路由器基本工作原理及網(wǎng)絡安全介紹

唐海和 徐曉艷

【摘 要】路由器是一種將網(wǎng)絡互聯(lián)起來的硬件設(shè)施。路由器的主要作用即是將數(shù)據(jù)包的發(fā)送指明一個方向。在網(wǎng)絡設(shè)計中，路由器的正常運轉(zhuǎn)牽系著整個客戶端的運行良好與否。本文主要針對路由器進行簡要分析，將路由器的工作原理和網(wǎng)絡安全所要注意的問題進行簡要分析，并集中對路由器概念和一些常見路由協(xié)議進行簡要分析。

【關(guān)鍵詞】路由器 工作原理 網(wǎng)絡安全

路由器，是一種將網(wǎng)絡互聯(lián)起來的硬件設(shè)施。將互聯(lián)網(wǎng)中的廣域網(wǎng)和局域網(wǎng)的設(shè)備有效連接起來，信道的選擇有兩種方式即設(shè)定路由和自動選擇，發(fā)送信號的設(shè)備原則是順序是前后順序和最佳路徑。我們可以將路由這么來分析，將網(wǎng)絡通過相互連接之后，將所要傳達的信息從源地點移動到目標點的活動。路由過程中信息一般會通過一個或者多個中間節(jié)點進行傳遞，我們一般將交換和路由進行相對的比較主要原因在于普通用戶對于兩者的實現(xiàn)功能視同一致的。但是兩者的主要區(qū)別在于路由器的數(shù)據(jù)交換在第三層即網(wǎng)絡層，而交換器數(shù)據(jù)的交換發(fā)生在數(shù)據(jù)鏈路層即第二層，這也就決定了對不同的控制信息在移動信息過程中傳遞過程的不同，以及實現(xiàn)功能的差異性。

1路由器的發(fā)展

路由器TCP/IP發(fā)展由來是上個世紀的70年代中期美國國防部的ARPANET技術(shù)，軍方常用它連接不同的廣域網(wǎng)和局域網(wǎng)，它無法用交換機替代。后來的TCP/IP技術(shù)架構(gòu)逐漸被運用在廣大高校和科研機構(gòu)當中，成為事實上的一個標準。準確地講，路由器的發(fā)展主要經(jīng)歷了五個階段：總線交換和集中轉(zhuǎn)發(fā)處于第一個階段；接口模塊化、總線交換和集中分布式轉(zhuǎn)發(fā)是處于第二階段；總線交換和分布轉(zhuǎn)發(fā)是處于第三階段；網(wǎng)線交換和ASIC分布轉(zhuǎn)發(fā)是第四階段；網(wǎng)線交換和網(wǎng)絡處理器分布轉(zhuǎn)發(fā)是第五個階段。

2 功能介紹

按照字面意思上講，路由器的主要作用就在于“路由”，也就是通常所說的“向?qū)А弊饔茫磾?shù)據(jù)包的發(fā)送指明一個方向。細細講來路由器的功能主要有路由選擇、分組轉(zhuǎn)發(fā)、防火墻功能。路由選擇即以IP地址為網(wǎng)絡地址部分為依據(jù)，對數(shù)據(jù)信息的算法進行最佳路由的選擇；分組轉(zhuǎn)發(fā)即從選擇點進行選擇之后的路由選擇路線結(jié)點進行數(shù)據(jù)發(fā)出接收；防火墻功能即起到最起碼的基本防火墻功能，對內(nèi)部網(wǎng)絡的IP地址進行有效屏蔽，對通信端口進行過濾且對IP地址進行自由的設(shè)定，保證網(wǎng)絡的安全穩(wěn)定性。

3 路由器的基本工作原理

路由器的主要構(gòu)成是路由表，路由表即對各種傳輸數(shù)據(jù)的相關(guān)數(shù)據(jù)的保存載體，主要使用在路由的選擇的時候。路由表的主要內(nèi)容有子網(wǎng)掩碼、目的網(wǎng)絡地址、發(fā)送接口和下一跳地址。路由表生存方式有動態(tài)協(xié)議和手工動態(tài)配置兩種。此外，路由表主要分為動態(tài)和靜態(tài)的路由表，靜態(tài)路由表的重點在于系統(tǒng)管理員對于固定的路由表是事先設(shè)置好的，根據(jù)網(wǎng)絡配置情況預先將系統(tǒng)安裝是的狀況設(shè)定好，一般情況下是隨著未來的網(wǎng)絡結(jié)構(gòu)的改變而變化。動態(tài)路由表，主要是指以網(wǎng)絡系統(tǒng)的運行實際情況為基準對路由器的路徑表進行自動調(diào)整，由選擇協(xié)議提供的功能對記憶網(wǎng)絡和自動學習的運行情況進行實時數(shù)據(jù)傳輸最佳路徑的選擇。

路由協(xié)議通常有動態(tài)路由和靜態(tài)路由兩種，動態(tài)路由的主要協(xié)議包括OSPF（開放式最短徑優(yōu)先）協(xié)議和RIP協(xié)議（路由信息協(xié)議）這兩種。RIP協(xié)議即信息選擇的標準，是主機與網(wǎng)關(guān)之間的交換器的信息選擇標準，作為一部網(wǎng)關(guān)協(xié)議RIP主要采用的算法有內(nèi)耳曼-福德距離向量算法，使用的是520端口的UDP協(xié)議，主要可以作為小型網(wǎng)絡設(shè)計。RIP主要是運用大小適度的網(wǎng)絡和同類技術(shù)的共同工作。主要作用于局域網(wǎng)和校園網(wǎng)，但對于復雜的網(wǎng)絡情況并不是很復雜。OSPF（開放式最短路徑優(yōu)先協(xié)議）也是一個內(nèi)部網(wǎng)關(guān)協(xié)議，鏈路狀態(tài)路由協(xié)議相比于RIP的距離矢量路由協(xié)議來講，作為典型的鏈路狀態(tài)的路由協(xié)議，只存在于同一個路由域內(nèi)。

4路由器的網(wǎng)絡安全

4.1 防火墻的網(wǎng)絡安全

主觀意見上的防火墻在信息化技術(shù)的層面是主要是指軟硬設(shè)施，是用來將內(nèi)部網(wǎng)絡和危險網(wǎng)絡進行隔離的設(shè)施，其設(shè)計依據(jù)就是以一定的規(guī)則通過其設(shè)定的報文，不被允許的報文是不被通過的，防火墻的本質(zhì)即是報文過濾技術(shù)。我們將防火墻進行分類的時候，主要依據(jù)是報文過濾時所依據(jù)的規(guī)則，即靜態(tài)配置規(guī)則ASPF（應用相關(guān)報文過濾技術(shù)）和ACL（網(wǎng)絡層報文過濾技術(shù)）兩種。

4.2 NAT的網(wǎng)絡安全設(shè)置

NAT的工作原理在于在經(jīng)過NAT網(wǎng)關(guān)時的公共網(wǎng)主機和私有網(wǎng)關(guān)主機的IP包，這其中的目的IP、公共IP和源IP進行相互間的轉(zhuǎn)換。

4.3 路由器的安全設(shè)置分析

網(wǎng)絡黑客一般運用攻擊路由器來侵入到用戶電腦中，路由器的漏洞是最容易引起網(wǎng)絡黑客注意的。之所以會導致網(wǎng)絡癱瘓，主要是因為路由器被攻擊時會導致CPU周期加長，使信息流量被大量的誤導。一個安全穩(wěn)定的路由器安全機制來保證路由器本身是遠遠不夠的，除此之外還需要管理器和配置的安全管理。

首先是對安全漏洞的圍追堵截，保證路由器安全的最有效的解決辦法是對系統(tǒng)物理訪問的限制，在較短時間內(nèi)的閑置，讓終端和控制臺會話自動的退出系統(tǒng)，而且重點在于調(diào)制解調(diào)器到路由器輔助端口進行盡量的條件規(guī)避是重中之重。確保路由器安全補丁的最新狀態(tài)，主要是對路由器物理訪問的限制。黑客之所以容易攻破路由器，而且其主要期間在于供應商發(fā)行補丁之前，網(wǎng)絡系統(tǒng)的不穩(wěn)定性造成了漏洞的出現(xiàn)和被攻擊。其次就是身份的安全性，黑客的攻擊手段一般采用的是默認口令和弱口令，對于身份漏洞，一種更為有效的防治方法是加長口令或者有效期在30-60天內(nèi)的口令的防治措施。用戶對于口令的加密功能主要應該設(shè)置在路由器上，當然其密文口令的破譯也依舊是需要的。實施的驗證控制安全的進行證書的傳輸主要是依靠路由器的，用戶在多數(shù)路由器上進行協(xié)議的配置，通過協(xié)議的認證對服務器進行驗證進而訪問驗證和加密的訪問。再次就是對于一些不必要服務的禁用，這樣可能會影響到路由器性能的CDP，但是不可或缺的就是對有效操作網(wǎng)絡的定時。即使用戶在進行完部署之后，時鐘的部署也有可能不同步。針對這種情況，一般采用的是網(wǎng)絡協(xié)議服務，更重要的在于防火墻的非軍事區(qū)保護，再次加載一個NTP服務器，只需要向外面的服務器上提出相應的請求即可。

5結(jié)語

在網(wǎng)絡設(shè)計中，路由器的正常運轉(zhuǎn)牽系著整個客戶端的運行良好與否。網(wǎng)絡結(jié)構(gòu)設(shè)計的實現(xiàn)，必須融合一些新的技術(shù)進去，只有這樣才能保證網(wǎng)絡環(huán)境適應社會信息技術(shù)的發(fā)展，保證整個數(shù)據(jù)傳送到目標地址而不被侵害。