安全路由

實際上，安全路由器只是一個鬆散的產品概念，並沒有嚴格的範圍界定，它通常是指集常規路由與網絡安全防範功能於一身的網絡安全設備，有部分安全路由器產品甚至完全是通過在現有常規路由平台之上加裝安全加密卡，或相應的軟件安全系統而來的。

一般説來，具備IPSec（IP Security）協議支持、能夠有效利用IPSec保證數據傳輸機密性與完整性或能夠藉助其它途徑強化本身安全性能的路由器都可以稱之為安全路由器。

與常規路由器產品相比，安全路由器能夠提供常規路由器所不具備，的諸如IPSec協議支持、基於規則集的防火牆、基於OSPE V2路由協議的安全認證、信息加密與分佈式密鑰管理等功能，能夠對IP數據報進行智能加密，可提供安全VPN通道、抗源地址欺騙、抗源路由攻擊、抗極小數據和抗重疊分片的分組過濾功能及實現基於硬件的信息加密等功能。

絕大多數安全路由產品都提供了對IPSec協議的支持，因為數據傳輸加密技術的目的就是實現網絡傳輸流量的加密，保障網絡內數據流量的安全，而IPSec協議正是IETF Internet工程任務小組為保證公網數據傳輸機密性與安全性而制定的系列協議，它能夠在IP層提供安全服務，為IP及上層協議、應用提供安全保護。

IPSec協議包括ESP（Encapsulating Security Payload）封裝安全負載、AH（Authentication Header）報頭驗證協議及IKE（Internet Key Exchange）密鑰管理協議等，其中AH協議能夠提供無連接的完整性、數據發起驗證及重放保護，ESP主要用於提供額外的加密保護，而IKE則主要提供安全加密算法與密鑰協商。這些機制均獨立於算法，協議的應用與具體加密算法的使用均可取決於用户及應用程序的安全性要求。因此，IPSec是一個開放性的安全標準框架，可以在一個公共IP網絡上確保數據通信的可靠性和完整性，能夠保障數據安全穿越公網而沒有被偵聽或竊改之虞，為實現通用安全策略所需的基於標準的解決方案提供了理想的應用框架。而且IPSec的部署極為簡便，只需安全通道兩端的路由器或主機支持IPSec協議即可，幾乎無需對網絡現有基礎設施進行任何更動。IPSec的優勢主要表現為可以對所有IP級的通信進行加密和認證，可以為IP提供基於加密的互操作性強、高質量的通信安全，所支持的安全服務包括存取控制、無連接的完整性、數據發起方認證和加密。這正是IPSec協議能夠確保包括遠程登錄、客户機、服務器、電子郵件、文件傳輸及Web訪問在內多種應用程序安全的主要依託。

與常規路由器產品相比，安全路由器通常具有以下特徵：採用IPSec協議；帶有包過濾和代理協議的防火牆功能；能夠隱藏內部網絡拓撲結構；支持路由信息與IP數據包加密；能夠實現身份鑑別、數據簽名和數據完整性驗證；具有靈活的密鑰配置、支持集中式密鑰與分佈式密鑰管理；可有效防止虛假路由信息的接收與路由器的非法接入；能夠阻止非授權人員的入侵等。

安全路由器可對指定服務器/客户機的數據報進行加密，可支持Telnet、E-mail、Ftp、WWW等，具有節點加密機的功能。支持身份鑑別，數字簽名和數據完整性驗證，而且安全路由器提供的硬件加密比軟件加密有更好的傳輸效率與安全性。

安全路由器可通過廣域網與普通路由器或與安全路由器互聯構成安全VPN通道。由於安全路由器具有數據加密的功能，局域網上需要傳輸的數據在通過安全路由器向外發送時，安全路由器會根據一定的加密算法將數據加密，接收到該數據的目標端也要使用相同的算法才能把數據還原。因此，自安全路由器發送的加密IP數據報可以透明地穿越普通路由器和廣域網，到達目標安全路由器進行解密，這期間傳送的IP數據報均為密文，可有效防止敏感信息的泄露，構成跨越公網的Intranet。

安全路由器能夠對所有需要發送的IP包進行重新封裝，在原來IP包上封裝源和目的網關的IP地址。目的路由器接收到IP包時，先去掉IPSec增加的IP包頭，然後根據IP包的源和目的地址，把該IP包發送到局域網上的目的主機上。這樣，大型企業與分支機構間傳輸的數據即使在公網上被攔截，攔截者也無法通過IP包獲取公司內部網絡IP地址，從而進一步瞭解內部網絡拓撲結構。

可靠性主要體現在接口故障和網絡流量增大兩種情況下，為此，備份是路由器不可或缺的手段之一。當主接口出現故障時，備份接口應可以自動投入工作，保證網絡的正常運行。當網絡流量增大時，備份接口又可承當負載分擔的任務。

路由器中的身份認證主要包括訪問路由器時的身份認證、對端路由器的身份認證和路由信息的身份認證。

對於路由器的訪問控制，需要進行口令的分級保護。有基於IP地址的訪問控制和基於用户的訪問控制。

與對端通信時，不一定需要用真實身份，通過地址轉換，可以隱藏網內地址。除了由內部網絡首先發起的連接，網外用户不能通過地址轉換直接訪問網內資源。