寬帶路由器連接ADSL及FTTH等接入線路和用戶方的LAN，其安全功能日趨成熟。其中，預先決定安全數(shù)據(jù)包的“靜態(tài)過濾”功能，及從通信開始便自動更改設置以使安全數(shù)據(jù)包通過的“動態(tài)過濾”功能，已為人們所熟知。最近，又推出了比上述過濾功能更為安全的“SPI”（ Stateful Packet Inspection）功能。這種安全功能非常難以理解。下面讓我們來仔細了解一下寬帶路由器的安全功能。

說起寬帶路由器的安全功能，靜態(tài)過濾功能堪稱其代表。該功能根據(jù)端口號碼及IP地址決定是否轉(zhuǎn)送數(shù)據(jù)包。比如，如果設置為只允許來自LAN的用戶接入Web，那么從LAN到互聯(lián)網(wǎng)只有表示接入Web的端口號碼為80號的數(shù)據(jù)包可以通過。

但是，靜態(tài)過濾存在相當大的弱點。比如，在允許Web接入的情況下，入侵者只需發(fā)出發(fā)送方端口號碼為80的數(shù)據(jù)包，該數(shù)據(jù)包便可進入LAN內(nèi)。

比靜態(tài)過濾更為先進的是動態(tài)過濾。所謂動態(tài)過濾，是指不象靜態(tài)過濾那樣預先規(guī)定許可和禁止的數(shù)據(jù)包種類，而是根據(jù)LAN的接入狀況自動更改設置。

當LAN上的個人電腦訪問Web服務器時，如果個人電腦訪問Web服務器時最初的數(shù)據(jù)包由路由器獲取，路由器便會自動更改過濾設置，僅通過該通信所需的數(shù)據(jù)包。

而且，路由器能夠記錄最初LAN內(nèi)部個人電腦訪問目的方的IP地址，并檢查它與互聯(lián)網(wǎng)的應答數(shù)據(jù)包發(fā)送方的IP地址是否一致。通信完成后，路由器恢復還原，呈任何數(shù)據(jù)包都無法通過的狀態(tài)。這樣的話，路由器便可僅在需要時放開通路，不通信時則可以阻斷所有來自互聯(lián)網(wǎng)的數(shù)據(jù)包。另外，在通信中也只有相應的通信對象回復的數(shù)據(jù)包可以通過LAN。

但是，即便是這種過濾方式，通信中的數(shù)據(jù)包也會受到監(jiān)視，在通信持續(xù)進行的過程中，冒充發(fā)信方IP地址和端口號碼的非法數(shù)據(jù)包也可以侵入LAN。

SPI是一種考慮到如何應對上述情況的安全功能。SPI會檢查收發(fā)數(shù)據(jù)包的內(nèi)容，檢查內(nèi)容包括寫在TCP文件頭的確認應答（ACK）標記及序列號碼等。這些文件頭信息是用來檢查TCP通信進展狀態(tài)的。在通信過程中插入的非法數(shù)據(jù)包，無論如何都會與這些文件頭信息不同。因此通過檢查文件頭信息可以防止非法數(shù)據(jù)包入侵。

不過，該功能雖然名為SPI，但在實現(xiàn)程度上還存在著差距。許多寬帶路由器的SPI只能監(jiān)視TCP的文件頭。而另一方面，對于HTTP及FTP等一些通信協(xié)議，一部分制造商推出的寬帶路由器不僅可以檢查TCP文件頭，還可以檢查收發(fā)方數(shù)據(jù)包的數(shù)據(jù)部分以發(fā)現(xiàn)非法數(shù)據(jù)包。

2003年以后，幾乎所有的路由器都具備動態(tài)過濾或者SPI功能。但是，各產(chǎn)品功能的等級有所不同。如果用戶重視安全性能，則在選擇產(chǎn)品時還需注意上述功能的細微差別。

【編輯推薦】

1. 簡述保護寬帶路由器安全妙招
2. 分析飛魚星寬帶路由器的安全防護功能