所谓的安全
路由技术即如何在IPSec VPN隧道上实现
动态路由选择技术。安全
路由技术将路由技术、
VPN技术、安全路由技术——
防火墙技术集成于一身。实现安全
路由技术,关键在于建立一种特定的SA(Security Association),该SA既允许
动态路由协议包通过,也同样允许两端所有用户的数据通过。建立这种SA,需要对IKE的信令进行改进,实现采用传输模式的信令来建立
隧道模式的SA。
实际上,
安全路由器只是一个松散的产品概念,并没有严格的范围界定,它通常是指集常规路由与
网络安全防范功能于一身的网络安全设备,有部分安全路由器产品甚至完全是通过在现有常规路由平台之上加装安全加密卡,或相应的软件安全系统而来的。
一般说来,具备IPSec(IP Security)
协议支持、能够有效利用IPSec保证数据传输机密性与完整性或能够借助其它途径强化本身安全性能的路由器都可以称之为
安全路由器。
与常规路由器产品相比,
安全路由器能够提供常规路由器所不具备,的诸如IPSec
协议支持、基于规则集的
防火墙、基于OSPE V2
路由协议的安全认证、信息加密与分布式
密钥管理等功能,能够对
IP数据报进行智能加密,可提供安全VPN通道、抗源地址欺骗、抗源
路由攻击、抗极小数据和抗重叠分片的分组过滤功能及实现基于硬件的信息加密等功能。
绝大多数安全路由产品都提供了对
IPSec协议的支持,因为数据传输
加密技术的目的就是实现
网络传输流量的加密,保障网络内数据流量的安全,而IPSec协议正是IETF Internet工程任务小组为保证公网数据传输机密性与安全性而制定的系列协议,它能够在IP层提供
安全服务,为IP及上层协议、应用提供安全保护。
IPSec协议包括ESP(Encapsulating Security Payload)
封装安全负载、AH(Authentication Header)报头验证协议及IKE(Internet Key Exchange)
密钥管理协议等,其中AH协议能够提供无连接的完整性、数据发起验证及重放保护,ESP主要用于提供额外的加密保护,而IKE则主要提供安全
加密算法与
密钥协商。这些机制均独立于算法,协议的应用与具体
加密算法的使用均可取决于用户及应用程序的安全性要求。因此,IPSec是一个开放性的安全标准框架,可以在一个公共IP网络上确保数据通信的可靠性和完整性,能够保障
数据安全穿越公网而没有被侦听或窃改之虞,为实现通用
安全策略所需的基于标准的解决方案提供了理想的应用框架。而且IPSec的部署极为简便,只需安全通道两端的
路由器或
主机支持IPSec协议即可,几乎无需对网络现有基础设施进行任何更动。IPSec的优势主要表现为可以对所有IP级的通信进行加密和认证,可以为IP提供基于加密的互操作性强、高质量的通信安全,所支持的
安全服务包括存取控制、无连接的完整性、数据发起方认证和加密。这正是IPSec协议能够确保包括
远程登录、客户机、服务器、
电子邮件、
文件传输及Web访问在内多种
应用程序安全的主要依托。
与常规路由器产品相比,
安全路由器通常具有以下特征:采用IPSec协议;带有
包过滤和代理协议的
防火墙功能;能够隐藏内部
网络拓扑结构;支持路由信息与IP
数据包加密;能够实现身份鉴别、数据签名和
数据完整性验证;具有灵活的
密钥配置、支持集中式密钥与分布式
密钥管理;可有效防止虚假路由信息的接收与路由器的非法接入;能够阻止非授权人员的入侵等。
安全路由器可对指定服务器/客户机的数据报进行加密,可支持Telnet、E-mail、Ftp、WWW等,具有节点
加密机的功能。支持身份鉴别,
数字签名和
数据完整性验证,而且安全路由器提供的
硬件加密比
软件加密有更好的
传输效率与安全性。
安全路由器可通过
广域网与普通路由器或与安全路由器互联构成安全VPN通道。由于安全路由器具有
数据加密的功能,局域网上需要传输的数据在通过安全路由器向外发送时,安全路由器会根据一定的
加密算法将数据加密,接收到该数据的目标端也要使用相同的算法才能把数据还原。因此,自
安全路由器发送的加密
IP数据报可以透明地穿越普通路由器和
广域网,到达目标安全路由器进行解密,这期间传送的IP数据报均为密文,可有效防止敏感信息的泄露,构成跨越公网的Intranet。
安全路由器能够对所有需要发送的IP包进行重新
封装,在原来IP包上封装源和目的网关的IP地址。目的
路由器接收到IP包时,先去掉IPSec增加的IP包头,然后根据IP包的源和目的地址,把该IP包发送到局域网上的目的主机上。这样,大型企业与分支机构间传输的数据即使在公网上被拦截,拦截者也无法通过IP包获取公司内部网络IP地址,从而进一步了解内部网络拓扑结构。
可靠性主要体现在接口故障和网络流量增大两种情况下,为此,备份是路由器不可或缺的手段之一。当主接口出现故障时,备份接口应可以自动投入工作,保证网络的正常运行。当网络流量增大时,备份接口又可承当负载分担的任务。
路由器中的身份认证主要包括访问路由器时的身份认证、对端路由器的身份认证和路由信息的身份认证。
对于
路由器的访问控制,需要进行口令的分级保护。有基于IP地址的访问控制和基于用户的访问控制。
与对端通信时,不一定需要用真实身份,通过
地址转换,可以隐藏网内地址。除了由内部网络首先发起的连接,网外用户不能通过
地址转换直接访问网内资源。