路由器、交换机以及防火墙漏洞和应对分析

曾大勇

（民航华北空管局，北京 100621）

1 出现漏洞的多种原因

1.1 人为因素导致网络设备破坏

有些漏洞可以修复，有些漏洞是不可以的。占据路由和交换市场最多份额的是思科公司。思科Security Advisories、Response和Notices网站为方便人们生活建立了一个新的数据库，思科产品的各种安全问题让思科各个用户明白和了解。思科会毫无保留的揭示纰漏，也会及时发布修复方法，因为思科投资了很大一笔资金来研究分析产品的安全。

1.2 BGP的重定向引起风险

数据丢失，是网络设备潜在的危险之一，虽然攻击方式多种多样，BGP即边界网关协议的攻击方式越来越困难繁琐。BGP一直是互联网的核心协议，边界网关协议是用于TCP上的一种自治系统的路由协议，也是唯一一个运用于处理类似于因特网这样的网络协议。BGP构建于EGP的经验之上，它的自治系统号码是ASN。网关可以检查数据包创ISP时的ASN，来识别单个数据包从哪个ISP来。

1.3 超过防火墙

如果不小心让其他人甚至于攻击者获得防火墙的管理访问权限，造成的后果不堪设想。对于各大企业的网络设备来说，防火墙是最重要的防御措施，只要破坏者或者攻击者获取了防火墙的访问权限，那么他的操控将来去自如，不被局限和控制，想要盗取任何企业信息或个人资料都信手拈来，如果越来越多的攻击者出现，那么对网络的自由操控引发的后果将是毁灭性的[1]。

2 防御漏洞的出现采取一系列措施

2.1 路由器安全防护措施

路由器对于网络而言，相当于过渡工具，路由器有好坏之分，每个路由器至少有2个端口和2个网络相互连接，好的路由器采用严格的安全机制保护自己也保护网络，网络管理者及路由器安装者也应对其进行安全保护，做好安全防护措施。路由器里一般都有一个“路由表”，记载着相邻或不相邻的路径信息，跟踪纪录路由器的地址信息，尽量满足人们对网速的需求，实现以最短的路径和最少的花销传送数据包。路由器的稳定保证网络运用的畅通无阻，方便网络带来的一切活动，一旦出现网络连接失败等问题，网络运行速度瞬间下降。

2.2 交换机安全防护措施

为了维护网络安全，在特殊情况下，要采用MAC的地址对交换机以太网的端口进行锁定，这样只有通过MAC指定的地址才能访问该端口的网络。除了这个方法，还可以采用虚拟局域网来保证网络的安全，每一个虚拟局域网通过划分，形成一个单独的广播域，将不同的网络分类成不同的广播组，虚拟局域网之间互相分离，形成单独的个体，禁止一切未经允许想要访问虚拟区域网的应用软件，保护了一些重要的数据。

（1）流量控制

防止流量使用量过多导致交换机的异常负荷，因此要控制流量的使用，确保网络运行的稳定。

（2）层过滤

不规则的方式无法满足各种过滤需求，所以要建立规则的方式，要求附加到对应的接收或传送端口，过滤后再决定丢弃或转发。

（3）Syslog和Watchdog

交换机中可以把各种各样的信息传送给日志服务器的是Syslog日志功能，网络管理人员可以根据设备的运行情况，更好地保证网络稳定安全的运行。Watchdog拥有一个计时器，它的作用是可以在交换机出现紧急故障或者遇到某种意外状况时自动重启，强大的智能性确保网络的正常运行。

2.3 防火墙安全防护措施

防火墙技术虽然是在信息安全和通信网技术领域上建立的应用性安全技术，也在各种网络领域的网络大环境下被人们广泛运用，但是在安全问题上很容易出现漏洞。随着社会不断发展，网络安全要求越来越高，防火墙技术除了满足不断提高的网速，还要提供更多的网络功能，在解决安全问题的同时，也要具备网络地址转换功能。防火墙包括包过滤型防火墙、代理型防火墙、监测型防火墙。其实，防火墙的功能比较完整，在安全性和实用性上还是很统一的，它具备报警功能，并且拥有足够的空间进行日志存储。即使这样，也依旧存在着许多缺点：攻击者的恶意攻击没有经过防火墙时，防火墙几乎没有任何作用，无法进行防御。

3 结束语

本文总结出可以想到的涉及相关知识的措施，网络安全工作者必须合理配置路由器和交换机，避免防火墙遭受攻击，完善路由器、交换机以及防火墙的安全机制，确保严格的控制管理，保障原有功能不受任何影响的基础上，扩大它的功能，发挥更多的作用。希望所有人都可以谨慎重视这个问题，如果忽视的话，现在是幸存者，以后有可能就是受害者。

[1]柳文波.路由器和交换机的安全策略[J].华南金融电脑，2003（12）.