安全路由

编辑:这个网互动百科 时间:2020-07-05 08:28:00
编辑 锁定
本词条缺少名片图,补充相关内容使词条更完整,还能快速升级,赶紧来编辑吧!
所谓的安全路由技术即如何在IPSec VPN隧道上实现动态路由选择技术。安全路由技术将路由技术、VPN技术、安全路由技术——防火墙技术集成于一身。实现安全路由技术,关键在于建立一种特定的SA(Security Association),该SA既允许动态路由协议包通过,也同样允许两端所有用户的数据通过。建立这种SA,需要对IKE的信令进行改进,实现采用传输模式的信令来建立隧道模式的SA。
中文名
安全路由
类    别
动态路由选择技术
平    台
IPSec VPN隧道
特    点
动态路由协议包通过

安全路由什么是安全路由器

编辑
实际上,安全路由器只是一个松散的产品概念,并没有严格的范围界定,它通常是指集常规路由与网络安全防范功能于一身的网络安全设备,有部分安全路由器产品甚至完全是通过在现有常规路由平台之上加装安全加密卡,或相应的软件安全系统而来的。 [1] 
一般说来,具备IPSec(IP Security)协议支持、能够有效利用IPSec保证数据传输机密性与完整性或能够借助其它途径强化本身安全性能的路由器都可以称之为安全路由器。
与常规路由器产品相比,安全路由器能够提供常规路由器所不具备,的诸如IPSec协议支持、基于规则集的防火墙、基于OSPE V2路由协议的安全认证、信息加密与分布式密钥管理等功能,能够对IP数据报进行智能加密,可提供安全VPN通道、抗源地址欺骗、抗源路由攻击、抗极小数据和抗重叠分片的分组过滤功能及实现基于硬件的信息加密等功能。
绝大多数安全路由产品都提供了对IPSec协议的支持,因为数据传输加密技术的目的就是实现网络传输流量的加密,保障网络内数据流量的安全,而IPSec协议正是IETF Internet工程任务小组为保证公网数据传输机密性与安全性而制定的系列协议,它能够在IP层提供安全服务,为IP及上层协议、应用提供安全保护。

安全路由关于IPSec协议

编辑
IPSec协议包括ESP(Encapsulating Security Payload)封装安全负载、AH(Authentication Header)报头验证协议及IKE(Internet Key Exchange)密钥管理协议等,其中AH协议能够提供无连接的完整性、数据发起验证及重放保护,ESP主要用于提供额外的加密保护,而IKE则主要提供安全加密算法密钥协商。这些机制均独立于算法,协议的应用与具体加密算法的使用均可取决于用户及应用程序的安全性要求。因此,IPSec是一个开放性的安全标准框架,可以在一个公共IP网络上确保数据通信的可靠性和完整性,能够保障数据安全穿越公网而没有被侦听或窃改之虞,为实现通用安全策略所需的基于标准的解决方案提供了理想的应用框架。而且IPSec的部署极为简便,只需安全通道两端的路由器主机支持IPSec协议即可,几乎无需对网络现有基础设施进行任何更动。IPSec的优势主要表现为可以对所有IP级的通信进行加密和认证,可以为IP提供基于加密的互操作性强、高质量的通信安全,所支持的安全服务包括存取控制、无连接的完整性、数据发起方认证和加密。这正是IPSec协议能够确保包括远程登录、客户机、服务器、电子邮件文件传输及Web访问在内多种应用程序安全的主要依托。

安全路由安全路由器安全在哪

编辑
与常规路由器产品相比,安全路由器通常具有以下特征:采用IPSec协议;带有包过滤和代理协议的防火墙功能;能够隐藏内部网络拓扑结构;支持路由信息与IP数据包加密;能够实现身份鉴别、数据签名和数据完整性验证;具有灵活的密钥配置、支持集中式密钥与分布式密钥管理;可有效防止虚假路由信息的接收与路由器的非法接入;能够阻止非授权人员的入侵等。 [2] 

安全路由可与Internet连接,具有防火墙功能

编辑
安全路由器可对指定服务器/客户机的数据报进行加密,可支持Telnet、E-mail、Ftp、WWW等,具有节点加密机的功能。支持身份鉴别,数字签名数据完整性验证,而且安全路由器提供的硬件加密软件加密有更好的传输效率与安全性。

安全路由企业用户可以实现Intranet的安全加密

编辑
安全路由器可通过广域网与普通路由器或与安全路由器互联构成安全VPN通道。由于安全路由器具有数据加密的功能,局域网上需要传输的数据在通过安全路由器向外发送时,安全路由器会根据一定的加密算法将数据加密,接收到该数据的目标端也要使用相同的算法才能把数据还原。因此,自安全路由器发送的加密IP数据报可以透明地穿越普通路由器和广域网,到达目标安全路由器进行解密,这期间传送的IP数据报均为密文,可有效防止敏感信息的泄露,构成跨越公网的Intranet。

安全路由可以隐藏内部网络拓扑结构

编辑
安全路由器能够对所有需要发送的IP包进行重新封装,在原来IP包上封装源和目的网关的IP地址。目的路由器接收到IP包时,先去掉IPSec增加的IP包头,然后根据IP包的源和目的地址,把该IP包发送到局域网上的目的主机上。这样,大型企业与分支机构间传输的数据即使在公网上被拦截,拦截者也无法通过IP包获取公司内部网络IP地址,从而进一步了解内部网络拓扑结构。

安全路由选择安全路由器的7点注意

编辑

安全路由可靠性与线路安全

可靠性主要体现在接口故障和网络流量增大两种情况下,为此,备份是路由器不可或缺的手段之一。当主接口出现故障时,备份接口应可以自动投入工作,保证网络的正常运行。当网络流量增大时,备份接口又可承当负载分担的任务。

安全路由身份认证

路由器中的身份认证主要包括访问路由器时的身份认证、对端路由器的身份认证和路由信息的身份认证。

安全路由访问控制

对于路由器的访问控制,需要进行口令的分级保护。有基于IP地址的访问控制和基于用户的访问控制。

安全路由信息隐藏

与对端通信时,不一定需要用真实身份,通过地址转换,可以隐藏网内地址。除了由内部网络首先发起的连接,网外用户不能通过地址转换直接访问网内资源。

安全路由安全管理

[1] 
参考资料
词条标签:
计算机学