.
12
路由器安全概述
LOGO
❖ 安全管理是指保证重要的网络设备处于安全的运行环境， 防止人为破坏、保护访问口令等重要的安全信息、进行安 全策略管理，有效利用安全策略，在网络出入口实现报文 审计和过滤，提供网络运行的必要信息。对路由器等重要 网络设备的管理是保证路由器安全运行的一个重要方面， 必须要保证没有权限的用户不能随便配置路由器，也不能 得到路由器的配置信息。另外同样需要保障网络拓扑信息 的安全。安全接入Internet包括基于接口的包过滤、基于 时间段定义过滤规则、通过地址转换访问Internet、外部 不能直接访问内部网络，可以通过地址转换向外提供 WWW、FTP等服务，避免内部服务器直接受到攻击，日 志主机可以记录网络运行情况便于用户的安全分析和管理。
.
7
路由器安全概述
LOGO
针对网络存在的各种安全隐患，路由器必须具有的安 全特性包括：身份认证、访问控制、信息隐藏、数据加密 和防伪、安全管理、可靠性和线路安全。
❖ 可靠性要求主要针对故障恢复、负载能力和主设备运行故 障时，备份自动接替工作。
❖ 负载分担主要指网络流量增大时，备份链路承担部分主要 链路的工作。
.
9
路由器安全概述
LOGO
❖ 访问控制是路由器提供的一种重要策略，访问控 制可以有效地防止一些非法的访问。包过滤技术 提供访问控制的基本框架，从而实现基于IP地址 等信息的包过滤、提供基于接口的包过滤和提供 基于时间段的包过滤，包过滤技术是利用访问控 制列表实现的一种防火墙技术。它是最常用的访 问控制手段。
❖ 国内应用最多的主要有思科公司的IOS平
台和华为公司的VRP平台。
.
5
路由器安全管理
LOGO
❖ 路由器安全概述 ❖ AAA与RADIUS协议原理及配置 ❖ 访问控制列表配置
.
6
路由器安全概述
LOGO
❖ 路由器相关安全特性具有两层含义：保 证内部局域网的安全和保护外部进行数 据交换的安全。
❖ 在开放式的网络环境中，每个网络都是 一种对等关系，相互之间可以直接访问。 为了增强网络的安全性，需要将这种对 等界定在一定的范围之内。使开放的环 境处于一种受控的状态。
.
8
路由器安全概述
LOGO
❖ 身份认证是网络安全中的重要问题之一，主要保证只有合 法的用户和经过授权的用户才可以访问、控制路由器。如 需要配置路由器时，需要验证用户名和密码。路由器安全
技术中包括AAA（Authentication、Authorization、 Accounting），它是验证、授权和记账的简称。网络安 全服务提供一个实现身份认证的框架来支持验证、授权、网络安全来自第7讲LOGO.
1
路由器安全管理
LOGO
❖ 路由器安全概述 ❖ AAA与RADIUS协议原理及配置 ❖ 访问控制列表配置
.
2
引言
LOGO
❖ 路由器是一种用于网络互连的专用计算机设备， 在网络建设中具有不可替代的作用。路由器工 作在OSI参考模型的第三层网络层，它的主要 作用是为收到的报文寻找正确的路径，并把它 们转发出去。
▪ 备份流控等。
.
4
引言
LOGO
❖ 在默认情况下，路由器访问密码存储在 固定位置，用sniffer嗅探器很容易获得 登录名和密码，使得路由器完全受到攻 击者控制，从而入侵整个路由器管理的 网络。
❖ 目前的路由器种类繁多，优质的路由器 都有自己丰富的安全机制，一般都内置 了防火墙、入侵检测系统等，但还进一 步需要网络管理员配置相应的安全策略 及进行相应的管理。
▪ 速率适配：不同接口具有不同的速率，路由器可以 利用自己的缓冲区、队列等能力实现对不同速率网 络的适配；
▪ 隔离网络，防止广播风暴，链路层的报文不会通过 路由器转发，网络层的广播报文也不会穿过路由器 转发；
▪ 路由（寻址）：路由表建立、刷新、查找；
▪ 分片与重组：接口的MTU不同时，超过接口的MTU 的报文会被路由器分片，只有到达目的地的报文才 会被重组；
及生成共享的会话密钥的方法。
.
11
路由器安全概述
LOGO
❖虚拟私有网（Virtual Private Network，VPN） 是近年来随着Internet的发展而迅速发展起来的 一种技术。许多企业趋向于利用Internet来替代 他们的私有数据网络。相对于企业原有的 Intranet，这种利用Internet的虚拟链路来传输私 有信息而形成的逻辑网络就称为虚拟私有网。 VPN的一个核心技术就是“隧道技术”，这种技 术的主要思想是将一种类型网络的数据包通过另 一种类型网络进行传输。二层隧道是建立在链路 层的隧道，三层隧道是建立在网络层的隧道。
❖ 作为路由器，必须具备：
▪ 两个或两个以上的接口（用于连接不同的网络）；
▪ 协议至少实现到网络层（只有理解网络层协议才能 与网络层通讯）；
▪ 至少支持两种以上的子网协议；
▪ 具有存储、转发、寻址功能； ▪ 一组路由协议。
.
3
引言
LOGO
❖ 路由器的用途：
▪ 异种网络互连：主要是指具有异种子网协议的网络 互连。路由器在报文转发的过程中实现协议转换；
记账服务，使用RADIUS等协议实现对网络的访问控制。 AAA技术可以提供基于用户的验证、授权、记账服务。基 于用户的含义是，AAA技术不是根据IP地址等信息来验证 用户，而是根据用户名、口令对用户进行验证。RADIUS 采用客户机/服务器（Client/Server）结构。验证、授权 时客户端的任务是将用户（User）的信息发送到指定的服 务器，然后根据服务器的不同响应进行相应处理。
❖ 可以通过地址转换技术来实现信息隐藏，使用地 址转换技术可以隐藏内网的网络结构、IP地址等 信息，增强了内网的安全特性。
.
10
路由器安全概述
LOGO
❖ 利用公网传输数据不可避免地面临数据窃听的问 题，于是出现了数据加密和防伪技术。相关技术 包括：数据加密技术、数字签名技术、IPSec协 议等。数据加密技术主要是将需要在Internet上 传递的数据加密。加密技术包含两个方面：普通 的加密和防伪。其中防伪技术能够防止报文被不 法分子截获之后，将报文修改，然后重新放到网 上继续传递。路由器提供IPSec和IKE技术。 IPSec可以实现数据的加密以及防伪，可以在不 安全的线路上传输加密信息从而形成“安全的隧 道”。IKE为通信双方提供交换密钥等服务，它 定义了通信双方进行身份认证、协商加密算法以
❖ 线路安全指的是线路本身的安全性，用于防止非法用户利 用线路进行访问。
❖ 网络安全身份认证包括：访问路由器时的身份认证、 Console登录配置、Telnet登录配置 、SNMP登录配置、 Modem远程配置、对其它路由的身份认证、直接相连的 邻居路由器配置、逻辑连接的对等体配置、路由信息的身 份认证、防伪造路由信息的侵入安全特性。