简述路由器工作原理及安全设置

详细内容

　　路由器是连接因特网中各局域网、广域网的设备，它会根据信道的情况自动选择和设定路由，以最佳路径，按前后顺序发送信号的设备。 路由器英文名Router，路由器是互联网络的枢纽、“交通警察”。目前路由器已经广泛应用于各行各业，各种不同档次的产品已经成为实现各种骨干网内部连接、骨干网间互联和骨干网与互联网互联互通业务的主力军。

　　所谓路由就是指通过相互连接的网络把信息从源地点移动到目标地点的活动。一般来说，在路由过程中，信息至少会经过一个或多个中间节点。通常，人们会把路由和交换机进行对比，这主要是因为在普通用户看来两者所实现的功能是完全一样的。其实，路由和交换之间的主要区别就是交换发生在OSI参考模型的第二层（数据链路层），而路由发生在第三层，即网络层。这一区别决定了路由和交换在移动信息的过程中需要使用不同的控制信息，所以两者实现各自功能的方式是不同的。

　　早在40多年前就已经出现了对路由技术的讨论，但是直到80年代路由技术才逐渐进入商业化的应用。路由技术之所以在问世之初没有被广泛使用主要是因为80年代之前的网络结构都非常简单，路由技术没有用武之地。直到最近十几年，大规模的互联网络才逐渐流行起来，为路由技术的发展提供了良好的基础和平台。

1 路由器工作原理

　　路由器是工作在IP协议网络层实现子网之间转发数据的设备。路由器内部可以划分为控制平面和数据通道。在控制平面上，路由协议可以有不同的类型。路由器通过路由协议交换网络的拓扑结构信息，依照拓扑结构动态生成路由表。在数据通道上，转发引擎从输入线路接收IP包后，分析与修改包头，使用转发表查找输出端口，把数据交换到输出线路上。转发表是根据路由表生成的，其表项和路由表项有直接对应关系，但转发表的格式和路由表的格式不同，它更适合实现快速查找。转发的主要流程包括线路输入、包头分析、数据存储、包头修改和线路输出。

　　路由协议根据网络拓扑结构动态生成路由表。IP协议把整个网络划分为管理区域，这些管理区域称为自治域，自治域区号实行全网统一管理。这样，路由协议就有域内协议和域间协议之分。

2 路由器结构体系

　　路由器的控制平面，运行在通用CPU系统中，多年来一直没有多少变化。在高可用性设计中，可以采用双主控进行主从式备份，来保证控制平面的可靠性。路由器的数据通道，为适应不同的线路速度，不同的系统容量，采用了不同的实现技术。路由器的结构体系正是根据数据通道转发引擎的实现机理来区分。

3 路由器安全设置

　　对于黑客来说，利用路由器的漏洞发起攻击通常是一件比较容易的事情。路由器攻击会浪费CPU周期，误导信息流量，使网络陷于瘫痪。好的路由器本身会采取一个好的安全机制来保护自己，但是仅此一点是远远不够的。保护路由器安全还需要网管员在配置和管理路由器过程中采取相应的安全措施。

4 堵住安全漏洞

　　限制系统物理访问是确保路由器安全的最有效方法之一。限制系统物理访问的一种方法就是将控制台和终端会话配置成在较短闲置时间后自动退出系统。避免将调制解调器连接至路由器的辅助端口也很重要。漏洞常常是在供应商发行补丁之前被披露，这就使得黑客抢在供应商发行补丁之前利用受影响的系统，这需要引起用户的关注。

5 避免身份危机

　　黑客常常利用弱口令或默认口令进行攻击。加长口令、选用30到60天的口令有效期等措施有助于防止这类漏洞。另外，一旦重要的IT员工辞职，用户应该立即更换口令。用户应该启用路由器上的口令加密功能，这样即使黑客能够浏览系统的配置文件，他仍然需要破译密文口令。实施合理的验证控制以便路由器安全地传输证书。在大多数路由器上，用户可以配置一些协议，如远程验证拨入用户服务，这样就能使用这些协议结合验证服务器提供经过加密、验证的路由器访问。

6 禁用不必要服务

　　拥有众多路由服务是件好事，但近来许多安全事件都凸显了禁用不需要本地服务的重要性。需要注意的是，禁用路由器上的CDP可能会影响路由器的性能。另一个需要用户考虑的因素是定时。定时对有效操作网络是必不可少的。即使用户确保了部署期间时间同步，经过一段时间后，时钟仍有可能逐渐失去同步。用户可以利用名为网络时间协议（NTP）的服务，对照有效准确的时间源以确保网络上的设备时针同步。只有绝对必要的时候才使用这些服务。

7 限制逻辑访问

　　限制逻辑访问主要是借助于合理处置访问控制列表。限制远程终端会话有助于防止黑客获得系统逻辑访问。SSH是优先的逻辑访问方法，但如果无法避免Tel，不妨使用终端访问控制，以限制只能访问可信主机。因此，用户需要给Tel在路由器上使用的虚拟终端端口添加一份访问列表。

　　控制消息协议（ICMP）有助于排除故障，但也为攻击者提供了用来浏览网络设备、确定本地时间戳和网络掩码以及对OS修正版本作出推测的信息。为了防止黑客搜集上述信息，只允许以下类型的ICMP流量进入用户网络：ICMP网无法到达的、主机无法到达的、端口无法到达的、包太大的、源抑制的以及超出生存时间（TTL）的。此外，逻辑访问控制还应禁止ICMP流量以外的所有流量。

　　使用入站访问控制将特定服务引导至对应的服务器。例如，只允许SMTP流量进入邮件服务器；DNS流量进入DSN服务器；通过安全套接协议层（SSL）的（/S）流量进入Web服务器。

　　用户还可以利用出站访问控制限制来自网络内部的流量。这种控制可以防止内部主机发送ICMP流量，只允许有效的源地址包离开网络。这有助于防止IP地址欺骗，减小黑客利用用户系统攻击另一站点的可能性。

8 监控配置更改

　　用户在对路由器配置进行改动之后，需要对其进行监控。如果用户使用SNMP，那么一定要选择功能强大的共用字符串，最好是使用提供消息加密功能的SNMP。此外，用户还需将系统日志消息从路由器发送至指定服务器。

　　为进一步确保安全管理，用户可以使用SSH等加密机制，利用SSH与路由器建立加密的远程会话。为了加强保护，用户还应该限制SSH会话协商，只允许会话用于同用户经常使用的几个可信系统进行通信。

　　配置管理的一个重要部分就是确保网络使用合理的路由协议。避免使用路由信息协议（RIP），RIP很容易被欺骗而接受不合法的路由更新。以上措施有助于确保系统接受的任何路由更新都是正确的。

9 实施配置管理

　　用户应该实施控制存放、检索及更新路由器配置的配置管理策略，并将配置备份文档妥善保存在安全服务器上，以防新配置遇到问题时用户需要更换、重装或回复到原先的配置。

　　用户可以通过两种方法将配置文档存放在支持命令行接口（CLI）的路由器平台上。在进行任何更改之前，制订详细的逆序操作规程。