路由器作为内外网之间数据通信的核心设备,其本身的安全性能的重要性不变而喻,强化路由器本身的安全防范往往可以收到事半功倍的作用,因此基于这一理念而出现的新型网络设备——安全路由器便成为了网络安全产业中的一支尖兵。
网络安全目前已经日益成为业界关注的重点,就用户的网络而言,其面临的安全威胁主要源自于未经授权的非法网络访问、网络传输过程中可能出现的敏感信息泄漏与遗失、数据完整性破坏及计算机病毒的传播等几个方面。而解决这类问题的途径除了借助立法及强化内部管理等防范措施外,先进的安全技术也是网络安全的重要解决之道,如网络防火墙与基于路由器的安全防范技术等。这其中,路由器作为担当内部与外部网络之间数据通信的核心设备,其本身的安全性能尤为关键,因为作为网络转接设备的路由器,需要不断接收与发送路由信息及IP数据报,而路由信息与敏感IP数据报的安全正是网络安全防护的核心。因此,强化路由器本身的安全防范往往可以收到事半功倍之效,这也正是近年来,业界对路由器本身的安全性能日趋关注的重要原因,安全路由器就是基于这一理念而出现的一类新型网络设备。
针对网络潜在的各种安全威胁,安全路由器在实现常规路由功能的基础上,在设计时强化了数据传输加密这一关键技术问题,增强了信息保护与数据加密性能,能够有效检测及防范各类攻击事件的发生。
1.什么是安全路由器
实际上,安全路由器只是一个松散的产品概念,并没有严格的范围界定,它通常是指集常规路由与网络安全防范功能于一身的网络安全设备,有部分安全路由器产品甚至完全是通过在现有常规路由平台之上加装安全加密卡,或相应的软件安全系统而来的。
一般说来,具备IPSec(IP Security)协议支持、能够有效利用IPSec保证数据传输机密性与完整性或能够借助其它途径强化本身安全性能的路由器都可以称之为安全路由器。
与常规路由器产品相比,安全路由器能够提供常规路由器所不具备,的诸如IPSec协议支持、基于规则集的防火墙、基于OSPE V2路由协议的安全认证、信息加密与分布式密钥管理等功能,能够对IP数据报进行智能加密,可提供安全VPN通道、抗源地址欺骗、抗源路由攻击、抗极小数据和抗重叠分片的分组过滤功能及实现基于硬件的信息加密等功能。
绝大多数安全路由产品都提供了对IPSec协议的支持,因为数据传输加密技术的目的就是实现网络传输流量的加密,保障网络内数据流量的安全,而IPSec协议正是IETF Internet工程任务小组为保证公网数据传输机密性与安全性而制定的系列协议,它能够在IP层提供安全服务,为IP及上层协议、应用提供安全保护。
关于IPSec协议
IPSec协议包括ESP(Encapsulating Security Payload)封装安全负载、AH(Authentication Header)报头验证协议及IKE(Internet Key Exchange)密钥管理协议等,其中AH协议能够提供无连接的完整性、数据发起验证及重放保护,ESP主要用于提供额外的加密保护,而IKE则主要提供安全加密算法与密钥协商。这些机制均独立于算法,协议的应用与具体加密算法的使用均可取决于用户及应用程序的安全性要求。因此,IPSec是一个开放性的安全标准框架,可以在一个公共IP网络上确保数据通信的可靠性和完整性,能够保障数据安全穿越公网而没有被侦听或窃改之虞,为实现通用安全策略所需的基于标准的解决方案提供了理想的应用框架。而且IPSec的部署极为简便,只需安全通道两端的路由器或主机支持IPSec协议即可,几乎无需对网络现有基础设施进行任何更动。IPSec的优势主要表现为可以对所有IP级的通信进行加密和认证,可以为IP提供基于加密的互操作性强、高质量的通信安全,所支持的安全服务包括存取控制、无连接的完整性、数据发起方认证和加密。这正是IPSec协议能够确保包括远程登录、客户机、服务器、电子邮件、文件传输及Web访问在内多种应用程序安全的主要依托。
2、安全路由器安全在哪
与常规路由器产品相比,安全路由器通常具有以下特征:采用IPSec协议;带有包过滤和代理协议的防火墙功能;能够隐藏内部网络拓扑结构;支持路由信息与IP数据包加密;能够实现身份鉴别、数据签名和数据完整性验证;具有灵活的密钥配置、支持集中式密钥与分布式密钥管理;可有效防止虚假路由信息的接收与路由器的非法接入;能够阻止非授权人员的入侵等。
3.可与Internet连接,具有防火墙功能
安全路由器可对指定服务器/客户机的数据报进行加密,可支持Telnet、E-mail、Ftp、WWW等,具有节点加密机的功能。支持身份鉴别,数字签名和数据完整性验证,而且安全路由器提供的硬件加密比软件加密有更好的传输效率与安全性。
4.企业用户可以实现Intranet的安全加密
安全路由器可通过广域网与普通路由器或与安全路由器互联构成安全VPN通道。由于安全路由器具有数据加密的功能,局域网上需要传输的数据在通过安全路由器向外发送时,安全路由器会根据一定的加密算法将数据加密,接收到该数据的目标端也要使用相同的算法才能把数据还原。因此,自安全路由器发送的加密IP数据报可以透明地穿越普通路由器和广域网,到达目标安全路由器进行解密,这期间传送的IP数据报均为密文,可有效防止敏感信息的泄露,构成跨越公网的Intranet。
5.可以隐藏内部网络拓扑结构
安全路由器能够对所有需要发送的IP包进行重新封装,在原来IP包上封装源和目的网关的IP地址。目的路由器接收到IP包时,先去掉IPSec增加的IP包头,然后根据IP包的源和目的地址,把该IP包发送到局域网上的目的主机上。这样,大型企业与分支机构间传输的数据即使在公网上被拦截,拦截者也无法通过IP包获取公司内部网络IP地址,从而进一步了解内部网络拓扑结构。