安全路由合理配置实现网络性能最优

文章作者 100test 发表时间 2007:05:12 12:21:09
来源 100Test.Com百考试题网

目前市场上的安全路由器种类繁多，品种也分三六九等，具有影响力的思科的集成多业务路由器（ISR）、华为3COM和LINKSYS产品安全管理和配置是每个网络管理员所需关注的。本篇就针对主要的几款安全路由器介绍几个安全方面的应用及配置。
　　
　　安全路由的防火墙配置

　　目前，基本上所有的路由器都带有防火墙功能，可以通过在现有的路由器上添加适当的防火墙软件来代替像Cisco的PIX防火墙这样的专业防火墙。尽管利用这种方法实现的防火墙不能百分百等同专业防火墙，但是这种基于路由器的防火墙在一定程度上对网络的安全起到了保护作用。

　　基于路由器的防火墙，要区分无状态数据包过滤（访问列表）和有状态数据包过滤。Cisco提供了具有不同名称的状态数据包过滤防火墙。Cisco ISR 产品中包括IOS防火墙的功能，也包括一部分入侵检测功能。

　　目前像Cisco ISR、华为3COM和LINKSYS的安全路由器都具备标准和扩展访问列表、动态访问列表、加密功能、VPN功能Java封锁、拒绝服务攻击检测和预防、入侵检测等安全功能。

　　定义标准访问列表有全局配置命令组成，使用特定的语句将几个语句的列表作为一组应用到接口上，对路由访问的过滤在安全上有一定的成效。如： access-list list#{permit | deny}{src_addr mask | any} ip access-group list_#{in | out} 安全路由的设置数据加密功能是非常必要的，思科的产品可以使用私有的CET（Cisco Encryption Technology，Cisco加密技术）或者标准的IPSec。使用通用路由封装协议（Generic Route Encapsulation,GRE）、第二层转发协议（Layer 2 Forwarding Protocol，L2F）、第二层隧道协议（Layer 2 Tunneling Rrotocol，L2TP）或IPSec来提供更为安全VPN功能特性。

可以通过配置阀值和请求达到的速率与半开连接总数的连接相比，达到拒绝服务攻击检测和预防的目的。Cisco ISR路由器还具备审核追踪功能，CBAC可以通过使用Syslog服务器记录时间、源和主机地址、源和目的端口号以及所有被传输的字节等详细信息，以提供增强的审核跟踪功能。

　　作为Cisco自防御网中最重要的组成部分，模块化的Cisco的1800/2800/3800集成多业务路由可称为业界最完善的安全路由平台。和华为COM、LINKSYS的路由器相比，ISR中的安全系统更具有安全实施的灵活，可以用强化网络中的安全级别，在安全措施上有效的保护路由器和交换机等网络系统，抵御像分布式拒绝服务攻击的行为。