基本介紹
定義,IPSec協定,特點,功能,注意,
定義
實際上,安全路由器只是一個鬆散的產品概念,並沒有嚴格的範圍界定,它通常是指集常規路由與網路安全防範功能於一身的網路安全設備,有部分安全路由器產品甚至完全是通過在現有常規路由平台之上加裝安全加密卡,或相應的軟體安全系統而來的。
與常規路由器產品相比,安全路由器能夠提供常規路由器所不具備,的諸如IPSec協定支持、基於規則集的防火牆、基於OSPE V2路由協定的安全認證、信息加密與分散式密鑰管理等功能,能夠對IP數據報進行智慧型加密,可提供安全VPN通道、抗源地址欺騙、抗源路由攻擊、抗極小數據和抗重疊分片的分組過濾功能及實現基於硬體的信息加密等功能。
絕大多數安全路由產品都提供了對IPSec協定的支持,因為數據傳輸加密技術的目的就是實現網路傳輸流量的加密,保障網路內數據流量的安全,而IPSec協定正是IETF Internet工程任務小組為保證公網數據傳輸機密性與安全性而制定的系列協定,它能夠在IP層提供安全服務,為IP及上層協定、套用提供安全保護。
IPSec協定
IPSec協定包括ESP(Encapsulating Security Payload)封裝安全負載、AH(Authentication Header)報頭驗證協定及IKE(Internet Key Exchange)密鑰管理協定等,其中AH協定能夠提供無連線的完整性、數據發起驗證及重放保護,ESP主要用於提供額外的加密保護,而IKE則主要提供安全加密算法與密鑰協商。這些機制均獨立於算法,協定的套用與具體加密算法的使用均可取決於用戶及應用程式的安全性要求。因此,IPSec是一個開放性的安全標準框架,可以在一個公共IP網路上確保數據通信的可靠性和完整性,能夠保障數據安全穿越公網而沒有被偵聽或竊改之虞,為實現通用安全策略所需的基於標準的解決方案提供了理想的套用框架。而且IPSec的部署極為簡便,只需安全通道兩端的路由器或主機支持IPSec協定即可,幾乎無需對網路現有基礎設施進行任何更動。IPSec的優勢主要表現為可以對所有IP級的通信進行加密和認證,可以為IP提供基於加密的互操作性強、高質量的通信安全,所支持的安全服務包括存取控制、無連線的完整性、數據發起方認證和加密。這正是IPSec協定能夠確保包括遠程登錄、客戶機、伺服器、電子郵件、檔案傳輸及Web訪問在內多種應用程式安全的主要依託。
特點
功能
可與Internet連線,具有防火牆功能
安全路由器可對指定伺服器/客戶機的數據報進行加密,可支持Telnet、E-mail、Ftp、WWW等,具有節點加密機的功能。支持身份鑑別,數字簽名和數據完整性驗證,而且安全路由器提供的硬體加密比軟體加密有更好的傳輸效率與安全性。
企業用戶可以實現Intranet的安全加密
安全路由器可通過廣域網與普通路由器或與安全路由器互聯構成安全VPN通道。由於安全路由器具有數據加密的功能,區域網路上需要傳輸的數據在通過安全路由器向外傳送時,安全路由器會根據一定的加密算法將數據加密,接收到該數據的目標端也要使用相同的算法才能把數據還原。因此,自安全路由器傳送的加密IP數據報可以透明地穿越普通路由器和廣域網,到達目標安全路由器進行解密,這期間傳送的IP數據報均為密文,可有效防止敏感信息的泄露,構成跨越公網的Intranet。
可以隱藏內部網路拓撲結構
安全路由器能夠對所有需要傳送的IP包進行重新封裝,在原來IP包上封裝源和目的網關的IP位址。目的路由器接收到IP包時,先去掉IPSec增加的IP包頭,然後根據IP包的源和目的地址,把該IP包傳送到區域網路上的目的主機上。這樣,大型企業與分支機構間傳輸的數據即使在公網上被攔截,攔截者也無法通過IP包獲取公司內部網路IP位址,從而進一步了解內部網路拓撲結構。
注意
可靠性與線路安全
可靠性主要體現在接口故障和網路流量增大兩種情況下,為此,備份是路由器不可或缺的手段之一。當主接口出現故障時,備份接口應可以自動投入工作,保證網路的正常運行。當網路流量增大時,備份接口又可承當負載分擔的任務。
身份認證
路由器中的身份認證主要包括訪問路由器時的身份認證、對端路由器的身份認證和路由信息的身份認證。
訪問控制
對於路由器的訪問控制,需要進行口令的分級保護。有基於IP位址的訪問控制和基於用戶的訪問控制。
信息隱藏
安全管理
