路由器的安全设计

具体来说，人们正从以下七个层面来加强路由器的安全设计。

硬件的安全保障：模块化的硬件结构体系结构。

软件的安全保障：自主知识产权的操作系统；操作系统高度模块化结构，进程空间隔离、数据流和控制流空间隔离。

链路层的安全保障：广域网上采用PPP认证和EAP-TLS；以太网上采用802.1x、MAC地址/端口绑定、VLAN隔离和EAP-TLS；对流量峰值设置阀值，通过流量限速抵御DoS攻击。

网络层和传输层的安全保障：IPSec协议、AH/ESP/IKE、3DES等；基于IP的报文过滤；对ICMP各种类型报文的过滤处理；根据TCP/UDP报文头选项进行过滤；网络处理器实现分类和过滤功能，保证线速。

路由安全： OSPF/BGP/RIP2/IS-IS/RSVP/LDP支持各种认证方式（不认证、明文认证、HMAC-MD5认证）。

应用层的安全保障:防火墙模块。

实现管理安全的手段：SSL保证web和CLI管理的安全通道；SSH替代Telnet的明文管理通道；多种用户登录验证方式；命令行分级视图管理；管理访问策略控制（源地址、登录端口、登录时间控制）；支持SNMPv3。

表二为七层安全设计所对应的路由器安全特性。