(jī)和私有網(wǎng)關(guān)主機(jī)的IP包，這其中的目的IP、公共IP和源IP進(jìn)行相互間的轉(zhuǎn)換。

4.3 路由器的安全設(shè)置分析

網(wǎng)絡(luò)黑客一般運(yùn)用攻擊路由器來(lái)侵入到用戶電腦中，路由器的漏洞是最容易引起網(wǎng)絡(luò)黑客注意的。之所以會(huì)導(dǎo)致網(wǎng)絡(luò)癱瘓，主要是因?yàn)槁酚善鞅还魰r(shí)會(huì)導(dǎo)致CPU周期加長(zhǎng)，使信息流量被大量的誤導(dǎo)。一個(gè)安全穩(wěn)定的路由器安全機(jī)制來(lái)保證路由器本身是遠(yuǎn)遠(yuǎn)不夠的，除此之外還需要管理器和配置的安全管理。

首先是對(duì)安全漏洞的圍追堵截，保證路由器安全的最有效的解決辦法是對(duì)系統(tǒng)物理訪問(wèn)的限制，在較短時(shí)間內(nèi)的閑置，讓終端和控制臺(tái)會(huì)話自動(dòng)的退出系統(tǒng)，而且重點(diǎn)在于調(diào)制解調(diào)器到路由器輔助端口進(jìn)行盡量的條件規(guī)避是重中之重。確保路由器安全補(bǔ)丁的最新?tīng)顟B(tài)，主要是對(duì)路由器物理訪問(wèn)的限制。黑客之所以容易攻破路由器，而且其主要期間在于供應(yīng)商發(fā)行補(bǔ)丁之前，網(wǎng)絡(luò)系統(tǒng)的不穩(wěn)定性造成了漏洞的出現(xiàn)和被攻擊。其次就是身份的安全性，黑客的攻擊手段一般采用的是默認(rèn)口令和弱口令，對(duì)于身份漏洞，一種更為有效的防治方法是加長(zhǎng)口令或者有效期在30-60天內(nèi)的口令的防治措施。用戶對(duì)于口令的加密功能主要應(yīng)該設(shè)置在路由器上，當(dāng)然其密文口令的破譯也依舊是需要的。實(shí)施的驗(yàn)證控制安全的進(jìn)行證書的傳輸主要是依靠路由器的，用戶在多數(shù)路由器上進(jìn)行協(xié)議的配置，通過(guò)協(xié)議的認(rèn)證對(duì)服務(wù)器進(jìn)行驗(yàn)證進(jìn)而訪問(wèn)驗(yàn)證和加密的訪問(wèn)。再次就是對(duì)于一些不必要服務(wù)的禁用，這樣可能會(huì)影響到路由器性能的CDP，但是不可或缺的就是對(duì)有效操作網(wǎng)絡(luò)的定時(shí)。即使用戶在進(jìn)行完部署之后，時(shí)鐘的部署也有可能不同步。針對(duì)這種情況，一般采用的是網(wǎng)絡(luò)協(xié)議服務(wù)，更重要的在于防火墻的非軍事區(qū)保護(hù)，再次加載一個(gè)NTP服務(wù)器，只需要向外面的服務(wù)器上提出相應(yīng)的請(qǐng)求即可。

5結(jié)語(yǔ)

在網(wǎng)絡(luò)設(shè)計(jì)中，路由器的正常運(yùn)轉(zhuǎn)牽系著整個(gè)客戶端的運(yùn)行良好與否。網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計(jì)的實(shí)現(xiàn)，必須融合一些新的技術(shù)進(jìn)去，只有這樣才能保證網(wǎng)絡(luò)環(huán)境適應(yīng)社會(huì)信息技術(shù)的發(fā)展，保證整個(gè)數(shù)據(jù)傳送到目標(biāo)地址而不被侵害。