利用安全路由器組網(wǎng)

利用安全路由器組網(wǎng)

　　個(gè)大的企業(yè)/公司需要把分布在全國的各個(gè)分公司或辦事處通過(guò)廣域網(wǎng)聯(lián)系起來(lái)，做到相互之間共享信息資源，由于需要在公用的數據網(wǎng)上傳輸數據，眾所周知在公用的數據網(wǎng)上傳輸數據信息并不是特別的安全。為了提高所傳輸的數據的安全性可以考慮使用安全路由器。安全路由器可以隱藏公司內部的網(wǎng)絡(luò )拓撲結構圖，同時(shí)還可以加密需要傳輸的數據，從而做到即使傳輸的數據在公網(wǎng)上給其它用戶(hù)攔截到時(shí)，他們也不能通過(guò)IP包來(lái)獲取公司內部的網(wǎng)絡(luò )IP地址及了解到內部的網(wǎng)絡(luò )拓撲結構圖，經(jīng)過(guò)加密的數據，沒(méi)有專(zhuān)門(mén)的解密工具一般的用戶(hù)是不可能知道所傳輸的數據包的內容。使用安全路由器的網(wǎng)絡(luò )拓撲圖如下圖所示：
　

圖 利用安全路由器組網(wǎng)


　　由于安全路由器具有數據加密的功能，局域網(wǎng)上的需要傳輸的數據在通過(guò)安全路由器向外發(fā)送時(shí)，安全路由器會(huì )根據一定的加密算法把數據加密，接收到該數據的對端也要使用相同的算法才能把數據還原。

　　安全路由器的IPSec的隧道模式還具有隱藏內部網(wǎng)絡(luò )拓撲結構圖的功能，安全路由器對所有需要發(fā)送的IP包，進(jìn)行重新封裝，在原來(lái)的IP包上封裝源和目的網(wǎng)關(guān)的IP地址；目的路由器對接收到的IP包，先去掉IPSec所增加的IP包頭，然后再根據IP包的源和目的地址，把該IP包發(fā)送到局域網(wǎng)上的目的主機上。

　　如上圖所示，當局域網(wǎng)A上的用戶(hù)要給局域網(wǎng)B上的用戶(hù)發(fā)送數據時(shí)，首先A用戶(hù)的IP報文通過(guò)出口安全路由器時(shí)被重新打包，在原來(lái)的IP包上封裝源和目的網(wǎng)關(guān)的IP地址，封裝后的IP報文傳送到目的地B端的安全路由器時(shí)，可被自動(dòng)識別出來(lái)，同時(shí)IP報文重新被解包，最終傳送到B端用戶(hù)。

　　IPSec技術(shù)介紹

　　IPSec是一個(gè)開(kāi)放式標準的框架?；贗ETF開(kāi)發(fā)的標準，IPSec可以在一個(gè)公共IP網(wǎng)絡(luò )上確保數據通訊的可靠性和完整性。IPSec對于實(shí)現通用的安全策略所需要的基于標準的靈活的解決方案提供了一個(gè)必備的要素。

　　TCP/IP協(xié)議簇提供了一個(gè)開(kāi)放式協(xié)議平臺，正將越來(lái)越多的部門(mén)和人員用網(wǎng)絡(luò )連接起來(lái)，網(wǎng)絡(luò )正在快速地改變著(zhù)我們工作和生活的方式，但是安全性的缺乏已經(jīng)減慢了聯(lián)網(wǎng)的發(fā)展速度。目前網(wǎng)絡(luò )面臨的各種威脅包括保密數據的泄露、完整性的破壞、身份偽裝和拒絕服務(wù)等。

　　首先是保密數據的泄露。一個(gè)罪犯可能會(huì )在公網(wǎng)上竊聽(tīng)保密性數據。這個(gè)可能是目前互相通信之間的最大障礙。沒(méi)有加密，每個(gè)發(fā)送的信息可能被一個(gè)未被授權的組織所竊聽(tīng)。由于早期協(xié)議對安全考慮的匱乏，各種用戶(hù)驗證信息如用戶(hù)名或口令均以明碼在網(wǎng)絡(luò )上傳輸。竊聽(tīng)者可以很容易得到用戶(hù)的帳戶(hù)信息。

　　其次是數據完整性的破壞。即使數據不是保密的，還要確保數據完整性。也許你不在乎別人看見(jiàn)你的交易過(guò)程，但你肯定在意交易是否被篡改。如果一旦你能用向銀行驗證你的身份，你一定想確保交易本身的內容不會(huì )被以某種方式被修改，如存款數額不會(huì )被修改。

　　再次是身份偽裝。除了保護數據本身以外，你肯定還要保護自己的身份。一個(gè)聰明的入侵者可能會(huì )偽造你的有效身份，存取只限于你本人可存取的保密信息。目前許多安全系統依賴(lài)于IP地址來(lái)唯一地識別用戶(hù)。不幸的是，這種系統很容易被欺騙并導致侵入。

　　另一種威脅是拒絕服務(wù)。一旦聯(lián)網(wǎng)之后，必須確保系統隨時(shí)可以工作。在過(guò)去數年內，攻擊者已在TCP/IP協(xié)議簇及其具體實(shí)現中發(fā)現若干弱點(diǎn)，以使他們可造成某些計算機系統崩潰。

　　對于抵抗上述威脅保障網(wǎng)絡(luò )安全并沒(méi)有一個(gè)簡(jiǎn)單的答案。加密和驗證是抵抗上述威脅保障的關(guān)鍵服務(wù)。很明顯，如果數據在傳輸過(guò)程中加密，那么sniffer就不能偵聽(tīng)和篡改。而網(wǎng)絡(luò )層驗證可以防止身份偽裝和拒絕服務(wù)。如果設備能正確識別數據的來(lái)源，那么就很難模仿一個(gè)友好的設備去實(shí)現拒絕服務(wù)的攻擊。

　　為實(shí)現IP網(wǎng)絡(luò )上的安全，IETF建立了一個(gè)Internet安全協(xié)議工作組負責IP安全協(xié)議和密鑰管理機制的制定。經(jīng)過(guò)幾年的努力，該工作組提出一系列的協(xié)議，構成一個(gè)安全體系，總稱(chēng)為IP Security Protocol，簡(jiǎn)稱(chēng)為IPSec。

　　IPSec主要包括兩個(gè)安全協(xié)議AH（Authentication Header）和ESP（Encapsulating Security Payload）及密鑰管理協(xié)議IKE（Internet Key Exchange）。AH提供無(wú)連接的完整性、數據發(fā)起驗證和重放保護。ESP 還可另外提供加密。密鑰管理協(xié)議IKE 提供安全可靠的算法和密鑰協(xié)商。這些機制均獨立于算法，這種模塊化的設計允許只改變不同的算法而不影響實(shí)現的其它部分。協(xié)議的應用與具體加密算法的使用取決于用戶(hù)和應用程序的安全性要求。

　　IPSec可以為IP提供基于加密的互操作性強高質(zhì)量的通信安全，所支持的安全服務(wù)包括存取控制、無(wú)連接的完整性、數據發(fā)起方認證和加密。這些服務(wù)在IP上實(shí)現，提供IP層或IP層之上的保護。實(shí)現網(wǎng)絡(luò )層的加密和驗證可以在網(wǎng)絡(luò )結構上提供一個(gè)端到端的安全解決方案。這樣終端系統和應用程序不需要任何改變就可以利用強有力的安全性保障用戶(hù)的網(wǎng)絡(luò )內部結構。因為加密報文類(lèi)似于通常IP報文，因此可以很容易通過(guò)任意IP網(wǎng)絡(luò )，而無(wú)須改變中間的網(wǎng)絡(luò )設備。只有終端網(wǎng)絡(luò )設備才需要了解加密，這可以大大減小實(shí)現與管理的開(kāi)銷(xiāo)。由于IPSec的實(shí)現位于網(wǎng)絡(luò )層上，實(shí)現IPSec的設備仍可進(jìn)行正常的IP通信，這樣可以實(shí)現設備的遠程監控和配置。