有接收和转发的报文进行过滤和检查
检查策略可以通过配置实现更改和管理
路由器还可以利用natpat功能隐藏内网拓扑结构
进一步实现复杂的应用网关(alg)功能
还有一些路由器提供基于报文内容的防护
原理是当报文通过路由器时
防火墙功能模块可以对报文与指定的访问规则进行比较
如果规则允许
报文将接受检查
否则报文直接被丢弃
如果该报文是用于打开一个新的控制或数据连接
防护功能模块将动态修改或创建规则
同时更新状态表以允许与新创建的连接相关的报文
回来的报文只有属于一个已经存在的有效连接
才会被允许通过
入侵检测技术:在安全架构中
入侵检测(ids)是一个非常重要的技术
目前有些路由器和高端交换机已经内置ids功能模块
内置入侵检测模块需要路由器具备完善的端口镜像(一对一多对一)和报文统计支持功能
ha(高可用性):提高自身的安全性
需要路由器能够支持备份协议(如vrrp)和具有日志管理功能
以使得网络数据具备更高的冗余性和能够获取更多的保障
入侵路由器的手法及其对策
通常来说
黑客攻击路由器的手段与袭击网上其它计算机的手法大同小异
因为从严格的意义上讲路由器本身就是一台具备特殊使命的电脑
虽然它可能没有人们通常熟识的pc那样的外观
一般来讲
黑客针对路由器的攻击主要分为以下两种类型:一是通过某种手段或途径获取管理权限
直接侵入北苍狼ghost xp sp3 2015九月奇迹版到系统的内部
一是采用远程攻击的办法造成路由器崩溃死机或是运行效率显著下降
相较而言
前者的难度要大一些
在第一种入侵方法中
黑客一般是利用系统用户的粗心或已知的系统缺陷(例如系统软件中的
臭虫&rdquo
)获得进入系统的访问权限
并通过一系列进一步的行动最终获得超级管理员权限
黑客一般很难一开始就获得整个系统的控制权
在通常的情况下
这是一个逐渐升级的入侵过程
由于路由器不像一般的系统那样设有众多的用户账号
而且经常使用安全性相对较高的专用软件系统
所以黑客要想获取路由器系统的管理权相对于入侵一般的主机就要困难得多
因此
现有的针对路由器的黑客攻击大多数都可以归入第二类攻击手段的范畴
这种攻击的最终目的并非直接侵入系统内部
而是通过向系统发送攻击性数据包或在一定的时间间隔里
向系统发送数量巨大的
垃圾&rdquo
数据包
以此大量耗费路由器的系统资源
使其不能正常工作
甚至彻底崩溃
路由器是内部网络与外界的一个通信出口
它在一个网络中充当着平衡带宽和转换ip地址的作用
实现少量外部ip地址数量让内部多台电脑同时访问外网
一旦黑客攻陷路由器
那么就掌握了控制内部网络访问外部网络的权力
而且如果路由器被黑客使用拒绝服务攻击
将造成内部网络不能访问外网
甚至造成网络瘫痪
具体来说
我们可以实施下面的对策:
为了防止