安全路由

所謂的安全路由技術即如何在IPSec VPN隧道上實現動態路由選擇技術。安全路由技術將路由技術、VPN技術、安全路由技術——防火牆技術集成於一身。實現安全路由技術,關鍵在於建立一種特定的SA(Security Association),該SA既允許動態路由協定包通過,也同樣允許兩端所有用戶的數據通過。建立這種SA,需要對IKE的信令進行改進,實現採用傳輸模式的信令來建立隧道模式的SA。

定義

實際上,安全路由器只是一個鬆散的產品概念,並沒有嚴格的範圍界定,它通常是指集常規路由與網路安全防範功能於一身的網路安全設備,有部分安全路由器產品甚至完全是通過在現有常規路由平台之上加裝安全加密卡,或相應的軟體安全系統而來的。

一般說來,具備IPSec(IP Security)協定支持、能夠有效利用IPSec保證數據傳輸機密性與完整性或能夠藉助其它途徑強化本身安全性能的路由器都可以稱之為安全路由器。

與常規路由器產品相比,安全路由器能夠提供常規路由器所不具備,的諸如IPSec協定支持、基於規則集的防火牆、基於OSPE V2路由協定的安全認證、信息加密與分散式密鑰管理等功能,能夠對IP數據報進行智慧型加密,可提供安全VPN通道、抗源地址欺騙、抗源路由攻擊、抗極小數據和抗重疊分片的分組過濾功能及實現基於硬體的信息加密等功能。

絕大多數安全路由產品都提供了對IPSec協定的支持,因為數據傳輸加密技術的目的就是實現網路傳輸流量的加密,保障網路內數據流量的安全,而IPSec協定正是IETF Internet工程任務小組為保證公網數據傳輸機密性與安全性而制定的系列協定,它能夠在IP層提供安全服務,為IP及上層協定、套用提供安全保護。

IPSec協定

IPSec協定包括ESP(Encapsulating Security Payload)封裝安全負載、AH(Authentication Header)報頭驗證協定及IKE(Internet Key Exchange)密鑰管理協定等,其中AH協定能夠提供無連線的完整性、數據發起驗證及重放保護,ESP主要用於提供額外的加密保護,而IKE則主要提供安全加密算法與密鑰協商。這些機制均獨立於算法,協定的套用與具體加密算法的使用均可取決於用戶及應用程式的安全性要求。因此,IPSec是一個開放性的安全標準框架,可以在一個公共IP網路上確保數據通信的可靠性和完整性,能夠保障數據安全穿越公網而沒有被偵聽或竊改之虞,為實現通用安全策略所需的基於標準的解決方案提供了理想的套用框架。而且IPSec的部署極為簡便,只需安全通道兩端的路由器或主機支持IPSec協定即可,幾乎無需對網路現有基礎設施進行任何更動。IPSec的優勢主要表現為可以對所有IP級的通信進行加密和認證,可以為IP提供基於加密的互操作性強、高質量的通信安全,所支持的安全服務包括存取控制、無連線的完整性、數據發起方認證和加密。這正是IPSec協定能夠確保包括遠程登錄、客戶機、伺服器、電子郵件、檔案傳輸及Web訪問在內多種應用程式安全的主要依託。

特點

與常規路由器產品相比,安全路由器通常具有以下特徵:採用IPSec協定;帶有包過濾和代理協定的防火牆功能;能夠隱藏內部網路拓撲結構;支持路由信息與IP數據包加密;能夠實現身份鑑別、數據簽名和數據完整性驗證;具有靈活的密鑰配置、支持集中式密鑰與分散式密鑰管理;可有效防止虛假路由信息的接收與路由器的非法接入;能夠阻止非授權人員的入侵等。

功能

可與Internet連線,具有防火牆功能

安全路由器可對指定伺服器/客戶機的數據報進行加密,可支持Telnet、E-mail、Ftp、WWW等,具有節點加密機的功能。支持身份鑑別,數字簽名和數據完整性驗證,而且安全路由器提供的硬體加密比軟體加密有更好的傳輸效率與安全性。

企業用戶可以實現Intranet的安全加密

安全路由器可通過廣域網與普通路由器或與安全路由器互聯構成安全VPN通道。由於安全路由器具有數據加密的功能,區域網路上需要傳輸的數據在通過安全路由器向外傳送時,安全路由器會根據一定的加密算法將數據加密,接收到該數據的目標端也要使用相同的算法才能把數據還原。因此,自安全路由器傳送的加密IP數據報可以透明地穿越普通路由器和廣域網,到達目標安全路由器進行解密,這期間傳送的IP數據報均為密文,可有效防止敏感信息的泄露,構成跨越公網的Intranet。

可以隱藏內部網路拓撲結構

安全路由器能夠對所有需要傳送的IP包進行重新封裝,在原來IP包上封裝源和目的網關的IP位址。目的路由器接收到IP包時,先去掉IPSec增加的IP包頭,然後根據IP包的源和目的地址,把該IP包傳送到區域網路上的目的主機上。這樣,大型企業與分支機構間傳輸的數據即使在公網上被攔截,攔截者也無法通過IP包獲取公司內部網路IP位址,從而進一步了解內部網路拓撲結構。

注意

可靠性與線路安全

可靠性主要體現在接口故障和網路流量增大兩種情況下,為此,備份是路由器不可或缺的手段之一。當主接口出現故障時,備份接口應可以自動投入工作,保證網路的正常運行。當網路流量增大時,備份接口又可承當負載分擔的任務。

身份認證

路由器中的身份認證主要包括訪問路由器時的身份認證、對端路由器的身份認證和路由信息的身份認證。

訪問控制

對於路由器的訪問控制,需要進行口令的分級保護。有基於IP位址的訪問控制和基於用戶的訪問控制。

信息隱藏

與對端通信時,不一定需要用真實身份,通過地址轉換,可以隱藏網內地址。除了由內部網路首先發起的連線,網外用戶不能通過地址轉換直接訪問網內資源。

安全管理

相關詞條

相關搜尋

熱門詞條

聯絡我們