路由器、交換機以及防火墻漏洞和應(yīng)對分析

曾大勇

（民航華北空管局，北京 100621）

1 出現(xiàn)漏洞的多種原因

1.1 人為因素導(dǎo)致網(wǎng)絡(luò)設(shè)備破壞

有些漏洞可以修復(fù)，有些漏洞是不可以的。占據(jù)路由和交換市場最多份額的是思科公司。思科Security Advisories、Response和Notices網(wǎng)站為方便人們生活建立了一個新的數(shù)據(jù)庫，思科產(chǎn)品的各種安全問題讓思科各個用戶明白和了解。思科會毫無保留的揭示紕漏，也會及時發(fā)布修復(fù)方法，因為思科投資了很大一筆資金來研究分析產(chǎn)品的安全。

1.2 BGP的重定向引起風(fēng)險

數(shù)據(jù)丟失，是網(wǎng)絡(luò)設(shè)備潛在的危險之一，雖然攻擊方式多種多樣，BGP即邊界網(wǎng)關(guān)協(xié)議的攻擊方式越來越困難繁瑣。BGP一直是互聯(lián)網(wǎng)的核心協(xié)議，邊界網(wǎng)關(guān)協(xié)議是用于TCP上的一種自治系統(tǒng)的路由協(xié)議，也是唯一一個運用于處理類似于因特網(wǎng)這樣的網(wǎng)絡(luò)協(xié)議。BGP構(gòu)建于EGP的經(jīng)驗之上，它的自治系統(tǒng)號碼是ASN。網(wǎng)關(guān)可以檢查數(shù)據(jù)包創(chuàng)ISP時的ASN，來識別單個數(shù)據(jù)包從哪個ISP來。

1.3 超過防火墻

如果不小心讓其他人甚至于攻擊者獲得防火墻的管理訪問權(quán)限，造成的后果不堪設(shè)想。對于各大企業(yè)的網(wǎng)絡(luò)設(shè)備來說，防火墻是最重要的防御措施，只要破壞者或者攻擊者獲取了防火墻的訪問權(quán)限，那么他的操控將來去自如，不被局限和控制，想要盜取任何企業(yè)信息或個人資料都信手拈來，如果越來越多的攻擊者出現(xiàn)，那么對網(wǎng)絡(luò)的自由操控引發(fā)的后果將是毀滅性的[1]。

2 防御漏洞的出現(xiàn)采取一系列措施

2.1 路由器安全防護措施

路由器對于網(wǎng)絡(luò)而言，相當(dāng)于過渡工具，路由器有好壞之分，每個路由器至少有2個端口和2個網(wǎng)絡(luò)相互連接，好的路由器采用嚴格的安全機制保護自己也保護網(wǎng)絡(luò)，網(wǎng)絡(luò)管理者及路由器安裝者也應(yīng)對其進行安全保護，做好安全防護措施。路由器里一般都有一個“路由表”，記載著相鄰或不相鄰的路徑信息，跟蹤紀錄路由器的地址信息，盡量滿足人們對網(wǎng)速的需求，實現(xiàn)以最短的路徑和最少的花銷傳送數(shù)據(jù)包。路由器的穩(wěn)定保證網(wǎng)絡(luò)運用的暢通無阻，方便網(wǎng)絡(luò)帶來的一切活動，一旦出現(xiàn)網(wǎng)絡(luò)連接失敗等問題，網(wǎng)絡(luò)運行速度瞬間下降。

2.2 交換機安全防護措施

為了維護網(wǎng)絡(luò)安全，在特殊情況下，要采用MAC的地址對交換機以太網(wǎng)的端口進行鎖定，這樣只有通過MAC指定的地址才能訪問該端口的網(wǎng)絡(luò)。除了這個方法，還可以采用虛擬局域網(wǎng)來保證網(wǎng)絡(luò)的安全，每一個虛擬局域網(wǎng)通過劃分，形成一個單獨的廣播域，將不同的網(wǎng)絡(luò)分類成不同的廣播組，虛擬局域網(wǎng)之間互相分離，形成單獨的個體，禁止一切未經(jīng)允許想要訪問虛擬區(qū)域網(wǎng)的應(yīng)用軟件，保護了一些重要的數(shù)據(jù)。

（1）流量控制

防止流量使用量過多導(dǎo)致交換機的異常負荷，因此要控制流量的使用，確保網(wǎng)絡(luò)運行的穩(wěn)定。

（2）層過濾

不規(guī)則的方式無法滿足各種過濾需求，所以要建立規(guī)則的方式，要求附加到對應(yīng)的接收或傳送端口，過濾后再決定丟棄或轉(zhuǎn)發(fā)。

（3）Syslog和Watchdog

交換機中可以把各種各樣的信息傳送給日志服務(wù)器的是Syslog日志功能，網(wǎng)絡(luò)管理人員可以根據(jù)設(shè)備的運行情況，更好地保證網(wǎng)絡(luò)穩(wěn)定安全的運行。Watchdog擁有一個計時器，它的作用是可以在交換機出現(xiàn)緊急故障或者遇到某種意外狀況時自動重啟，強大的智能性確保網(wǎng)絡(luò)的正常運行。

2.3 防火墻安全防護措施

防火墻技術(shù)雖然是在信息安全和通信網(wǎng)技術(shù)領(lǐng)域上建立的應(yīng)用性安全技術(shù)，也在各種網(wǎng)絡(luò)領(lǐng)域的網(wǎng)絡(luò)大環(huán)境下被人們廣泛運用，但是在安全問題上很容易出現(xiàn)漏洞。隨著社會不斷發(fā)展，網(wǎng)絡(luò)安全要求越來越高，防火墻技術(shù)除了滿足不斷提高的網(wǎng)速，還要提供更多的網(wǎng)絡(luò)功能，在解決安全問題的同時，也要具備網(wǎng)絡(luò)地址轉(zhuǎn)換功能。防火墻包括包過濾型防火墻、代理型防火墻、監(jiān)測型防火墻。其實，防火墻的功能比較完整，在安全性和實用性上還是很統(tǒng)一的，它具備報警功能，并且擁有足夠的空間進行日志存儲。即使這樣，也依舊存在著許多缺點：攻擊者的惡意攻擊沒有經(jīng)過防火墻時，防火墻幾乎沒有任何作用，無法進行防御。

3 結(jié)束語

本文總結(jié)出可以想到的涉及相關(guān)知識的措施，網(wǎng)絡(luò)安全工作者必須合理配置路由器和交換機，避免防火墻遭受攻擊，完善路由器、交換機以及防火墻的安全機制，確保嚴格的控制管理，保障原有功能不受任何影響的基礎(chǔ)上，擴大它的功能，發(fā)揮更多的作用。希望所有人都可以謹慎重視這個問題，如果忽視的話，現(xiàn)在是幸存者，以后有可能就是受害者。

[1]柳文波.路由器和交換機的安全策略[J].華南金融電腦，2003（12）.