文档介绍：1
路由器安全管理
路由器安全概述
AAA与RADIUS协议原理及配置
访问控制列表配置
库文档分享
2
引言
路由器是一种用于网络互连的专用计算机设备,在网络建设中具有不可替代的作用。路由器工作在OSI参考模型的第三层网络层,它的主要作用是为收到的报文寻找正确的路径,并把它们转发出去。
作为路由器,必须具备:
两个或两个以上的接口(用于连接不同的网络);
协议至少实现到网络层(只有理解网络层协议才能与网络层通讯);
至少支持两种以上的子网协议;
具有存储、转发、寻址功能;
一组路由协议。
库文档分享
3
引言
路由器的用途:
异种网络互连:主要是指具有异种子网协议的网络互连。路由器在报文转发的过程中实现协议转换;
速率适配:不同接口具有不同的速率,路由器可以利用自己的缓冲区、队列等能力实现对不同速率网络的适配;
隔离网络,防止广播风暴,链路层的报文不会通过路由器转发,网络层的广播报文也不会穿过路由器转发;
路由(寻址):路由表建立、刷新、查找;
分片与重组:接口的MTU不同时,超过接口的MTU的报文会被路由器分片,只有到达目的地的报文才会被重组;
备份流控等。
库文档分享
4
引言
在默认情况下,路由器访问密码存储在固定位置,用sniffer嗅探器很容易获得登录名和密码,使得路由器完全受到攻击者控制,从而入侵整个路由器管理的网络。
目前的路由器种类繁多,优质的路由器都有自己丰富的安全机制,一般都内置了防火墙、入侵检测系统等,但还进一步需要网络管理员配置相应的安全策略及进行相应的管理。
国内应用最多的主要有思科公司的IOS平台和华为公司的VRP平台。
库文档分享
5
路由器安全管理
路由器安全概述
AAA与RADIUS协议原理及配置
访问控制列表配置
库文档分享
6
路由器安全概述
路由器相关安全特性具有两层含义:保证内部局域网的安全和保护外部进行数据交换的安全。
在开放式的网络环境中,每个网络都是一种对等关系,相互之间可以直接访问。为了增强网络的安全性,需要将这种对等界定在一定的范围之内。使开放的环境处于一种受控的状态。
库文档分享
7
路由器安全概述
针对网络存在的各种安全隐患,路由器必须具有的安全特性包括:身份认证、访问控制、信息隐藏、数据加密和防伪、安全管理、可靠性和线路安全。
可靠性要求主要针对故障恢复、负载能力和主设备运行故障时,备份自动接替工作。
负载分担主要指网络流量增大时,备份链路承担部分主要链路的工作。
线路安全指的是线路本身的安全性,用于防止非法用户利用线路进行访问。
网络安全身份认证包括:访问路由器时的身份认证、Console登录配置、登录配置、SNMP登录配置、Modem远程配置、对其它路由的身份认证、直接相连的邻居路由器配置、逻辑连接的对等体配置、路由信息的身份认证、防伪造路由信息的侵入安全特性。
库文档分享
8
路由器安全概述
身份认证是网络安全中的重要问题之一,主要保证只有合法的用户和经过授权的用户才可以访问、控制路由器。如需要配置路由器时,需要验证用户名和密码。路由器安全技术中包括AAA(Authentication、Authorization、Accounting),它是验证、授权和记账的简称。网络安全服务提供一个实现身份认证的框架来支持验证、授权、记账服务,使用RADIUS等协议实现对网络的访问控制。AAA技术可以提供基于用户的验证、授权、记账服务。基于用户的含义是,AAA技术不是根据IP地址等信息来验证用户,而是根据用户名、口令对用户进行验证。RADIUS采用客户机/服务器(Client/Server)结构。验证、授权时客户端的任务是将用户(User)的信息发送到指定的服务器,然后根据服务器的不同响应进行相应处理。
库文档分享
9
路由器安全概述
访问控制是路由器提供的一种重要策略,访问控制可以有效地防止一些非法的访问。包过滤技术提供访问控制的基本框架,从而实现基于IP地址等信息的包过滤、提供基于接口的包过滤和提供基于时间段的包过滤,包过滤技术是利用访问控制列表实现的一种防火墙技术。它是最常用的访问控制手段。
可以通过地址转换技术来实现信息隐藏,使用地址转换技术可以隐藏内网的网络结构、IP地址等信息,增强了内网的安全特性。
库文档分享
10
路由器安全概述
利用公网传输数据不可避免地面临数据窃听的问题,于是出现了数据加密和防伪技术。相关技术包括:数据加密技术、数字签名技术、IPSec协议等。上传递的数据加密。加密技术包含两个方面:普通的加密和防伪。其中防伪技术能够防止报文被不法分子截获之后,将报文修改,然后重新放到网上继续传递。路由器提供IPSec和IKE技术。IPSec可以实现数据的加密以及防伪,可以在