徐建忠

摘要：路由器是一種可以連接多個(gè)網(wǎng)段的網(wǎng)絡(luò)設(shè)備，它能夠快速的選擇最優(yōu)的信息傳送線路，從而使網(wǎng)絡(luò)設(shè)備發(fā)揮出更大的作用,同時(shí)路由器是也是網(wǎng)絡(luò)系統(tǒng)中的關(guān)鍵互聯(lián)設(shè)備,提高路由器自身的安全對于整個(gè)網(wǎng)絡(luò)的安全有著非常重要的作用。

關(guān)鍵詞：網(wǎng)絡(luò)；路由器；安全維護(hù)

中圖分類號：TB文獻(xiàn)標(biāo)識碼：A文章編號：16723198（2014）14018101

隨著互聯(lián)網(wǎng)的發(fā)展，本地網(wǎng)絡(luò)信息已經(jīng)遠(yuǎn)遠(yuǎn)不能滿足人們的需求了，為了能夠最大限度地使用不同地區(qū)、不同類型的網(wǎng)絡(luò)資源，路由器已經(jīng)成為我們?nèi)粘Ｉ罟ぷ髦幸粋€(gè)必不可少的網(wǎng)絡(luò)設(shè)備。目前，無論是校園網(wǎng)還是企業(yè)網(wǎng)，無論采用的什么技術(shù)，都與路由器分不開，否則就無法進(jìn)行正常的運(yùn)作和管理。

1路由器的基本工作原理

網(wǎng)絡(luò)中的設(shè)備相互通信主要是用它們的IP地址，路由器只能根據(jù)具體的IP地址來轉(zhuǎn)發(fā)數(shù)據(jù)。IP地址由網(wǎng)絡(luò)地址和主機(jī)地址兩部分組成。在Internet中采用的是由子網(wǎng)掩碼來確定網(wǎng)絡(luò)地址和主機(jī)地址。子網(wǎng)掩碼與IP地址一樣都是32位的，并且這兩者是一一對應(yīng)的，子網(wǎng)掩碼中“1”對應(yīng)IP地址中的網(wǎng)絡(luò)地址，“0”對應(yīng)的是主機(jī)地址，網(wǎng)絡(luò)地址和主機(jī)地址就構(gòu)成了一個(gè)完整的IP地址。在同一個(gè)網(wǎng)絡(luò)中，IP地址的網(wǎng)絡(luò)地址必須是相同的。計(jì)算機(jī)之間的通信只能在具有相同網(wǎng)絡(luò)地址的IP地址之間進(jìn)行，如果想要與其他網(wǎng)段的計(jì)算機(jī)進(jìn)行通信，則必須經(jīng)過路由器轉(zhuǎn)發(fā)出去。不同網(wǎng)絡(luò)地址的IP地址是不能直接通信的，即便它們距離非常近，也不能進(jìn)行通信。路由器的多個(gè)端口可以連接多個(gè)網(wǎng)段，每個(gè)端口的IP地址的網(wǎng)絡(luò)地址都必須與所連接的網(wǎng)段的網(wǎng)絡(luò)地址一致。不同的端口它的網(wǎng)絡(luò)地址是不同的，所對應(yīng)的網(wǎng)段也是不同的，這樣才能使各個(gè)網(wǎng)段中的主機(jī)通過自己網(wǎng)段的IP地址把數(shù)據(jù)發(fā)送送到路由器上。

2路由器的功能

一個(gè)路由動(dòng)作包含兩個(gè)基本內(nèi)容：尋徑和轉(zhuǎn)發(fā)。尋徑就是在互連網(wǎng)絡(luò)中從多條路徑中選擇一條到達(dá)目的地最佳的網(wǎng)絡(luò)路徑提供給用戶，這是通過路由選擇算法來實(shí)現(xiàn)的。為了選擇最優(yōu)的網(wǎng)絡(luò)路徑，路由選擇算法需要初始化和維護(hù)包含路由信息的路由表，其中路由信息根據(jù)路由選擇算法決定其內(nèi)容，它是不同的。路由選擇算法會(huì)把不同的路由信息填入的路由表中，根據(jù)路由表把相關(guān)內(nèi)容告訴路由器。路由器間通過通信進(jìn)行路由更新，使路由表能反映網(wǎng)絡(luò)的拓?fù)渥兓?，并由路由器根?jù)決定最佳路徑。轉(zhuǎn)發(fā)就是沿著尋徑好的最佳路徑把信息傳出去。路由器會(huì)首先通過路由表判斷是否知道如何發(fā)送分組，如果路由器不知道，通常會(huì)把該分組丟棄；如果知道，就會(huì)根據(jù)路由表的相關(guān)表項(xiàng)把分組發(fā)送到下一個(gè)站點(diǎn)，如果路由器是直接與目的網(wǎng)絡(luò)相連的，路由器就會(huì)在相應(yīng)端口上發(fā)送分組，這就是路由轉(zhuǎn)發(fā)協(xié)議。路由轉(zhuǎn)發(fā)協(xié)議和路由選擇協(xié)議這兩者既有聯(lián)系又有區(qū)別，前者是使用后者來對路由表進(jìn)行維護(hù)的，后者又要利用前者來發(fā)布路由協(xié)議數(shù)據(jù)分組。

3路由選擇方式和路由算法

路由選擇方式分為靜態(tài)路由和動(dòng)態(tài)路由兩種。靜態(tài)路由是指路由器中的路由表是固定的，除非人為設(shè)置，否則靜態(tài)路由是不會(huì)發(fā)生變化的。由于靜態(tài)路由不會(huì)因?yàn)榫W(wǎng)絡(luò)的改變而變化，一般情況下用于網(wǎng)絡(luò)規(guī)模較小、網(wǎng)絡(luò)拓?fù)鋯我坏木W(wǎng)絡(luò)中。靜態(tài)路由的優(yōu)點(diǎn)是實(shí)現(xiàn)簡單、效率高、傳輸可靠。如果動(dòng)態(tài)路由與靜態(tài)路由發(fā)生沖突，以靜態(tài)路由為準(zhǔn)。動(dòng)態(tài)路由會(huì)隨著路由表信息的變化發(fā)生改變，它能及時(shí)地對網(wǎng)絡(luò)結(jié)構(gòu)的變化做出反應(yīng)。如果路由信息顯示網(wǎng)絡(luò)有變化，路由選擇軟件會(huì)重新計(jì)算路由，并對路由表信息進(jìn)行更新，這些信息可以動(dòng)態(tài)地反映出網(wǎng)絡(luò)拓?fù)渥兓?。?dòng)態(tài)路由一般適用于網(wǎng)絡(luò)規(guī)模較大、網(wǎng)絡(luò)拓?fù)浔容^復(fù)雜的網(wǎng)絡(luò)中。由于靜態(tài)路由和動(dòng)態(tài)路由各有各的特點(diǎn)及使用范圍，因此在一般的網(wǎng)絡(luò)中動(dòng)態(tài)路由通常作為靜態(tài)路由的補(bǔ)充來使用。常見的兩個(gè)動(dòng)態(tài)路由算法有距離矢量算法和鏈路狀態(tài)算法。距離向量算法是相鄰的路由器交換路由表全部或部分信息，然后進(jìn)行矢量相加來獲取整個(gè)路由表，最后通過路由表找到一條數(shù)據(jù)交換的最佳路徑。距離矢量算法盡管實(shí)現(xiàn)及管理比較簡單，但它速度慢，占用的網(wǎng)絡(luò)資源較多。鏈路狀態(tài)算法是把路由信息發(fā)送到網(wǎng)絡(luò)上的所有點(diǎn)，然后對每個(gè)路由器收集鏈路狀態(tài)信息，生成網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖計(jì)算出路由。每個(gè)路由器僅發(fā)送其路由表中關(guān)于自身鏈路狀態(tài)的信息，這種算法并不是一個(gè)簡單的從鄰近路由器上獲取路由表來計(jì)算路由的一個(gè)算法。鏈路狀態(tài)算法只是將少量更新信息發(fā)送到網(wǎng)絡(luò)中各個(gè)點(diǎn)，因此速度更快，而且不容易發(fā)生路由循環(huán)。但是，鏈路狀態(tài)算法比距離向量算法要求有更快的的CPU處理能力及更大的內(nèi)存空間，因此實(shí)現(xiàn)起來費(fèi)用更昂貴些。

4路由器的安全維護(hù)

現(xiàn)在網(wǎng)絡(luò)上經(jīng)常有人利用路由器的安全漏洞對路由器發(fā)起攻擊，造成網(wǎng)絡(luò)異常甚至癱瘓，因此，我們必須采取一些的安全措施對路由器進(jìn)行維護(hù)。下面介紹一些常用的安全維護(hù)措施：

(1)路由器口令不能隨便泄漏，要使用安全級別高的口令。據(jù)統(tǒng)計(jì)，85%的針對路由器的攻擊事件都是由于口令泄漏或薄弱的口令引起的。黑客通常會(huì)利用弱口令或者默認(rèn)的口令進(jìn)行攻擊。使用復(fù)雜的口令及設(shè)置口令有效期等措施可以有效的防止這類攻擊的發(fā)生。

(2)把一些不常用的本地服務(wù)禁用。為了使路由器更加安全，需要把一些不必要的本地服務(wù)禁用，一些用戶很少用到的本地服務(wù)例如SNMP和DHCP等都可以禁用，當(dāng)需要的時(shí)候把再把相關(guān)的服務(wù)啟用就可以。

(3)加強(qiáng)路由器的安全防范。由于路由器控制端口是具有特殊權(quán)限，如果攻擊者直接接觸路由器后，對其進(jìn)行斷電重啟，然后把密碼重置，這樣就可以輕松登錄路由器，將路由器控制，因此，我們必須加強(qiáng)對路由器的防范。

(4)為路由器增加協(xié)議認(rèn)證功能，提高網(wǎng)絡(luò)的安全性。路由器的一個(gè)非常重要的功能是路由的管理和維護(hù)。目前大部分的網(wǎng)絡(luò)都采用了動(dòng)態(tài)路由協(xié)議，如果一臺(tái)路由器，它設(shè)置了相同的路由協(xié)議和相同的區(qū)域標(biāo)識符，當(dāng)它加入到網(wǎng)絡(luò)中后就會(huì)獲取網(wǎng)絡(luò)上的路由信息表，這就有可能導(dǎo)致網(wǎng)絡(luò)拓?fù)湫畔⒌男孤?。如果該路由器向網(wǎng)絡(luò)發(fā)送自己的路由信息表，也可能使網(wǎng)絡(luò)上正常工作的路由信息表發(fā)生混亂，導(dǎo)致整個(gè)網(wǎng)絡(luò)癱瘓。解決這個(gè)問題的方法就是對網(wǎng)絡(luò)內(nèi)的路由器增加路由信息認(rèn)證功能，當(dāng)路由器設(shè)置了路由信息認(rèn)證方式后，它就會(huì)鑒別路由信息的接收方和發(fā)送方。通常有兩種鑒別方式：純文本方式和MD5方式，由于純文本方式安全性低，所以一般使用MD5方式。

(5)對路由器設(shè)置進(jìn)行監(jiān)控。用戶在對路由器設(shè)置后，要對路由器的設(shè)置進(jìn)行監(jiān)控?，F(xiàn)在SNMP廣泛應(yīng)用在路由器的監(jiān)控、配置方面。如果用戶使用SNMP，最好使用提供消息加密功能的SNMP。如果不通過SNMP對路由器進(jìn)行配置，要把SNMP設(shè)成為只讀，這樣就能有效阻止黑客對端口進(jìn)行改動(dòng)或關(guān)閉。

總之，路由器是網(wǎng)絡(luò)中一個(gè)不可缺少的關(guān)鍵性設(shè)備，它的安全問題需要我們特別重視，我們在了解路由器工作原理的基礎(chǔ)上對路由器進(jìn)行合理規(guī)劃和配置，采取一些必要的安全維護(hù)措施，盡量避免由于路由器本身的安全問題而給整個(gè)網(wǎng)絡(luò)系統(tǒng)帶來危險(xiǎn)。

參考文獻(xiàn)

［1］徐菲.路由器的安全配置與安全維護(hù)分析［J］.信息與電腦(理論版)，2013，(02).

［2］李永亮.路由選擇算法淺析［J］.電腦學(xué)習(xí)，2003，(05).