寬帶路由器的安全功能日趨成熟
寬帶路由器連接ADSL及FTTH等接入線路和用戶方的LAN,其安全功能日趨成熟。其中,預(yù)先決定安全數(shù)據(jù)包的“靜態(tài)過濾”功能,及從通信開始便自動更改設(shè)置以使安全數(shù)據(jù)包通過的“動態(tài)過濾”功能,已為人們所熟知。最近,又推出了比上述過濾功能更為安全的“SPI”( Stateful Packet Inspection)功能。這種安全功能非常難以理解。下面讓我們來仔細(xì)了解一下寬帶路由器的安全功能。
說起寬帶路由器的安全功能,靜態(tài)過濾功能堪稱其代表。該功能根據(jù)端口號碼及IP地址決定是否轉(zhuǎn)送數(shù)據(jù)包。比如,如果設(shè)置為只允許來自LAN的用戶接入Web,那么從LAN到互聯(lián)網(wǎng)只有表示接入Web的端口號碼為80號的數(shù)據(jù)包可以通過。
但是,靜態(tài)過濾存在相當(dāng)大的弱點(diǎn)。比如,在允許Web接入的情況下,入侵者只需發(fā)出發(fā)送方端口號碼為80的數(shù)據(jù)包,該數(shù)據(jù)包便可進(jìn)入LAN內(nèi)。
比靜態(tài)過濾更為先進(jìn)的是動態(tài)過濾。所謂動態(tài)過濾,是指不象靜態(tài)過濾那樣預(yù)先規(guī)定許可和禁止的數(shù)據(jù)包種類,而是根據(jù)LAN的接入狀況自動更改設(shè)置。
當(dāng)LAN上的個人電腦訪問Web服務(wù)器時,如果個人電腦訪問Web服務(wù)器時最初的數(shù)據(jù)包由路由器獲取,路由器便會自動更改過濾設(shè)置,僅通過該通信所需的數(shù)據(jù)包。
而且,路由器能夠記錄最初LAN內(nèi)部個人電腦訪問目的方的IP地址,并檢查它與互聯(lián)網(wǎng)的應(yīng)答數(shù)據(jù)包發(fā)送方的IP地址是否一致。通信完成后,路由器恢復(fù)還原,呈任何數(shù)據(jù)包都無法通過的狀態(tài)。這樣的話,路由器便可僅在需要時放開通路,不通信時則可以阻斷所有來自互聯(lián)網(wǎng)的數(shù)據(jù)包。另外,在通信中也只有相應(yīng)的通信對象回復(fù)的數(shù)據(jù)包可以通過LAN。
但是,即便是這種過濾方式,通信中的數(shù)據(jù)包也會受到監(jiān)視,在通信持續(xù)進(jìn)行的過程中,冒充發(fā)信方IP地址和端口號碼的非法數(shù)據(jù)包也可以侵入LAN。
SPI是一種考慮到如何應(yīng)對上述情況的安全功能。SPI會檢查收發(fā)數(shù)據(jù)包的內(nèi)容,檢查內(nèi)容包括寫在TCP文件頭的確認(rèn)應(yīng)答(ACK)標(biāo)記及序列號碼等。這些文件頭信息是用來檢查TCP通信進(jìn)展?fàn)顟B(tài)的。在通信過程中插入的非法數(shù)據(jù)包,無論如何都會與這些文件頭信息不同。因此通過檢查文件頭信息可以防止非法數(shù)據(jù)包入侵。
不過,該功能雖然名為SPI,但在實現(xiàn)程度上還存在著差距。許多寬帶路由器的SPI只能監(jiān)視TCP的文件頭。而另一方面,對于HTTP及FTP等一些通信協(xié)議,一部分制造商推出的寬帶路由器不僅可以檢查TCP文件頭,還可以檢查收發(fā)方數(shù)據(jù)包的數(shù)據(jù)部分以發(fā)現(xiàn)非法數(shù)據(jù)包。
2003年以后,幾乎所有的路由器都具備動態(tài)過濾或者SPI功能。但是,各產(chǎn)品功能的等級有所不同。如果用戶重視安全性能,則在選擇產(chǎn)品時還需注意上述功能的細(xì)微差別。
【編輯推薦】