安全路由器:支撑起安全网络架构
来源:中国计算机报 更新时间:2007-08-12
网络安全设备仅有防火墙、IDS、防病毒、VPN产品吗?这些安全系统并不能保证网络系统的整体安全,很多网络瘫痪都与路由器有关。
  
  将防火墙与VPN加密技术应用到路由器之中,使它成为一个新的安全设备,遂成为一种新的安全解决之道。
  
  提起网络安全,我们马上想到的是防火墙和防病毒,其实许多网络瘫痪都与路由器有关。我们不妨把网络的安全问题分为控制层和数据层两个层面。控制层所考虑的问题是如何确保数据从源端发送到正确的目的端。也就是说,路由器能对进入报文的去向做出正确的决策。这好比邮局的邮件分拣系统,要保证信件被送到正确的目的地。数据层的任务则是确保数据在传播时不被窃听、篡改或冒充。
  
  安全路由器的安全功能也可以按照上面的思路进行划分。通过对路由信息附加验证而实现安全的路由协议属于控制层;对转发的用户数据进行加密、验证、封装,使其可以在网络上安全地传输则属于数据层。另外,各种预防路由器本身收到攻击的措施也属于控制层。
  
  链路加密:单链路安全
  
  早期的路由器采用的是链路加密技术。两个直接相连的路由器,数据分组在离开其中一台路由器时被加密,在到达另一台路由器时被解密。这样,数据在这条链路上传输时就不会被第三方偷听,第三方也很难篡改或加入伪造的数据。对数据的加密/解密操作,一开始是由专用的加密机完成的,后来,这部分功能被集成到路由器中,这就是原始的安全路由器。但当数据的传输超出这条链路时,这种安全措施就无能为力了。
  
  隧道技术:传输层安全
  
  到了上世纪90年代,由于网络规模的扩大,网络的安全问题也变得越来越复杂,其原因之一在于,很多位于网络的主机存在安全缺陷,比如缺乏严格的认证方式,网络协议在设计上缺乏足够的安全性,没有提供加密和认证机制等。
  
  这时,路由器作为网络上的主要设备,也受到过各种恶意攻击。其中最常见的就是,非法用户通过破译密码进入路由器的操作系统,修改路由器的基本设置,使其发出错误的路由信息。一些黑客也可以非法截获路由信息和IP数据包,然后进行信息篡改,使整个网络瘫痪。还有一种是向路由器发送虚假信息,阻塞路由器的正常服务,从而导致瘫痪,这就是针对路由器的拒绝服务攻击(DoS)。这些问题都是由路由器自身软件的缺陷造成的,比如系统漏洞,就是我们俗称的“后门”。因此,路由器厂家采用了新的安全技术来解决这些问题。
  
  针对这些安全问题,新的隧道技术出现了,它可以解决数据跨越Internet传输时的安全问题。与链路加密不同,隧道技术通常在网络层甚至更高的层次操作,这样,隧道就可以跨越多个链路。常见的隧道技术有L2TP和PP2P,这些隧道技术被广泛用于搭建VPN。
  
  
  路由器安全技术历程
  
  路由协议:阻挡路由攻击
  
  隧道技术解决了用户数据在网络上传输的安全问题,而要确保数据能被正确地转发,就涉及到了路由协议的安全性。原有的路由协议(比如RIP)对所收到的路由信息不做任何检查与认证,攻击者很容易把自己伪装成一台路由器,并向网络中其他的路由器发送假的路由信息,这些非法的路由信息会通过路由器之间的路由信息进行交换,从而扩展到整条路径。安全的路由协议是对现有路由协议的扩展。安全的路由协议之间交换的路由信息要附加认证,这使得虚假的路由信息难以蒙混过关而进入路由表并扩散到整个网络,从而有效地避免了路由攻击的风险。目前Internet上最常用的路由协议OSPFv2版本和BGP-4都提供了认证机制。
  
  IPSec:实现全面安全
  
  隧道加密和安全的路由协议从数据层和控制层确保了网络的安全。而目前很多路由器厂商在产品中提供的多是IPSec协议。
  
  IPSec协议套件是为Internet上用户数据传输提供安全保障的一整套方案。整个套件包括多个标准,其中有规定对数据报文进行封装的各种格式的标准;有对报文进行加密和附加认证信息所采用算法的各种标准;有规定IP协议栈如何处理报文、对报文实施安全策略的标准。除此之外,还定义了密钥交换协议IKE,来为通信双方协商密钥。
  
  IPSec为报文传输提供的安全机制是通过安全联盟(SA,Security Association)实现的。对什么样的报文采用什么样的安全措施,是由安全策略(SP,Security Policy)决定的。通过定义安全策略和配置相应的SA,可以实现VPN和防火墙的功能。
  
  随着下一代网络IP协议标准的制定,IPv6也被加入了安全功能。IPv6弥补了IPv4在很多设计上的缺陷,增加了新的功能。它要求任何实现IPv6的路由器都必须强制实现IPSec,所以一旦IPv6开始部署,其路由器必定具备一定的安全功能。
  
  多种思路发展安全路由器
  
  众多路由器厂商对于是否在路由器中添加功能已经达成了共识,越来越多的路由器都具有了一定的安全功能。目前,市场上的安全路由器产品一般分成具有VPN、防火墙或配置加密卡的方式,其产品的功能和性能也就各不相同。可以说如何提供一个安全的网络建设方案,已经成为各大厂商争夺市场的筹码。比如Cisco的SAFE安全解决方案中,就融合了多种设备的安全联动,而不是简简单单的一两款安全产品。当然,Cisco的路由器对安全提供了完善的支持,包括Radius(防止未经授权的访问),PPTP(提供VPN服务),Kerberos(通过第三方提供的认证服务来确认用户的身份),IPSec/IKE,访问控制列表(ACL)等,成为网络安全非常重要的一个部分。还有一些厂商将防火墙与VPN的功能作为一个安全模块加入到路由器当中,成为我们通用的安全路由器,如凯创公司和迈普公司等。
  
  众多厂商采用VPN技术是因为它为用户提供了一种通过公用网络安全地对企业内部专用网络进行远程访问的连接方式。它采用隧道作为传输通道,这个隧道是建立在公共网络或专用网络基础之上的,如Internet或Intranet。搭建VPN的目的在于解决隐秘数据在公共网络或专有网络上传输时安全性较低的问题。比如,一个企业利用公共网络连接两个子公司,数据在公司内部传输被认为是安全的,而数据在两个子公司之间传输时就无法确保其不被偷听、篡改或冒充。在两个子公司之间铺设专用线路的代价又过于高昂。这时采用VPN技术,在两个子公司之间建立一条安全的数据隧道,既利用了原有的网络设施,降低了成本,又满足所需的安全性。所以,它特别适合远程办公的分支机构与总部进行信息互连,很多安全路由器都针对这方面的需求作了加强。
  
  防火墙主要用来防止不安全数据、恶意数据和非法数据流入某个内部网络,可以在很大程度上降低子网被攻击的可能性,所以,支持防火墙功能,成为面向接入的路由器的重要功能之一。
  
  而国内的路由器厂家如华为、博达、迈普和华正天网公司等,则从安全加密角度对路由器进行加密,成为安全加密路由器。从技术角度来说,加密是一个完整的流程,相对不加密来说,必然要附加一些动作,因此,效率的降低也是必然的,所以会对路由器的整体性能产生影响。而厂家在设计产品时也考虑到了这一层,因此在产品中安装了加速卡,在保密和效率之间进行了有效的平衡。
  
  --------------------------------------------------------------------------------
  
  专用区别通用
  
  安全路由器是在通用路由器上配置了具有特殊安全功能的专用路由器。
  
  与通用的路由器相比,它采用了一些新的安全技术,最突出的就是将IPSec协议标准融入到产品中。另外,安全路由器内置了传统的VPN和防火墙技术,具有包过滤功能,使流经路由器的信息更加安全可靠。一些安全路由器还在产品中加装了专用的加密卡,提供密钥交换技术和身份认证功能,弥补了通用路由器的不安全性问题。
  
  从两者在网络中的工作位置来看,通用路由器主要是承担路由包的转发功能,所以可以工作在各种网络之中,既可以在核心层,也可以在汇聚层。由于加入了安全功能,所以安全路由器的路由性能要求不像通用路由器那样高。因此,市场上的安全路由器主要是为中小型网络和大型网络的分支机构设计的,它属于边缘接入路由器。