路由器的安全浅析.doc

路由器的安全浅析 罗杰云 贺敏伟 广东省江门市五邑大学 529020 摘要 本文分析了路由器的工作原理，对路由器在Internet中存在的安全隐患进行了较详细的分析，最后提出了一些防范的措施和思路。 关键词 路由器 路由器安全 网络安全　网络攻击 引言 目前TCP／IP网络，是通过路由器互连起来的，Internet就是成千上万个IP子网通过路由器互连起来的国际性网络。这种网络称为以路由器为基础的网络（router based network），形成了以路由器为节点的“网间网”。 在“网间网”中，路由器不仅负责对IP分组的转发，还要负责与别的路由器进行联络，共同确定“网间网”的路由选择和维护路由表。路由器不仅是实现网络通信的主要设备之一，而且也是关系到全网安全的设备之一，它的安全性、健壮性将直接影响到网络的可用性。TU等。 ·接收和传送IP数据报，出错时能生成ICMP报文，丢弃那些TTL到0的数据报，需要时对数据报分组，以适合下一个网络的MTU。 ·进行路由选择，根据路由表为每个数据报选择下一个节点。 ·支持内部路由器协议IGP，甚至支持外部路由器协议EGP。 路由器主要的功能是路由选择。路由(又叫寻径)指从源主机通过网络到达目的主机的传输路径．路由选择是寻找一条将数据报从源主机传往目的主机的最佳传输路径的过程。实际上传输路径是由一系列路由器所组成，因此路由选择是在不同的路由器之间作出选择．即选择数据报传输过程中的下一个路由器。 3．路由原理分析 3．1 路由表 为了能够进行路由，每个路由器都有一张路由表，路由表中定义了从该路由器到目的主机的下一个路由器的路径。路由选择是通过在当前路由器的路由表中找出对应于该数据报目的主机地址的下一个路由器来实现的。 路由表提供两种信息：发送数据报时使用的网络接口信息和放入本地数据报头的目标地址即路径信息。IP路由表的结构如下表所示。 一简单网络拓扑图 其中：为路由器R1中连接网段1的端口IP地址，其他类似。 路由器R2的路由表： 目的主机所在的网络 下一站路由器的地址 路径长度（跳步数） 20．0．0．0 直接交付 0 30．0．0．0 直接交付 0 10．0．0．0 20．0．0．7 1 40．0．0．0 30．0．0．1 1 R2的路由表 3 .2 路由原理 网络应用环境对路由器提出的安全要求 为了合法信息完整、及时、安全地转发到目的地路由器提出的安全要求完整性：要求路由器在转发报文过程中，保证信息不会遭到偶然或蓄意地添加、删除、修改、重放等破坏。 保密性：要求路由器保证信息在发送过程中不会被窃听，即使信息被窃听也不能被破译。可用性：要求路由器保证系统或系统资源可被授权用户访问并按照需求使用的特性。 ??? 可控性：要求路由器根据需要对转发信息进行安全监控，对可疑的网络信息进行分析、截留或其他处理。 ???? 及时性：要求路由器保证网络信息能够被及时转发，不会因安全处理而使转发时间超出限度。 ???? 抗攻击性：要求路由器具有抵抗网络攻击的能力。影响路由器安全的因素影响路由器安全的因素 图1 路由器安全层面图物理安全是路由器安全的最核心问题，如果攻击者可以轻易地接触到用户的路由器，并可以进行关机、密码破解等操作，那将是极其危险的；静态配置的安全威胁，主要是指路由器上保存的操作系统程序以及配置文件，配置文件中一般包含着路由器接口地址、登录密码等重要信息，这些信息如果被攻击者获得，后果不堪设想；4）路由器动态配置，首是路由表，另外还有接口状态、ARP表、日志信息等等；路由器的转发流量，转发流量中可能包含一些攻击，可以设置只允许某些协议、特定IP的流量通过，以排除攻击。 6．提高路由器安全性目前提高路由器安全性的途径可以分为两类：一类是通过技术手段，在普通路由器中添加安全模块，加强路由器的安全设计，来提高其安全性；另外一类就是借助管理手段，不断加强对路由器的安全管理?加强路由器的安全设计 为了使路由器将合法信息完整、及时、安全地转发到目的地，在路由器中添加安全模块，出现了路由器与安全设备融合的趋势。从本质上讲，增加安全模块的路由器，在路由器功能实现方面与普通路由器没有区别。所不同的是，添加安全模块的路由器可以通过加密、认证等技术手段增强报文的安全性，与专用安全设备进行有效配合，来提高路由器本身的安全性和所管理网段的可用性。具体来说，从以下七个层面来加强路由器的安全设计。 硬件的安全保障：模块化的硬件结构体系结构。 软件的安全保障：自主知识产权的操作系统；操作系统高