基于访问列表控制Cisco路由器安全策略初探.docVIP

基于访问列表控制的Cisco路由器安全策略初探 摘要：随着网络技术的快速发展，黑客的入侵手段越来越高明，网络常常受到攻击。路由器作为Intranet和Internet的网间互连设备，位于不可信任网络和可信任网络之间，是保证网络安全的第一关，安全性已成为路由器设计中最关键的技术问题。本文对基于访问列表控制的路由器安全策略进行了探讨，并以最常用的Cisco路由器为例进行了分析。 关键词：访问列表 路由器 安全 引言 网络安全一直是倍受关注的领域，如果缺乏一定的安全保障，无论是公共网还是企业专用网都难以抵挡网络攻击和非法入侵。随着人们对网络依赖程度的日益增强，网络的安全性和可靠性问题愈来愈重要，一旦网络瘫痪或重要信息被窃取，将带来巨大损失。而路由器作为网络传输过程中的重要设备，对报文安全、正确和快速的转发起着关键作用。因此，研究常用路由器的安全配置和策略，就具有重要的意义。 1.路由器安全概述 1.1路由器的功能 路由器处于网络层，是网络中进行网间互连的关键设备，能够跨越不同类型的物理网络类型，并将整个互联网络分割成独立的网络单位，使网络具有一定的逻辑结构。作为不同网络之间连接的枢纽，路由器系统构成了基于TCP/IP的Internet主体脉络。不同地位的路由器其功能也不相同： 第一，在主干网上，路由器的主要作用是路由选择。主干网上的路由器必须知道到达所有下层网络的路径。这需要维护庞大的路由表，并对连接状态的变化做出尽可能快速的反应。 第二，在地区网中，路由器的主要作用是网络连接和路由选择，即连接下层各个基层网络单位——园区网，并负责下层网络之间的数据转发。 第三，在园区网内部，路由器的主要作用是分隔子网。各个子网在逻辑上独立，而路由器则负责子网间的数据转发和广播隔离，在园区网边界上的路由器则负责与地区网的连接。 1.2路由器的安全机制 安全路由器能够按照需要向内部局域网或外部公用网转发授权包；能够对每一条链路的访问权限进行控制；能够协助对传输的数据进行加密；提供内外识别地址的转变：提供配置管理、性能管理、流量控制、安全管理等功能；确保路由信息能够安全、准确地传递；提供包括分组过滤、优先级、复用、加密、压缩等功能。 为了构建路由器的安全机制，必须采用不同的安全对策。在控制数据流量上，可以采用包过滤和代理服务；在访问路由器上，为了保证路由器本身的安全，可以采用认证的技术；为了保证数据的安全，可以采用数据加密技术。 当然，包过滤技术和代理服务技术是当今最广泛采用的网络安全技术，也就是我们通常称的防火墙技术。防火墙可以根据网络安全的规则设置允许经过授权的数据包进出内部网络，同时将非法数据包挡在防火墙内外，最大限度地阻止黑客攻击。包过滤技术以访问列表的形式出现，被创建的访问列表可以用来允许或拒绝信息流通过一或多个路由器接口。 目前，市场上的路由器品牌很多，其中Cisco（思科）路由器在路由器技术方面最为权威，从某种意义上来说已经成为路由器的代名词。因此，本文主要以Cisco路由器为例，来探讨基于访问列表控制的路由器安全策略。 2. 路由器访问列表的原理与设计 2.1路由器访问列表的基本原理 访问列表是基于规则与数据包进行匹配来允许或拒绝数据流的排序表，其基本格式为： access-list [access-list-number] [permit|deny|join|evaluate] [refnum][protocol] [source source-wildcard|any] [source port] [destination detination-wildcand|any] [destination port] [options] 在实际使用时，每个语句一般都在单独一行上。并非所有的域都是必需的，只有第1、第2和第5域在每种类型的访问列表中都需要。访问列表在配置时，遵循以下原则： 第一，从上到下的处理过程。访问列表的检测顺序是从第一表项开始的，如果找到了匹配项，则处理过程结束，系统不再过问剩下的表项。 第二，隐含的拒绝所有的数据包。在访问列表的最后，总是有一个隐含的“deny all”表项，所有不能显式匹配访问表项的数据包都会自动地被拒绝。 第三，新的表项增加到底部。要进行增加表项到访问列表的修改，一般需要删除和重建整个访问列表；也可以在客户机中建立访问列表文本文件，使用TFTP协议达到修改访问列表的目的。 2.2路由器访问列表的主要功能 路由器的访问列表包括标准访问列表、扩展访问列表、第二层访问列表和自反访问列表四种。其中前三种为静态包过滤，自反访问列表为动态包过滤。 第一，标准访问列表定义的范围为l－99，只允许通过源IP地址进行过滤。标准访问列表在限制虚拟终端访问、限