路由器的安全设计

为了使路由器将合法信息完整、及时、安全地转发到目的地，许多路由器厂商开始在路由器中添加安全模块，于是出现了路由器与安全设备融合的趋势。从本质上讲，增加安全模块的路由器，在路由器功能实现方面与普通路由器没有区别。所不同的是，添加安全模块的路由器可以通过加密、认证等技术手段增强报文的安全性，与专用安全设备进行有效配合，来提高路由器本身的安全性和所管理网段的可用性。

在介绍路由器所采用的安全技术之前，我们先来了解一下网络应用环境对路由器提出的安全要求。

完整性：要求路由器在转发报文过程中，保证信息不会遭到偶然或蓄意地添加、删除、修改、重放等破坏。

保密性：要求路由器保证信息在发送过程中不会被窃听，即使信息被窃听也不能被破译。

可用性：要求路由器保证系统或系统资源可被授权用户访问并按照需求使用的特性。

可控性：要求路由器根据需要对转发信息进行安全监控，对可疑的网络信息进行分析、截留或其他处理。

及时性：要求路由器保证网络信息能够被及时转发，不会因安全处理而使转发时间超出限度。

抗攻击性：要求路由器具有抵抗网络攻击的能力。

所采用的安全技术

为了满足网络应用环境对路由器的安全要求，许多路由器厂商将防火墙、VPN、IDS、防病毒、URL过滤等技术引入路由器当中。

访问控制技术：用户验证是实现用户安全防护的基础技术。路由器上可以采用多种用户接入的控制手段，如PPP、Web登录认证、ACL、802.1x协议等，保护接入用户不受网络攻击，同时能够阻止接入用户攻击其他用户和网络。基于CA标准体系的安全认证，将进一步加强访问控制的安全性。

传输加密技术：IPSec是路由器常用的协议。借助该协议，路由器支持建立虚拟专用网（VPN）。IPSec协议包括ESP（Encapsulating Security Payload）封装安全负载、AH（Authentication Header）报头验证协议及IKE（Internet Key Exchange）密钥管理协议等，可以用在公共IP网络上确保数据通信的可靠性和完整性，能够保障数据安全穿越公网而没有被侦听。由于IPSec的部署简便，只需安全通道两端的路由器或主机支持IPSec协议即可，几乎不需对网络现有基础设施进行更动。这正是IPSec协议能够确保包括远程登录、客户机、服务器、电子邮件、文件传输及Web访问等多种应用程序安全的重要原因。

防火墙防护技术：采用防火墙功能模块的路由器具有报文过滤功能，能够对所有接收和转发的报文进行过滤和检查，检查策略可以通过配置实现更改和管理。路由器还可以利用NAT/PAT功能隐藏内网拓扑结构，进一步实现复杂的应用网关（ALG）功能。还有一些路由器提供基于报文内容的防护。原理是，当报文通过路由器时，防火墙功能模块可以对报文与指定的访问规则进行比较，如果规则允许，报文将接受检查，否则报文直接被丢弃。如果该报文是用于打开一个新的控制或数据连接，防护功能模块将动态修改或创建规则，同时更新状态表以允许与新创建的连接相关的报文。回来的报文只有属于一个已经存在的有效连接，才会被允许通过。

入侵检测技术：在安全架构中，入侵检测（IDS）是一个非常重要的技术，目前有些路由器和高端交换机已经内置IDS功能模块。内置入侵检测模块需要路由器具备完善的端口镜像（一对一、多对一）和报文统计支持功能。

HA（高可用性）：提高自身的安全性，需要路由器能够支持备份协议（如VRRP）和具有日志管理功能，以使得网络数据具备更高的冗余性和能够获取更多的保障。

表一为路由器的安全机制所对应的安全功能特性。