简述路由器网络安全访问策略-计算机论文

　　简述路由器网络安全访问策略
　　张勇西安市质量技术监督局
　　【摘要】目前计算机网络通信中采用最为普遍的TCP／IP协议吸收了OSI标准中的概念及特征。TCP／IP模型由四个层次组成即：应用层、传输层、网络层、数据链路层+物理层。只有对等层才能相互通讯。路由器就工作在TCP／IP模型的第三层(网络层)，主要作用是为收到的报文寻找正确的路径，并把它们转发出去。本文主要介绍路由器网络安全访问策略。
　　【关键词】路由器访问策略
　　1、引言
　　1977年，国际标准化组织(IS0)制定了开放系统互连基本参考模型(0SI)，0SI参考模型采用分层结构技术，将整个网络的通信功能分为职责分明的七层，由高到低分别是：应用层、表示层、会话层、传输层、网络层、数据链路层、物理层。路由器的基本构成部分：（1）两个或两个以上的接口(用于连接不同的网络)；（2）协议至少实现到网络层(只有理解网络层协议才能与网络层通讯)；（3）至少支持两种以上的子网协议(异种网)；（4）一组路由协议。路由器的功能主要有：(1)网络互连，路由器支持各种局域网和广域网接口，主要用于互连局域网和广域网。(2)存储、转发、寻径功能。数据处理，包括数据包的路径决策、负载平衡、多媒体传输(多播)等，提供包括分组过滤、分组转发、优先级、复用、加密、压缩和防火墙等功能。(3)网络管理，路由器提供包括配置管理、性能管理、容错管理和流量控制等功能，括QoS、访问列表(防火墙)、验证、授权、计费、链路备份、调试、管理等。
　　2、路由器网络安全访问策略
　　2.1访问控制列表
　　访问控制列表(AccessControlList，ACL)是应用到路由器接口或线路的指令列表，这些指令列表用来告诉路由器哪些数据包可以接收，哪些数据包需要拒绝。至于数据包是被接收还是被拒绝，可以由特定指示条件，如源地址、目的地址和端口号等来决定。
　　2.1.1ACL工作原理
　　一个ACL是一组判断语句的集合，它可以应用于路由器的某个接口或线路，从而可以对出入路由器的数据包进行控制。当一个数据包到达一个接口时，如果该接口应用了某一个访问控制列表，则需要与访问控制列表中的条件判断语句进行匹配。访问控制列表中的条件判断语句按照逻辑次序顺序执行。如果一个数据包的报头与某个条件判断语句相匹配，该数据包就忽略剩下的判断语句，至此比较过程结束。
　　2.1.2动态访问控制列表
　　动态访问控制列表是一般访问控制列表的增强类型，其主要思想是：当用户希望访问内部网络资源时，首先通过Telnet远程登录到路由器，如果用户的身份经过成功认证，路由器便关闭Telnet会话，并在接口向内的方向增加一个动态表项，该动态表项授予用户的源IP地址临时通过路由器进行访问的权限，从而达到访问内部网络资源的目的。在达到了一个预先设置好的超时限制或网络管理员手工清除后，路由器将删除该访问控制列表的临时性动态条目，此时外部用户需要重新认证才能访问内部网络资源。
　　2.2Radius服务器
　　路由器收到用户的认证请求，可以通过本地认证，即在路由器上建立一个用户名和口令数据库，但是如果需要管理的路由器很多，这种方法比较烦琐。为了避免管理开销，可以将路由器配置为参考一台安全服务器而不是一个本地数据库来执行用户认证，这些安全服务器可以将网络中所有的用户名和口令集中保存在一个中央数据库里。网络管理员一般都为实现该目的而选用一台TACACS+或RADIUS服务器。RADIUS采用客户端碉艮务器结构，它已经被广泛实施在各种各样的需要高级别安全且需要远程访问的网络环境。RADIUS可以提供AAA服务，包含Authentication(认证)、Authorization(授权)、Accounting(计账)三个方面。它解决了哪些用户可以访问网络服务器，具有访问权的用户可以得到哪些服务，如何对用户计费这些问题。RADIUS认证机制灵活，可以采用PAP、CHAP等认证方式。
　　2.2主要技术分析
　　2.1IPv6技术。IPv6是IP的一种新的版本，它同目前广泛使用的的IPv4相比，地址由32位扩充到128位。从理论上说，地址的数量由原先的4．3x109个增加到4．3x1038个。经由IPv6，路由数可以减少一个数量级。IPv6所以能使互联网连接许多东西变得简单而且使用容易是因为它使用了四种技术：地址空间的扩充、可使路由表减小的地址构造、自动设定地址以及提高安全保密性。IPv6在路由技术上继承了IPv4的有利方面，代表未来路由技术的发展方向。
　　2.2提高路由器吞吐量的技术。路南器的吞吐量是指路由器单位时间内能够转发的报文数，通常用pps(PacketPerSecond)表示。以一个典型的企业网为例．一个派驻机构的上行速率有2000pps就够了，分支的核心路由设备必需具有几万pps的吞吐能力，而公司总部的路由中心则可能需要几十万甚至上百万pps的处理能力。目前主要有下面的提高路由器吞吐量的技术：改造路由表；采用Cache；采用分布式处理；高层交换；硬件(FPGA／ASIC)转发等。交换式路由器(SwitchRouter)就是利用这些技术的结晶。
　　2.3可编程ASIC技术。ASIC技术能够使得路由器的速度提高并降低制造成本。由于设计生产的投入相当大，ASIC基本上都用于已完全标准化和固化的过程。为了满足计算机网络各种结构和协议的频繁变化的要求，出现了“可编程ASIC”技术。实际应用中多数采用存ASIC芯片中内嵌入专门处理通信协议的CPU，通过改写微码，使其具有处理不同协议的能力。
　　2.4VPN技术。VPN(VirtualPrivateNetwork)虚拟私有网络就是利用公共网络来构建的私人专用网络。用于构建VPN的公共网络包括Internet、帧中继、ATM等。在公共网络上组建的VPN象企业现有的私有网络一样能够保证安全性、可靠性和可管理性等。“虚拟”的概念是相对传统私有网络的构建方式而言的。对于广域网连接，传统的组网方式是通过远程拨号连接来实现的，而VPN是利用服务提供商所提供的公共网络来实现远程的广域连接。
　　2.5QoS(QualityofService)。QoS是两网合一和VPN等应用推广的前提。在融合的推动下数据网上承载的业务越来越广泛，话音、电子商务、远程教育等。传统的数据网对业务是不区分的，当网上数据流量比较大时话音质量将急剧下降，某些重要的公司业务流也将受到影响。QoS就是要区别对待这些业务，提高网络的服务质量。QoS包含的流分类是将接人的用户数据按业务进行分类，赋予不同的优先级：流量整形是指对特定的业务流进行带宽限制，使之符合QoS协定；流量工程则是从全网管理的高度保障QoS。
　　2.6MPLS(MuhiProtocolLabelSwitch)——多协议标记交换。IP的发展存在着一个非常明显的障碍，这是由IP本身固有的一个缺陷决定的，IP是一个无连接的协议，因此IP网上的应用无法得到很好的QoS保证。IP具有其他网络协议所无法比拟的灵活性．这一点通过Internet已经得到了证明，而面向连接的协议可以保证QoS，因此这两种协议的结合是非常有意义的，这就导致MPLS的产生。MPLS将IP的灵活性和帧中继、ATM等面向连接网络的QoS保证特性有效地结合在了一起，这对于IP的进一步广泛应用无疑有着巨大的推作用。
　　2.7多播技术。多播(Multicast)主要用于视频会议等应用场合，这种应用需要同一份数据同时发送给多个用户。多播包的目的地址使用D类IP地址，即从224．0．0．0到239．255．255．255的多播地址。每个多播地址代表一个多播组，而不是一台主机。IGMP(Internet组管理协议)用于控制用户加入或离开多播组，多播路由协议则用于建立多播路由表，称多播树。如果一个局域网中有一个用户通过IGMP宣布加入某多播组，则局域网中的多播路由器就将该信息通过多播路由协议进行传播，最终将该局域网作为一