文/李彥

首先，本文從路由器安全技術(shù)應(yīng)用的角度出發(fā)，提出構(gòu)建漏洞修補(bǔ)技術(shù)。為此，本文基于常見的網(wǎng)絡(luò)安全漏洞，設(shè)計了漏洞檢測框架，并簡要介紹了該框架的真實應(yīng)用場景。其次，本文從交換機(jī)安全技術(shù)應(yīng)用的角度出發(fā)，提出構(gòu)建ACL（訪問控制技術(shù)）交換機(jī)網(wǎng)絡(luò)安全訪問控制技術(shù)，針對性地設(shè)計網(wǎng)絡(luò)安全訪問控制網(wǎng)絡(luò)架構(gòu)，并分析其仿真應(yīng)用結(jié)果。

2017 年6 月，《中華人民共和國網(wǎng)絡(luò)安全法》正式實施，這說明，國家越來越重視網(wǎng)絡(luò)安全問題。為了更好地應(yīng)對互聯(lián)網(wǎng)快速發(fā)展帶來的網(wǎng)絡(luò)安全事件，相關(guān)部門應(yīng)聚焦于路由器漏洞修復(fù)和網(wǎng)絡(luò)安全訪問等方面，通過引進(jìn)新技術(shù)、專業(yè)技術(shù)人才等方式，及時化解網(wǎng)絡(luò)安全風(fēng)險，降低網(wǎng)絡(luò)安全事件的影響。

一、路由器漏洞修補(bǔ)技術(shù)

（一）漏洞檢測框架設(shè)計

現(xiàn)階段，常見的路由器安全漏洞有權(quán)限繞過漏洞、命令注入、后門賬戶和溢出攻擊等類型。目前，最為常見的攻擊形式有堆溢出攻擊和棧溢出攻擊兩種，二者均會制約程序和路由器的安全運(yùn)行。[1]基于此，本文借助污點(diǎn)跟蹤與模糊測試方法，在傳統(tǒng)測試方法的基礎(chǔ)上對D-Link 版本的路由器進(jìn)行改良，以求解決源代碼獲取難這一現(xiàn)實問題；應(yīng)用污點(diǎn)分析技術(shù)，對來源不可信的數(shù)據(jù)進(jìn)行檢測，進(jìn)而判定其是否存在惡意行為。[2]

（二）真實場景應(yīng)用

考慮到CGI 等格式的目標(biāo)文件的正常運(yùn)行通常離不開特殊環(huán)境變量的支持[3]，并且此種環(huán)境變量能夠為路由器用戶端線上傳輸和接收數(shù)據(jù)信息創(chuàng)造條件。因此，本文所述漏洞檢測框架的真實應(yīng)用場景必須綜合考量CGI 文件的取值過程，從而確保所獲得的數(shù)據(jù)的有效性。[4]

本文中，固件解析方法的作用對象為D-Link DCS-942L 路由器，具體應(yīng)用流程如下。（1）獲取管網(wǎng)固件信息并初步觀察固件，借助Binwalk 工具，輸出可視化結(jié)果和固件解析數(shù)據(jù)；（2）基于Binwalk 工具分析固件解析結(jié)果，明確未能完全解析的文件或系統(tǒng)存在的問題，并進(jìn)入下一個固件解析環(huán)節(jié)；（3）根據(jù)固件腳本特征，選用合適的數(shù)據(jù)觀察方案。以本文提出的漏洞檢測框架為例，與其真實應(yīng)用場景匹配度最高的數(shù)據(jù)觀察方法為hexdump，該方法對應(yīng)的是用于觀察固件開頭的Shell 腳本特征。為了驗證該漏洞檢測方法是否可行，本文從代碼覆蓋率、誤警率以及漏警率三個指標(biāo)出發(fā)，建立了驗證指標(biāo)體系，并落實相應(yīng)的測試工作。同時，為確保測試結(jié)果真實可靠，筆者分別將本文提出的漏洞檢測方法和Sulley（模糊測試工具）運(yùn)用于磊科NW774路由器和D-link DCS-942L 路由器，同時記錄并計算二者的代碼覆蓋率、誤警率及漏警率。[5]

1.代碼覆蓋率

筆者將Sulley 運(yùn)用于D-link DCS-942L 路由器后，采用模糊測試與采用污點(diǎn)跟蹤優(yōu)化后的模糊測試，得出的代碼覆蓋率分別為51.33%、46.67%；在同等條件下，本文提出的漏洞檢測方法，其模糊測試得出的代碼覆蓋率為75.11%。筆者將Sulley 運(yùn)用于磊科NW774 路由器后，采用模糊測試與采用污點(diǎn)跟蹤優(yōu)化后的模糊測試，得出的代碼覆蓋率分別為55.20%、48.99%；在同等條件下，本文提出的漏洞檢測方法，其模糊測試得出的代碼覆蓋率為69.89%。由此可見，在不同型號的路由器應(yīng)用場景下，后者的代碼覆蓋率均高于前者的代碼覆蓋率。

2.誤警率與漏警率

首先，筆者將Sulley 運(yùn)用于D-link DCS-942L 路由器后，計算得出的誤警率與漏警率分別為47.20%、43.97%；在同等條件下，本文提出的漏洞檢測方法得到的誤警率與漏警率分別為40.18%、40.13%。其次，筆者將Sulley 運(yùn)用于磊科NW774 路由器后，計算得到的誤警率與漏警率分別為39.24%、45.22%；在同等條件下，本文提出的漏洞檢測方法得到的誤警率與漏警率分別為32.10%、30.11%。這些指標(biāo)值足以證明本文提出的漏洞檢測方法更具可信度，科學(xué)性更高，可以在實際應(yīng)用中發(fā)揮積極作用。

二、ACL 交換機(jī)網(wǎng)絡(luò)安全訪問控制技術(shù)

（一）網(wǎng)絡(luò)安全訪問控制網(wǎng)絡(luò)架構(gòu)設(shè)計

通常，企業(yè)網(wǎng)絡(luò)安全架構(gòu)主要由接入層、匯聚層和核心層組成。其中，接入層是用戶訪問或面向終端的層結(jié)構(gòu)，其與終端相連接以完成業(yè)務(wù)通信和寬帶分配等指令。ACL 與目的設(shè)備的間距較短，且普遍置于接入層。同時，置于接入層的交換機(jī)屬于二層網(wǎng)絡(luò)結(jié)構(gòu)，具備即插即用等優(yōu)勢，能夠滿足內(nèi)部數(shù)據(jù)的交換和處理需求，后期維護(hù)及操作使用難度較低。匯聚層是承接接入層和核心層的層結(jié)構(gòu)，其主要負(fù)責(zé)匯聚、分發(fā)和傳輸接入層的數(shù)據(jù)。匯聚層中的ACL 同樣位于源設(shè)備附近，以實現(xiàn)協(xié)議轉(zhuǎn)換功能。匯聚層的交換機(jī)符合三層結(jié)構(gòu)特點(diǎn)，主要負(fù)責(zé)轉(zhuǎn)發(fā)三層路由器和網(wǎng)關(guān)。與接入層的交換機(jī)相比，匯聚層的交換機(jī)添加了匯聚等功能，性能更為強(qiáng)大。核心層主要負(fù)責(zé)路由表維護(hù)和數(shù)據(jù)轉(zhuǎn)發(fā)，其屬于主干部分，對所屬網(wǎng)絡(luò)安全訪問控制網(wǎng)絡(luò)架構(gòu)的整體性能影響深遠(yuǎn)。核心層的帶寬和吞吐量均為三層網(wǎng)絡(luò)架構(gòu)中的最大值，并且關(guān)聯(lián)甚廣。因此，合理設(shè)計核心層的網(wǎng)絡(luò)架構(gòu)是保障企業(yè)網(wǎng)絡(luò)安全的關(guān)鍵。

（1）從企業(yè)內(nèi)部劃分區(qū)域，運(yùn)行OSPF 協(xié)議以形成鏈路狀態(tài)。在路由器的支持下，企業(yè)員工均可通過Telnet 程序登錄自己的辦公賬號。其中，研發(fā)部和辦公室的員工可以根據(jù)業(yè)務(wù)需要訪問外網(wǎng)，進(jìn)而實現(xiàn)外網(wǎng)數(shù)據(jù)與內(nèi)網(wǎng)數(shù)據(jù)的安全流通，但財務(wù)部的員工無訪問外網(wǎng)的權(quán)限；財務(wù)部與辦公室的溝通主要通過基于OSPF 協(xié)議的組網(wǎng)區(qū)域來實現(xiàn)，且該組網(wǎng)區(qū)域的訪問形式僅限于HTTP 服務(wù)器，同樣無法訪問外網(wǎng)，從而確保企業(yè)內(nèi)部數(shù)據(jù)不被泄露；毫無疑問，研發(fā)部和財務(wù)部的對接同樣只能通過訪問HTTP 服務(wù)器來實現(xiàn)。

（2）將OSPF 區(qū)域進(jìn)一步劃分為Area0（A0）、Area1（A1）、Area2（A2）、Area3（A3）四個部分，各部分在OSPF 協(xié)議的支撐下緊密連接，進(jìn)而達(dá)到數(shù)據(jù)互通的目的。其中，A0 為組網(wǎng)核心部分，負(fù)責(zé)將企業(yè)內(nèi)部和財務(wù)部的路由器與研發(fā)部、辦公室的路由器相連接，以完成數(shù)據(jù)傳輸和協(xié)議轉(zhuǎn)換、包過濾源地址等指令；A1 是企業(yè)內(nèi)部與外部通信相連接的區(qū)域，主要負(fù)責(zé)保障目的地址和源地址的安全；A2、A3 均為企業(yè)內(nèi)部各部門通信區(qū)域，主要負(fù)責(zé)區(qū)域內(nèi)和跨區(qū)域的數(shù)據(jù)交互。

（3）在ACL 和Telnet 的雙重保障下，企業(yè)內(nèi)部擁有遠(yuǎn)程登錄權(quán)限的人員只能憑借個人IP 地址或者輸入提前設(shè)置好的密碼，才能獲得訪問企業(yè)內(nèi)部網(wǎng)絡(luò)的權(quán)限。如此一來，惡意登錄路由器等問題能夠得到有效解決，內(nèi)網(wǎng)數(shù)據(jù)也能實現(xiàn)閉環(huán)傳輸，企業(yè)內(nèi)部網(wǎng)絡(luò)的安全性明顯提升。此外，數(shù)據(jù)交換常出現(xiàn)于財務(wù)部與研發(fā)部之間，因此，該區(qū)域數(shù)據(jù)傳輸?shù)耐〞承允瞧髽I(yè)內(nèi)部網(wǎng)絡(luò)保持連續(xù)性和穩(wěn)定性的基礎(chǔ)。在具體操作過程中，企業(yè)可以在財務(wù)部與研發(fā)部的組網(wǎng)區(qū)域A3 中使用交換機(jī)，并設(shè)置二層結(jié)構(gòu)，建立MSTP+VRRP 綜合組網(wǎng)架構(gòu)，增加帶寬和冗余網(wǎng)絡(luò)。同時，為進(jìn)一步縮減資源占有率，企業(yè)還可以引入多線路模式，從而在降低因線路故障導(dǎo)致數(shù)據(jù)無法傳輸?shù)葐栴}的同時，避免影響負(fù)載均衡。

（二）仿真應(yīng)用

本文構(gòu)建的網(wǎng)絡(luò)安全訪問控制網(wǎng)絡(luò)架構(gòu)是基于OSPF 協(xié)議和ACL 規(guī)則來實現(xiàn)的，其網(wǎng)絡(luò)配置細(xì)則可概述為以下幾點(diǎn)。（1）內(nèi)部運(yùn)行網(wǎng)關(guān)協(xié)議，辦公室可訪問管理R1、R2、R3，財務(wù)部不可訪問外網(wǎng)。（2）采取區(qū)域認(rèn)證方式作用于A0，采取MSTP+VRRP 綜合組網(wǎng)架構(gòu)作用于A3。其中，VRRP 使用的協(xié)議數(shù)據(jù)包是目的IP 地址為224.0.0.18 的組播數(shù)據(jù)包。配置完成后，ACL 的生效順序為：在config 模式及auto 模式下，編號小的優(yōu)先級高。ACL6 的生效順序為：在config 模式下，編號小的優(yōu)先級高；在auto 模式下，排序靠前的優(yōu)先級高。當(dāng)ACL 作用于黑名單攻擊防護(hù)時，ACL6 可以直接過濾處理后的協(xié)議數(shù)據(jù)包，然后將處理好的數(shù)據(jù)發(fā)送至CPU。在系統(tǒng)視圖下，ACL6 能夠準(zhǔn)確接受并執(zhí)行命令，并轉(zhuǎn)至攻擊/防護(hù)視角。在此期間，黑名單由執(zhí)行命令創(chuàng)設(shè)，并可直接應(yīng)用于防護(hù)/攻擊策略。

在規(guī)劃好網(wǎng)絡(luò)拓?fù)鋱D后，筆者基于華為eNSP 軟件，在ACL 策略、單臂路由以及VLAN間通信的組合配置下，順利開展了仿真實驗。實驗結(jié)果顯示，本文設(shè)計的網(wǎng)絡(luò)接入方式能夠完善網(wǎng)絡(luò)基礎(chǔ)，且當(dāng)ACL 作用于核心層后，網(wǎng)絡(luò)健壯性和企業(yè)網(wǎng)絡(luò)訪問控制過程的安全性均得到有效提升。

三、結(jié)語

綜上所述，路由器和交換機(jī)的安全運(yùn)行與企業(yè)內(nèi)部網(wǎng)絡(luò)的安全性直接相關(guān)。因此，為了實現(xiàn)數(shù)據(jù)精準(zhǔn)傳輸和資源共享等功能，企業(yè)技術(shù)部門需要針對更深層次的路由器和交換機(jī)安全運(yùn)行技術(shù)展開研究，同時借助漏洞修補(bǔ)技術(shù)和ACL 等技術(shù)創(chuàng)設(shè)更加安全、健康、文明的網(wǎng)絡(luò)運(yùn)行環(huán)境。