當(dāng)前,市場上的安全路由器產(chǎn)品形態(tài)五花八門,這讓用戶在選擇安全路由器時更加迷惑,到底符合什么標(biāo)準(zhǔn)的路由器才算是安全路由器?究竟應(yīng)該看中的是哪一點安全?
其實,安全路由器是從功能方面定義的,用戶在選購產(chǎn)品時可以從路由器本身的可靠性和線路安全措施、身份認(rèn)證、數(shù)據(jù)加密、入侵檢測和防范以及安全管理等幾個方面來考慮。
從路由器的可靠性與線路安全方面來說,路由器設(shè)計接口時,必須有備份支持。當(dāng)主接口發(fā)生故障時,備份接口自動投入工作,保證網(wǎng)絡(luò)的正常運行;當(dāng)網(wǎng)絡(luò)流量增大時,備份接口又可以擔(dān)當(dāng)負(fù)載分擔(dān)的任務(wù)。
身份認(rèn)證可以分為兩種:一是針對訪問路由器方式、對端路由器和路由信息進行身份認(rèn)證;二是針對用戶的身份認(rèn)證,也就是訪問控制。路由器的訪問權(quán)限需要進行口令的分級保護,通過包過濾實現(xiàn)基于IP地址的訪問控制。在基于用戶的訪問控制方面,路由器也可以提供接入服務(wù)功能。通過對用戶設(shè)置特定的過濾屬性,可實現(xiàn)對接入用戶的訪問控制。此外,與對端路由器通信時,支持鏈路層的驗證如PPP認(rèn)證,通過地址轉(zhuǎn)換,可以做到隱藏網(wǎng)內(nèi)地址,只以公共地址的方式訪問外部網(wǎng)絡(luò)。除了內(nèi)部網(wǎng)絡(luò)首先發(fā)起的連接,網(wǎng)外用戶不能通過地址轉(zhuǎn)換直接訪問網(wǎng)內(nèi)資源。
通過對路由器所發(fā)送的報文進行加密,即使在Internet上進行傳輸,也能保證數(shù)據(jù)的私有性、完整性以及報文內(nèi)容的真實性。通過明文或者MD5加密算法對交互路由信息的雙方進行驗證,確保交互對象的合法身份,對路由信息進行策略控制,增加路由信息的安全可靠性。對于利用公網(wǎng)構(gòu)建VPN的情況,數(shù)據(jù)加密能夠保證通過隧道傳輸?shù)臄?shù)據(jù)安全。現(xiàn)在通行的做法是,采用內(nèi)嵌式設(shè)計方法,將加密模件內(nèi)化到路由器中。
針對端口掃描攻擊,一個安全的路由器必須具有良好的入侵檢測和防范功能,必要時要通過各種攻擊測試才能確認(rèn)路由器是否足夠安全。同時,路由器的安全運行涉及到越來越多的安全策略,有必要進行安全策略管理。 此外,路由器還可以通過日志、系統(tǒng)監(jiān)控結(jié)合SNMP形成對網(wǎng)絡(luò)的有效監(jiān)控并提供分析依據(jù)。(責(zé)任編輯:liucl)