將防火墻與VPN加密技術應用到路由器之中,使它成為一個新的安全設備,遂成為一種新的安全解決之道。
提起網絡安全,我們馬上想到的是防火墻和防病毒,其實許多網絡癱瘓都與路由器有關。我們不妨把網絡的安全問題分為控制層和數據層兩個層面。控制層所考慮的問題是如何確保數據從源端發送到正確的目的端。也就是說,路由器能對進入報文的去向做出正確的決策。這好比郵局的郵件分揀系統,要保證信件被送到正確的目的地。數據層的任務則是確保數據在傳播時不被竊聽、篡改或冒充。
安全路由器的安全功能也可以按照上面的思路進行劃分。通過對路由信息附加驗證而實現安全的路由協議屬于控制層;對轉發的用戶數據進行加密、驗證、封裝,使其可以在網絡上安全地傳輸則屬于數據層。另外,各種預防路由器本身收到攻擊的措施也屬于控制層。
鏈路加密:單鏈路安全
早期的路由器采用的是鏈路加密技術。兩個直接相連的路由器,數據分組在離開其中一臺路由器時被加密,在到達另一臺路由器時被解密。這樣,數據在這條鏈路上傳輸時就不會被第三方偷聽,第三方也很難篡改或加入偽造的數據。對數據的加密/解密操作,一開始是由專用的加密機完成的,后來,這部分功能被集成到路由器中,這就是原始的安全路由器。但當數據的傳輸超出這條鏈路時,這種安全措施就無能為力了。
隧道技術:傳輸層安全
到了上世紀90年代,由于網絡規模的擴大,網絡的安全問題也變得越來越復雜,其原因之一在于,很多位于網絡的主機存在安全缺陷,比如缺乏嚴格的認證方式,網絡協議在設計上缺乏足夠的安全性,沒有提供加密和認證機制等。
這時,路由器作為網絡上的主要設備,也受到過各種惡意攻擊。其中最常見的就是,非法用戶通過破譯密碼進入路由器的操作系統,修改路由器的基本設置,使其發出錯誤的路由信息。一些黑客也可以非法截獲路由信息和IP數據包,然后進行信息篡改,使整個網絡癱瘓。還有一種是向路由器發送虛假信息,阻塞路由器的正常服務,從而導致癱瘓,這就是針對路由器的拒絕服務攻擊(DoS)。這些問題都是由路由器自身軟件的缺陷造成的,比如系統漏洞,就是我們俗稱的“后門”。因此,路由器廠家采用了新的安全技術來解決這些問題。
針對這些安全問題,新的隧道技術出現了,它可以解決數據跨越Internet傳輸時的安全問題。與鏈路加密不同,隧道技術通常在網絡層甚至更高的層次操作,這樣,隧道就可以跨越多個鏈路。常見的隧道技術有L2TP和PP2P,這些隧道技術被廣泛用于搭建VPN。
路由器安全技術歷程
路由協議:阻擋路由攻擊
隧道技術解決了用戶數據在網絡上傳輸的安全問題,而要確保數據能被正確地轉發,就涉及到了路由協議的安全性。原有的路由協議(比如RIP)對所收到的路由信息不做任何檢查與認證,攻擊者很容易把自己偽裝成一臺路由器,并向網絡中其他的路由器發送假的路由信息,這些非法的路由信息會通過路由器之間的路由信息進行交換,從而擴展到整條路徑。安全的路由協議是對現有路由協議的擴展。安全的路由協議之間交換的路由信息要附加認證,這使得虛假的路由信息難以蒙混過關而進入路由表并擴散到整個網絡,從而有效地避免了路由攻擊的風險。目前Internet上最常用的路由協議OSPFv2版本和BGP-4都提供了認證機制。
IPSec:實現全面安全
隧道加密和安全的路由協議從數據層和控制層確保了網絡的安全。而目前很多路由器廠商在產品中提供的多是IPSec協議。
IPSec協議套件是為Internet上用戶數據傳輸提供安全保障的一整套方案。整個套件包括多個標準,其中有規定對數據報文進行封裝的各種格式的標準;有對報文進行加密和附加認證信息所采用算法的各種標準;有規定IP協議棧如何處理報文、對報文實施安全策略的標準。除此之外,還定義了密鑰交換協議IKE,來為通信雙方協商密鑰。
IPSec為報文傳輸提供的安全機制是通過安全聯盟(SA,Security Association)實現的。對什么樣的報文采用什么樣的安全措施,是由安全策略(SP,Security Policy)決定的。通過定義安全策略和配置相應的SA,可以實現VPN和防火墻的功能。
隨著下一代網絡IP協議標準的制定,IPv6也被加入了安全功能。IPv6彌補了IPv4在很多設計上的缺陷,增加了新的功能。它要求任何實現IPv6的路由器都必須強制實現IPSec,所以一旦IPv6開始部署,其路由器必定具備一定的安全功能。
多種思路發展安全路由器
眾多路由器廠商對于是否在路由器中添加功能已經達成了共識,越來越多的路由器都具有了一定的安全功能。目前,市場上的安全路由器產品一般分成具有VPN、防火墻或配置加密卡的方式,其產品的功能和性能也就各不相同。可以說如何提供一個安全的網絡建設方案,已經成為各大廠商爭奪市場的籌碼。比如Cisco的SAFE安全解決方案中,就融合了多種設備的安全聯動,而不是簡簡單單的一兩款安全產品。當然,Cisco的路由器對安全提供了完善的支持,包括Radius(防止未經授權的訪問),PPTP(提供VPN服務),Kerberos(通過第三方提供的認證服務來確認用戶的身份),IPSec/IKE,訪問控制列表(ACL)等,成為網絡安全非常重要的一個部分。還有一些廠商將防火墻與VPN的功能作為一個安全模塊加入到路由器當中,成為我們通用的安全路由器,如凱創公司和邁普公司等。
眾多廠商采用VPN技術是因為它為用戶提供了一種通過公用網絡安全地對企業內部專用網絡進行遠程訪問的連接方式。它采用隧道作為傳輸通道,這個隧道是建立在公共網絡或專用網絡基礎之上的,如Internet或Intranet。搭建VPN的目的在于解決隱秘數據在公共網絡或專有網絡上傳輸時安全性較低的問題。比如,一個企業利用公共網絡連接兩個子公司,數據在公司內部傳輸被認為是安全的,而數據在兩個子公司之間傳輸時就無法確保其不被偷聽、篡改或冒充。在兩個子公司之間鋪設專用線路的代價又過于高昂。這時采用VPN技術,在兩個子公司之間建立一條安全的數據隧道,既利用了原有的網絡設施,降低了成本,又滿足所需的安全性。所以,它特別適合遠程辦公的分支機構與總部進行信息互連,很多安全路由器都針對這方面的需求作了加強。 #p#分頁標題#e#
防火墻主要用來防止不安全數據、惡意數據和非法數據流入某個內部網絡,可以在很大程度上降低子網被攻擊的可能性,所以,支持防火墻功能,成為面向接入的路由器的重要功能之一。
而國內的路由器廠家如華為、博達、邁普和華正天網公司等,則從安全加密角度對路由器進行加密,成為安全加密路由器。從技術角度來說,加密是一個完整的流程,相對不加密來說,必然要附加一些動作,因此,效率的降低也是必然的,所以會對路由器的整體性能產生影響。而廠家在設計產品時也考慮到了這一層,因此在產品中安裝了加速卡,在保密和效率之間進行了有效的平衡。
--------------------------------------------------------------------------------
專用區別通用
安全路由器是在通用路由器上配置了具有特殊安全功能的專用路由器。
與通用的路由器相比,它采用了一些新的安全技術,最突出的就是將IPSec協議標準融入到產品中。另外,安全路由器內置了傳統的VPN和防火墻技術,具有包過濾功能,使流經路由器的信息更加安全可靠。一些安全路由器還在產品中加裝了專用的加密卡,提供密鑰交換技術和身份認證功能,彌補了通用路由器的不安全性問題。
從兩者在網絡中的工作位置來看,通用路由器主要是承擔路由包的轉發功能,所以可以工作在各種網絡之中,既可以在核心層,也可以在匯聚層。由于加入了安全功能,所以安全路由器的路由性能要求不像通用路由器那樣高。因此,市場上的安全路由器主要是為中小型網絡和大型網絡的分支機構設計的,它屬于邊緣接入路由器。
