设计安全路由器

　　 路由器作为一种网络间的连接设备，它的基本功能是实现直接将报文发送到正确目的地和维持路由器用来决定正确路径的路由选择表。路由器作为内部网络与外部网络之间通信的关键设备，有必要提供一定的安全保护功能。在路由协议中有效的安全功能包括过滤路由广播及认证。利用过滤，路由协议能禁止路由广播到邻居，因此可以保护网络的某一部分。一些路由协议在进行路由表更新前先要对邻居进行认证，能保证阻止从其它子网来的非正确连接。然而，随着网络在各种领域应用的日益普及，网络安全问题趋于复杂化和多样化，今天的网络需要根据不同的应用建立全面的内在安全机制及设施。

　　 常见的通过路由器的攻击方式

　　 严格地说，所有的网络攻击都要经过路由器，但有些典型的攻击方式就是利用路由器本身的设计缺陷展开的，而有些方式干脆就是在路由器上进行的。比如发送虚假路由信息，使路由器路由混乱从而导致网络瘫痪，或者攻击者通过改变自己的IP地址来伪装成内部网用户或可信任的外部网络用户，发送特定的报文以扰乱正常的网络数据传输，或者伪造一些可接受的路由报文来更改路由信息，以窃取信息；更有甚者将自制路由器放在网络上，完全改变原有路由表的功能，造成报文无序路由。而最危险的是一种叫做端口扫描的直接针对路由器的攻击方式，攻击者通过探测防火墙在侦听的端口，来发现系统的漏洞；或者事先知道路由器软件的某个版本存在漏洞，通过查询特定端口，判断是否存在该漏洞。然后利用这些漏洞对路由器进行攻击，使得整个路由器DOWN掉或无法正常运行。

　　 安全路由器的设计原则

　　 路由器在设计时，必须考虑路由器本身的可靠性和线路安全措施、身份认证、数据加密、入侵检测和防范以及安全管理几个方面。