安全顧問(wèn):邊界路由的概念及其好處

責(zé)任編輯:Score

2011-10-09 09:53:29

摘自:中國(guó)IT實(shí)驗(yàn)室

所謂邊界路由是將標(biāo)準(zhǔn)的路由軟件看作n路本地路由,并將軟件中的局域網(wǎng)部分?jǐn)U展到廣域網(wǎng)。這將導(dǎo)致遠(yuǎn)程路由器采用一套全新的、并且是極大簡(jiǎn)化了路由軟件功能。

邊界路由系統(tǒng)體系結(jié)構(gòu)是一種令廣域網(wǎng)(WAN)設(shè)計(jì)人員極感興趣的創(chuàng)新軟件技術(shù),這種技術(shù)可以極大地簡(jiǎn)化WAN外圍的全功能路由。因此,它第一會(huì)使降低很昂貴的WAN維護(hù)費(fèi)用成為現(xiàn)實(shí)。除邊界路由的軟件優(yōu)勢(shì)外,邊界路由還可在不限制所支持的協(xié)議的前提下,節(jié)省訪問(wèn)與路由有關(guān)的遠(yuǎn)程硬件費(fèi)用。

所謂邊界路由是將標(biāo)準(zhǔn)的路由軟件看作n路本地路由,并將軟件中的局域網(wǎng)部分?jǐn)U展到廣域網(wǎng)。這將導(dǎo)致遠(yuǎn)程路由器采用一套全新的、并且是極大簡(jiǎn)化了路由軟件功能。

換言之,邊界路由把中心和遠(yuǎn)程的設(shè)備看作一個(gè)單一系統(tǒng),而解決路由問(wèn)題的這一創(chuàng)新提供了只配置單個(gè)接口的所有優(yōu)點(diǎn),該接口極類似于在一個(gè)集中式主干網(wǎng)LAN環(huán)境中的中心設(shè)備,不過(guò)在大型WAN網(wǎng)絡(luò)中。由于很少需要配置中心或遠(yuǎn)程路由器的WAN端口,從而減少了管理的復(fù)雜性。

邊界路由的軟件創(chuàng)新為與訪問(wèn)路由器有關(guān)的硬件優(yōu)勢(shì)又增加了簡(jiǎn)單和廉價(jià)等優(yōu)點(diǎn),但它并不限制在遠(yuǎn)程點(diǎn)對(duì)路由協(xié)議的選擇。

邊界路由通過(guò)把路由管理的復(fù)雜性轉(zhuǎn)移到一個(gè)路由管理中心來(lái)簡(jiǎn)化對(duì)路由器的管理;有了邊界路由,網(wǎng)絡(luò)管理員能夠迅速而有效地管理多個(gè)遠(yuǎn)程地點(diǎn)。如果WAN連接需要從邊界路由轉(zhuǎn)移到通常的路由,那么軟件升級(jí)工具便可以快速地把一臺(tái)遠(yuǎn)程邊界路由設(shè)備轉(zhuǎn)換為一臺(tái)通常的路由器。邊界路由支持以下強(qiáng)大的路由改進(jìn)能力:

·數(shù)據(jù)壓縮,它允許在低速線路上運(yùn)載更大的信息流量,并極大地降低WAN成本。

·服務(wù)類,實(shí)現(xiàn)數(shù)據(jù)優(yōu)先化以便加速關(guān)鍵應(yīng)用的處理。

·可靈活設(shè)置的過(guò)濾,以提供網(wǎng)絡(luò)安全和流量控制。

·交換式線路支持,包括支持幀中繼、ISDN、撥號(hào)線路以及X.25,以降低遠(yuǎn)程辦公室WAN連接的成本。

·故障恢復(fù)能力,當(dāng)路由器檢測(cè)到主線路故障時(shí),可提供撥號(hào)備份。

·基于對(duì)整個(gè)系統(tǒng)的代理識(shí)別而進(jìn)行功能強(qiáng)大的網(wǎng)絡(luò)管理。

邊界路由技術(shù)通過(guò)將大多數(shù)路由器操作集中起來(lái),使中央辦公室的幾個(gè)全功能路由器,能夠?yàn)榫W(wǎng)絡(luò)外圍的低成本路由器提供服務(wù)的方法來(lái)降低購(gòu)買設(shè)備的費(fèi)用。

[page]

附:路由器的九大安全設(shè)置

1、修改默認(rèn)的口令

據(jù)國(guó)外調(diào)查顯示,80%的安全突破事件是由薄弱的口令引起的。網(wǎng)絡(luò)上有大多數(shù)路由器的廣泛的默認(rèn)口令列表。你可以肯定在某些地方的某個(gè)人會(huì)知道你的生日。SecurityStats.com網(wǎng)站維護(hù)一個(gè)詳盡的可用/不可用口令列表,以及一個(gè)口令的可靠性測(cè)試。

2、關(guān)閉IP直接廣播(IP Directed Broadcast)

你的服務(wù)器是很聽(tīng)話的。讓它做什么它就做什么,而且不管是誰(shuí)發(fā)出的指令。Smurf攻擊是一種拒絕服務(wù)攻擊。在這種攻擊中,攻擊者使用假冒的源地址向你的網(wǎng)絡(luò)廣播地址發(fā)送一個(gè)“ICMP echo”請(qǐng)求。這要求所有的主機(jī)對(duì)這個(gè)廣播請(qǐng)求做出回應(yīng)。這種情況至少會(huì)降低你的網(wǎng)絡(luò)性能。

參考你的路由器信息文件,了解如何關(guān)閉IP直接廣播。例如,“Central(config)#no ip source-route”這個(gè)指令將關(guān)閉思科路由器的IP直接廣播地址。

3、如果可能,關(guān)閉路由器的HTTP設(shè)置

正如思科的技術(shù)說(shuō)明中簡(jiǎn)要說(shuō)明的那樣,HTTP使用的身份識(shí)別協(xié)議相當(dāng)于向整個(gè)網(wǎng)絡(luò)發(fā)送一個(gè)未加密的口令。然而,遺憾的是,HTTP協(xié)議中沒(méi)有一個(gè)用于驗(yàn)證口令或者一次性口令的有效規(guī)定。

雖然這種未加密的口令對(duì)于你從遠(yuǎn)程位置(例如家里)設(shè)置你的路由器也許是非常方便的,但是,你能夠做到的事情其他人也照樣可以做到。特別是如果你仍在使用默認(rèn)的口令!如果你必須遠(yuǎn)程管理路由器,你一定要確保使用SNMPv3以上版本的協(xié)議,因?yàn)樗С指鼑?yán)格的口令。

4、封鎖ICMP ping請(qǐng)求

ping的主要目的是識(shí)別目前正在使用的主機(jī)。因此,ping通常用于更大規(guī)模的協(xié)同性攻擊之前的偵察活動(dòng)。通過(guò)取消遠(yuǎn)程用戶接收ping請(qǐng)求的應(yīng)答能力,你就更容易避開(kāi)那些無(wú)人注意的掃描活動(dòng)或者防御那些尋找容易攻擊的目標(biāo)的“腳本小子”(script kiddies)。

請(qǐng)注意,這樣做實(shí)際上并不能保護(hù)你的網(wǎng)絡(luò)不受攻擊,但是,這將使你不太可能成為一個(gè)攻擊目標(biāo)。

5、關(guān)閉IP源路由

IP協(xié)議允許一臺(tái)主機(jī)指定數(shù)據(jù)包通過(guò)你的網(wǎng)絡(luò)的路由,而不是允許網(wǎng)絡(luò)組件確定最佳的路徑。這個(gè)功能的合法的應(yīng)用是用于診斷連接故障。但是,這種用途很少應(yīng)用。這項(xiàng)功能最常用的用途是為了偵察目的對(duì)你的網(wǎng)絡(luò)進(jìn)行鏡像,或者用于攻擊者在你的專用網(wǎng)絡(luò)中尋找一個(gè)后門。除非指定這項(xiàng)功能只能用于診斷故障,否則應(yīng)該關(guān)閉這個(gè)功能。

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號(hào)-6京公網(wǎng)安備 11010502049343號(hào)