寬帶路由器的安全功能日趨成熟
寬帶路由器連接ADSL及FTTH等接入線路和用戶方的LAN,其安全功能日趨成熟。其中,預先決定安全數據包的“靜態過濾”功能,及從通信開始便自動更改設置以使安全數據包通過的“動態過濾”功能,已為人們所熟知。最近,又推出了比上述過濾功能更為安全的“SPI”( Stateful Packet Inspection)功能。這種安全功能非常難以理解。下面讓我們來仔細了解一下寬帶路由器的安全功能。
說起寬帶路由器的安全功能,靜態過濾功能堪稱其代表。該功能根據端口號碼及IP地址決定是否轉送數據包。比如,如果設置為只允許來自LAN的用戶接入Web,那么從LAN到互聯網只有表示接入Web的端口號碼為80號的數據包可以通過。
但是,靜態過濾存在相當大的弱點。比如,在允許Web接入的情況下,入侵者只需發出發送方端口號碼為80的數據包,該數據包便可進入LAN內。
比靜態過濾更為先進的是動態過濾。所謂動態過濾,是指不象靜態過濾那樣預先規定許可和禁止的數據包種類,而是根據LAN的接入狀況自動更改設置。
當LAN上的個人電腦訪問Web服務器時,如果個人電腦訪問Web服務器時最初的數據包由路由器獲取,路由器便會自動更改過濾設置,僅通過該通信所需的數據包。
而且,路由器能夠記錄最初LAN內部個人電腦訪問目的方的IP地址,并檢查它與互聯網的應答數據包發送方的IP地址是否一致。通信完成后,路由器恢復還原,呈任何數據包都無法通過的狀態。這樣的話,路由器便可僅在需要時放開通路,不通信時則可以阻斷所有來自互聯網的數據包。另外,在通信中也只有相應的通信對象回復的數據包可以通過LAN。
但是,即便是這種過濾方式,通信中的數據包也會受到監視,在通信持續進行的過程中,冒充發信方IP地址和端口號碼的非法數據包也可以侵入LAN。
SPI是一種考慮到如何應對上述情況的安全功能。SPI會檢查收發數據包的內容,檢查內容包括寫在TCP文件頭的確認應答(ACK)標記及序列號碼等。這些文件頭信息是用來檢查TCP通信進展狀態的。在通信過程中插入的非法數據包,無論如何都會與這些文件頭信息不同。因此通過檢查文件頭信息可以防止非法數據包入侵。
不過,該功能雖然名為SPI,但在實現程度上還存在著差距。許多寬帶路由器的SPI只能監視TCP的文件頭。而另一方面,對于HTTP及FTP等一些通信協議,一部分制造商推出的寬帶路由器不僅可以檢查TCP文件頭,還可以檢查收發方數據包的數據部分以發現非法數據包。
2003年以后,幾乎所有的路由器都具備動態過濾或者SPI功能。但是,各產品功能的等級有所不同。如果用戶重視安全性能,則在選擇產品時還需注意上述功能的細微差別。
【編輯推薦】
