论文部分内容阅读
摘要:本文分析了路由器的工作原理,对路由器在Internet中存在的安全隐患进行了较详细的分析,最后提出了一些防范的措施和思路。
关键词:路由器;路由器安全;网络安全;网络攻击
中图分类号:TP393.05 文献标识码:A 文章编号:1674-7712 (2012) 14-0072-01
IP网络监控系统指的是基于网络设备监控系统和通信网络技术的基础上的监控系统,这样的监控系统打破了以往的监控模式,监控地域的范围从城市的一个地方扩展到多个地方。通过此种远程监控系统,使得许多的专业人员可以对远处的更多现场设备实施监管,此类监控工作和经济效益也得到了较大的提高。
一、引言
路由器用于连接的多个逻辑单独的网络。不同部分之间的数据传输数据时,路由器必须能够完成转移。因此,路由器具有判断网络地址和选择的IP路径功能(路由和寻址功能),多网络互联环境,它可以创建一个灵活的连接,可用完全不同的数据分组和介质访问方法连接各种子网络中,路由器只接受源站或其他路由器是一个网络层的互连设备的信息。它不关心各子网使用的硬件设备,但需要与网络层协议软件的操作和一致的。在现代网络通信设备网络路由器是最重要的,作为一个桥梁连接两个不同的网段,所以这是非常重要的安全性。因此,路由器的安全性分析是网络安全评估的重要手段。本文从分析的路由器在安全问题工作中存在的,和的措施和建议。
二、路由器的概念
路由器是在网络层提供多个独立的子网间连接服务的一种存贮/转发设备。它的基本功能包括:接收和传送数据报表,出错时能生成ICMP报文,丢弃那些TTL到0的数据报,需要时对数据报分组,以适合下一个网络的MTU·进行路由选择,根据路由表为每个数据报选择下一个节点。
三、网络应用环境对路由器提出的安全要求
为了让合法信息完整、及时、安全地从源转发到目的地,网络应用环境对路由器提出如下的安全要求:
防火墙功能模块路由器的包过滤能力,过滤和检查所有接收和转发数据包,检查政策的变化。还可以利用路由器的NAT / PAT功能隐藏在网络的拓扑结构,更加复杂的应用层网关(ALG)功能。有些路由器提供了基于数据包的内容保护。其原理是,当数据包通过路由器,防火墙功能模块可以比较的数据包与指定的访问规则,如果规则允许的数据包将接受检查,否则报文,直接丢弃。如果包是用来打开一个新的控制或数据连接,保护模块会动态地修改或创建规则来更新状态表的同时,让新创建的连接的数据包。返回的数据包只属于一个有效的连接已经存在,将被允许通过。
入侵检测技术:安全体系结构,入侵检测(IDS)是一个非常重要的技术,有些路由器和高端交换机的IDS功能模块。内置入侵检测模块需要一个路由器端口镜像和报文的统计信息支持功能。
及时性:可以转发的路由器,确保网络信息的要求,及时转发时间超出安全处理。抵御攻击的路由器有能力抵御网络攻击。
四、提高路由器安全性的方法
目前提高路由器安全性的途径可以分为两类:一类是通过技术手段,在普通路由器中添加安全模块,加强路由器的安全设计,来提高其安全性;另外一类就是借助管理手段,不断加强对路由器的安全管理。
(一)加强路由器的安全设计
为了使路由器将完成合法的信息及时,安全地转发到目的地,你可以添加一个安全模块的路由器,使路由器和安全设备融合的趋势。从本质上讲,以增加的安全模块的路由器,路由器的功能实现与普通的路由器没有区别。不同的是,在路由器中添加安全模块可以提高通过技术手段,如加密,身份认证,信息安全,有效的协调与特殊安全设备,以提高路由器的链路层安全:的WAN PPP认证和EAP-TLS以太网,IEEE 802.1X,MAC地址/端口绑定,VLAN隔离和EAP-TLS,抵御DoS攻击,通过行车速度的限制设置的阈值,在交通高峰期。
网络层和传输层安全协议IPSec协议,AH/ ESP / IKE,3DES等;包过滤基于IP,基于TCP/ UDP报文头中的选项过滤ICMP包过滤处理各类;网络处理器实现分类和过滤功能,以确保线速。
路由安全性:OSPF/BGP/RIP2/IS-IS/RSVP/LDP支持多种身份验证方法(明文认证未认证,HMAC-MD5认证)启用的身份验证机制,以保护路由信息的正确性,并在同一时间不会影响路由器的路由的功能。
应用层安全:防火墙模块。防火墙功能模块路由器的包过滤功能,过滤和检查所有的接收和转发数据包。
(二)增强路由器的安全管理
保护路由器自身安全的手段主要包括物理访问、登录账号、软件防护、远程管理以及相应的配置操作。
五、如何预防路由器遭攻击
1.去掉不必要的计算机协议:将NETBIOS关闭,避免针对NETBIOS的攻击。
2.禁用一些不重要的服务:无论是路由器、服务器和任务站上的不需要的服务都要禁用。在有些路由器中经过网络操作系统默许地供应一些服务,chargen和discard。
3.禁用Ping命令:IIPSec 策略是用来配置 IPSec 安全服务。可以通过系统中提供的“IP 安全策略”管理单元来为 Active Directory 中的计算机定义 IPSec 策略。
4.禁用IP路由和IP重新定向:重新定向允许数据包从一个接口进来然后从另一个接口出去。你不需要把精心设计的数据包重新定向到专用的内部网路。
六、结束语
路由器中许多与安全相关的复杂的数据包处理后,性能必然下降,建立一个高端路由器为核心的网络处理器(NP)。网络处理器能够更好地解决高端路由器市场的容量和性能之间的矛盾,同时也能适应快速变化的网络安全特性,代表未来发展方向的路由器之一。
参考文献:
[1]周德泽,袁南儿,应英.计算机智能监测控制系统的设计及应用[M].北京:清华大学出版社,2002,1,1-161.
[2]谢希仁.计算机网络[M].北京:电子工业出版社,2008.
[3]http://baike.baidu.com/view/1360.htm
[作者简介]谭再峰(1976.6-),男,湖北恩施,现为恩施职业技术学院计算机与信息工程系助讲,计算机软件开发专业。
关键词:路由器;路由器安全;网络安全;网络攻击
中图分类号:TP393.05 文献标识码:A 文章编号:1674-7712 (2012) 14-0072-01
IP网络监控系统指的是基于网络设备监控系统和通信网络技术的基础上的监控系统,这样的监控系统打破了以往的监控模式,监控地域的范围从城市的一个地方扩展到多个地方。通过此种远程监控系统,使得许多的专业人员可以对远处的更多现场设备实施监管,此类监控工作和经济效益也得到了较大的提高。
一、引言
路由器用于连接的多个逻辑单独的网络。不同部分之间的数据传输数据时,路由器必须能够完成转移。因此,路由器具有判断网络地址和选择的IP路径功能(路由和寻址功能),多网络互联环境,它可以创建一个灵活的连接,可用完全不同的数据分组和介质访问方法连接各种子网络中,路由器只接受源站或其他路由器是一个网络层的互连设备的信息。它不关心各子网使用的硬件设备,但需要与网络层协议软件的操作和一致的。在现代网络通信设备网络路由器是最重要的,作为一个桥梁连接两个不同的网段,所以这是非常重要的安全性。因此,路由器的安全性分析是网络安全评估的重要手段。本文从分析的路由器在安全问题工作中存在的,和的措施和建议。
二、路由器的概念
路由器是在网络层提供多个独立的子网间连接服务的一种存贮/转发设备。它的基本功能包括:接收和传送数据报表,出错时能生成ICMP报文,丢弃那些TTL到0的数据报,需要时对数据报分组,以适合下一个网络的MTU·进行路由选择,根据路由表为每个数据报选择下一个节点。
三、网络应用环境对路由器提出的安全要求
为了让合法信息完整、及时、安全地从源转发到目的地,网络应用环境对路由器提出如下的安全要求:
防火墙功能模块路由器的包过滤能力,过滤和检查所有接收和转发数据包,检查政策的变化。还可以利用路由器的NAT / PAT功能隐藏在网络的拓扑结构,更加复杂的应用层网关(ALG)功能。有些路由器提供了基于数据包的内容保护。其原理是,当数据包通过路由器,防火墙功能模块可以比较的数据包与指定的访问规则,如果规则允许的数据包将接受检查,否则报文,直接丢弃。如果包是用来打开一个新的控制或数据连接,保护模块会动态地修改或创建规则来更新状态表的同时,让新创建的连接的数据包。返回的数据包只属于一个有效的连接已经存在,将被允许通过。
入侵检测技术:安全体系结构,入侵检测(IDS)是一个非常重要的技术,有些路由器和高端交换机的IDS功能模块。内置入侵检测模块需要一个路由器端口镜像和报文的统计信息支持功能。
及时性:可以转发的路由器,确保网络信息的要求,及时转发时间超出安全处理。抵御攻击的路由器有能力抵御网络攻击。
四、提高路由器安全性的方法
目前提高路由器安全性的途径可以分为两类:一类是通过技术手段,在普通路由器中添加安全模块,加强路由器的安全设计,来提高其安全性;另外一类就是借助管理手段,不断加强对路由器的安全管理。
(一)加强路由器的安全设计
为了使路由器将完成合法的信息及时,安全地转发到目的地,你可以添加一个安全模块的路由器,使路由器和安全设备融合的趋势。从本质上讲,以增加的安全模块的路由器,路由器的功能实现与普通的路由器没有区别。不同的是,在路由器中添加安全模块可以提高通过技术手段,如加密,身份认证,信息安全,有效的协调与特殊安全设备,以提高路由器的链路层安全:的WAN PPP认证和EAP-TLS以太网,IEEE 802.1X,MAC地址/端口绑定,VLAN隔离和EAP-TLS,抵御DoS攻击,通过行车速度的限制设置的阈值,在交通高峰期。
网络层和传输层安全协议IPSec协议,AH/ ESP / IKE,3DES等;包过滤基于IP,基于TCP/ UDP报文头中的选项过滤ICMP包过滤处理各类;网络处理器实现分类和过滤功能,以确保线速。
路由安全性:OSPF/BGP/RIP2/IS-IS/RSVP/LDP支持多种身份验证方法(明文认证未认证,HMAC-MD5认证)启用的身份验证机制,以保护路由信息的正确性,并在同一时间不会影响路由器的路由的功能。
应用层安全:防火墙模块。防火墙功能模块路由器的包过滤功能,过滤和检查所有的接收和转发数据包。
(二)增强路由器的安全管理
保护路由器自身安全的手段主要包括物理访问、登录账号、软件防护、远程管理以及相应的配置操作。
五、如何预防路由器遭攻击
1.去掉不必要的计算机协议:将NETBIOS关闭,避免针对NETBIOS的攻击。
2.禁用一些不重要的服务:无论是路由器、服务器和任务站上的不需要的服务都要禁用。在有些路由器中经过网络操作系统默许地供应一些服务,chargen和discard。
3.禁用Ping命令:IIPSec 策略是用来配置 IPSec 安全服务。可以通过系统中提供的“IP 安全策略”管理单元来为 Active Directory 中的计算机定义 IPSec 策略。
4.禁用IP路由和IP重新定向:重新定向允许数据包从一个接口进来然后从另一个接口出去。你不需要把精心设计的数据包重新定向到专用的内部网路。
六、结束语
路由器中许多与安全相关的复杂的数据包处理后,性能必然下降,建立一个高端路由器为核心的网络处理器(NP)。网络处理器能够更好地解决高端路由器市场的容量和性能之间的矛盾,同时也能适应快速变化的网络安全特性,代表未来发展方向的路由器之一。
参考文献:
[1]周德泽,袁南儿,应英.计算机智能监测控制系统的设计及应用[M].北京:清华大学出版社,2002,1,1-161.
[2]谢希仁.计算机网络[M].北京:电子工业出版社,2008.
[3]http://baike.baidu.com/view/1360.htm
[作者简介]谭再峰(1976.6-),男,湖北恩施,现为恩施职业技术学院计算机与信息工程系助讲,计算机软件开发专业。