选择安全路由器的标准

徐文
　　当前，市场上的安全路由器产品形态五花八门，这让用户在选择安全路由器时更加迷惑，到底符合什么标准的路由器才算是安全路由器？究竟应该看中的是哪一点安全？

　　其实，安全路由器是从功能方面定义的，用户在选购产品时可以从路由器本身的可靠性和线路安全措施、身份认证、数据加密、入侵检测和防范以及安全管理等几个方面来考虑。

　　从路由器的可靠性与线路安全方面来说，路由器设计接口时，必须有备份支持。当主接口发生故障时，备份接口自动投入工作，保证网络的正常运行；当网络流量增大时，备份接口又可以担当负载分担的任务。

　　身份认证可以分为两种：一是针对访问路由器方式、对端路由器和路由信息进行身份认证；二是针对用户的身份认证，也就是访问控制。路由器的访问权限需要进行口令的分级保护，通过包过滤实现基于IP地址的访问控制。在基于用户的访问控制方面，路由器也可以提供接入服务功能。通过对用户设置特定的过滤属性，可实现对接入用户的访问控制。此外，与对端路由器通信时，支持链路层的验证如PPP认证，通过地址转换，可以做到隐藏网内地址，只以公共地址的方式访问外部网络。除了内部网络首先发起的连接，网外用户不能通过地址转换直接访问网内资源。

　　通过对路由器所发送的报文进行加密，即使在Internet上进行传输，也能保证数据的私有性、完整性以及报文内容的真实性。通过明文或者MD5加密算法对交互路由信息的双方进行验证，确保交互对象的合法身份，对路由信息进行策略控制，增加路由信息的安全可靠性。对于利用公网构建VPN的情况，数据加密能够保证通过隧道传输的数据安全。现在通行的做法是，采用内嵌式设计方法，将加密模件内化到路由器中。

　　针对端口扫描攻击，一个安全的路由器必须具有良好的入侵检测和防范功能，必要时要通过各种攻击测试才能确认路由器是否足够安全。同时，路由器的安全运行涉及到越来越多的安全策略，有必要进行安全策略管理。 此外，路由器还可以通过日志、系统监控结合SNMP形成对网络的有效监控并提供分析依据。

摘自《中国计算机报》