目前,基本上所有的路由器都带有防火墙功能,可以通过在现有的路由器上添加适当的防火墙软件来代替像Cisco的PIX防火墙这样的专业防火墙。尽管利用这种方法实现的防火墙不能百分百等同专业防火墙,但是这种基于路由器的防火墙在一定程度上对网络的安全起到了保护作用。
基于路由器的防火墙,要区分无状态数据包过滤(访问列表)和有状态数据包过滤。Cisco提供了具有不同名称的状态数据包过滤防火墙。Cisco ISR 产品中包括IOS防火墙的功能,也包括一部分入侵检测功能。
目前像Cisco ISR、华为3COM和LINKSYS的安全路由器都具备标准和扩展访问列表、动态访问列表、加密功能、VPN功能Java封锁、拒绝服务攻击检测和预防、入侵检测等安全功能。
定义标准访问列表有全局配置命令组成,使用特定的语句将几个语句的列表作为一组应用到接口上,对路由访问的过滤在安全上有一定的成效。如: access-list list#{permit | deny}{src_addr mask | any} ip access-group list_#{in | out} 安全路由的设置数据加密功能是非常必要的,思科的产品可以使用私有的CET(Cisco Encryption Technology,Cisco加密技术)或者标准的IPSec。使用通用路由封装协议(Generic Route Encapsulation,GRE)、第二层转发协议(Layer 2 Forwarding Protocol,L2F)、第二层隧道协议(Layer 2 Tunneling Rrotocol,L2TP)或IPSec来提供更为安全VPN功能特性。
可以通过配置阀值和请求达到的速率与半开连接总数的连接相比,达到拒绝服务攻击检测和预防的目的。Cisco ISR路由器还具备审核追踪功能,CBAC可以通过使用Syslog服务器记录时间、源和主机地址、源和目的端口号以及所有被传输的字节等详细信息,以提供增强的审核跟踪功能。
作为Cisco自防御网中最重要的组成部分,模块化的Cisco的1800/2800/3800集成多业务路由可称为业界最完善的安全路由平台。和华为COM、LINKSYS的路由器相比,ISR中的安全系统更具有安全实施的灵活,可以用强化网络中的安全级别,在安全措施上有效的保护路由器和交换机等网络系统,抵御像分布式拒绝服务攻击的行为。
安全路由的带宽管理与应用
相对不同的企业需求,对线路的接入也不同,有些选择网通和电信双线接入。如今的IP网络传输数据、语音、视频的多媒体网络。而在网上实现类似语音、传真、会议等实时多媒体应用问题集中在如何传输这些敏感的业务上。针对不同企业的不同应用对网络各方面的需求也不相同,对网络带宽资源管理也不一样。通过安全路由对网络带宽的管理来实现各种需要,保障实时多媒体业务服务质量。
安全路由的带宽管理配置时,首先要对流量的分类,分类方式根据应用的协议类型、端口号、应用服务类型、主机IP地址、流量方向等。如:分别针对IP、MAC地址、应用服务类型等进行分类。每种应用都要最小保证带宽和最高限制流量,从而保证关键性应用的质量和速度,限制非关键应用带宽,甚至阻止非业务性的应用。保证应用流量的同时还要预留指定的虚拟流量,当应用流量突增发生时,能迅速补充流量通道,保障应用的可靠运行。当设置最高流量上限,当某一应用出现爆发流量,也不会影响到其他应用流量的正常运行。
根据具体服务对象对安全路由的网络带宽的配置能使企业中的不同服务得到比较完善的应用。带宽资源有效利用不管对什么企业来说都是非常必要的,大部分的企业都有自己的网站服务器、邮件服务器。网站是企业宣传自己形象和产品的重要窗口,也是企业为用户提供优质服务的渠道,邮件服务器是为员工提供高效、方便、快捷的对内外技术交流、信息沟通的重要工具。企业员工随时随地地需要通过网络来为企业服务。基于不同的服务应用对带宽的合理搭配是非常重要的。在配置安全路由器以实现在有限的网络及应用程序资源中尽可能地获取最高的效能,保证关键应用和服务器正常可靠运作为目的。
安全路由的应用管理配置
路由器的应用管理和一般的计算机或者服务器的管理安全不同,路由器的管理和设置不当将直接影响到网络的正常运转,甚至还可能会埋下网络管理的安全隐患。安全路由具备的安全协议的支持保证数据的传输的机密性与完整性或借助其他途径强化本身安全性能功能,如果设置不当这些都得不到保障。
安全路由的应用配置应当考虑到可靠性。如接口故障和网络流量增大的情况,备份的路由器或端口是不可缺少的,当出现接口故障的时候,自动转换到备份路由器或其他端口,保证网络流量的正常运行,在流量增大的时候备份路由器或端口也可投入工作。在访问路由器身份认证、端路由的身份认证和路由器的信息的认证都是至关重要的。不管是内部人员或是网络用户,对访问的控制设置安全级别,对口令进行分级保护。攻击探测和防范在安全路由器的设置关系到内部网络和数据的安全。通过NAT(网络地址转换)技术,隐藏内部网络,能有效的防止外部网络用户直接访问内部资源。
安全VPN通道有安全路由器通过广域网与普通路由器或安全路由器互联构成,在安全路由器上配置数据加密,当数据传输后,接收数据的目的段通过使用相同的密钥才能把数据还原,可以有效的防止敏感信息泄露。安全路由器应用在公司和分公司的之中,通过设置对发送的IP包进行封装传送到目的地,在中间的公网上数据即使被拦截,也无法知道公司网络内部的IP地址。基于安全路由的种种应用相对中小企业的需求基本上能解决。
总结: 安全路由器作为一个企业网络内外的核心数据交换设备,它集普通路由和安全于一体,在安全方面的特性表现的较为出色,针对一般的中小企业安全方面的需求基本都能满足。部分资金有限的企业,在使用高性价比的安全路由器时可以充分体验其安全特性。通过上述配置建议,希望各企业能够提高网络性,避免一些不必要的经济损失。