路由器和交换机安全技术应用研究

文/李彦

首先，本文从路由器安全技术应用的角度出发，提出构建漏洞修补技术。为此，本文基于常见的网络安全漏洞，设计了漏洞检测框架，并简要介绍了该框架的真实应用场景。其次，本文从交换机安全技术应用的角度出发，提出构建ACL（访问控制技术）交换机网络安全访问控制技术，针对性地设计网络安全访问控制网络架构，并分析其仿真应用结果。

2017 年6 月，《中华人民共和国网络安全法》正式实施，这说明，国家越来越重视网络安全问题。为了更好地应对互联网快速发展带来的网络安全事件，相关部门应聚焦于路由器漏洞修复和网络安全访问等方面，通过引进新技术、专业技术人才等方式，及时化解网络安全风险，降低网络安全事件的影响。

（一）漏洞检测框架设计

现阶段，常见的路由器安全漏洞有权限绕过漏洞、命令注入、后门账户和溢出攻击等类型。目前，最为常见的攻击形式有堆溢出攻击和栈溢出攻击两种，二者均会制约程序和路由器的安全运行。[1]基于此，本文借助污点跟踪与模糊测试方法，在传统测试方法的基础上对D-Link 版本的路由器进行改良，以求解决源代码获取难这一现实问题；
应用污点分析技术，对来源不可信的数据进行检测，进而判定其是否存在恶意行为。[2]

（二）真实场景应用

考虑到CGI 等格式的目标文件的正常运行通常离不开特殊环境变量的支持[3]，并且此种环境变量能够为路由器用户端线上传输和接收数据信息创造条件。因此，本文所述漏洞检测框架的真实应用场景必须综合考量CGI 文件的取值过程，从而确保所获得的数据的有效性。[4]

本文中，固件解析方法的作用对象为D-Link DCS-942L 路由器，具体应用流程如下。（1）获取管网固件信息并初步观察固件，借助Binwalk 工具，输出可视化结果和固件解析数据；
（2）基于Binwalk 工具分析固件解析结果，明确未能完全解析的文件或系统存在的问题，并进入下一个固件解析环节；
（3）根据固件脚本特征，选用合适的数据观察方案。以本文提出的漏洞检测框架为例，与其真实应用场景匹配度最高的数据观察方法为hexdump，该方法对应的是用于观察固件开头的Shell 脚本特征。为了验证该漏洞检测方法是否可行，本文从代码覆盖率、误警率以及漏警率三个指标出发，建立了验证指标体系，并落实相应的测试工作。同时，为确保测试结果真实可靠，笔者分别将本文提出的漏洞检测方法和Sulley（模糊测试工具）运用于磊科NW774路由器和D-link DCS-942L 路由器，同时记录并计算二者的代码覆盖率、误警率及漏警率。[5]

1.代码覆盖率

笔者将Sulley 运用于D-link DCS-942L 路由器后，采用模糊测试与采用污点跟踪优化后的模糊测试，得出的代码覆盖率分别为51.33%、46.67%；
在同等条件下，本文提出的漏洞检测方法，其模糊测试得出的代码覆盖率为75.11%。笔者将Sulley 运用于磊科NW774 路由器后，采用模糊测试与采用污点跟踪优化后的模糊测试，得出的代码覆盖率分别为55.20%、48.99%；
在同等条件下，本文提出的漏洞检测方法，其模糊测试得出的代码覆盖率为69.89%。由此可见，在不同型号的路由器应用场景下，后者的代码覆盖率均高于前者的代码覆盖率。

2.误警率与漏警率

首先，笔者将Sulley 运用于D-link DCS-942L 路由器后，计算得出的误警率与漏警率分别为47.20%、43.97%；
在同等条件下，本文提出的漏洞检测方法得到的误警率与漏警率分别为40.18%、40.13%。其次，笔者将Sulley 运用于磊科NW774 路由器后，计算得到的误警率与漏警率分别为39.24%、45.22%；
在同等条件下，本文提出的漏洞检测方法得到的误警率与漏警率分别为32.10%、30.11%。这些指标值足以证明本文提出的漏洞检测方法更具可信度，科学性更高，可以在实际应用中发挥积极作用。

（一）网络安全访问控制网络架构设计

通常，企业网络安全架构主要由接入层、汇聚层和核心层组成。其中，接入层是用户访问或面向终端的层结构，其与终端相连接以完成业务通信和宽带分配等指令。ACL 与目的设备的间距较短，且普遍置于接入层。同时，置于接入层的交换机属于二层网络结构，具备即插即用等优势，能够满足内部数据的交换和处理需求，后期维护及操作使用难度较低。汇聚层是承接接入层和核心层的层结构，其主要负责汇聚、分发和传输接入层的数据。汇聚层中的ACL 同样位于源设备附近，以实现协议转换功能。汇聚层的交换机符合三层结构特点，主要负责转发三层路由器和网关。与接入层的交换机相比，汇聚层的交换机添加了汇聚等功能，性能更为强大。核心层主要负责路由表维护和数据转发，其属于主干部分，对所属网络安全访问控制网络架构的整体性能影响深远。核心层的带宽和吞吐量均为三层网络架构中的最大值，并且关联甚广。因此，合理设计核心层的网络架构是保障企业网络安全的关键。

（1）从企业内部划分区域，运行OSPF 协议以形成链路状态。在路由器的支持下，企业员工均可通过Telnet 程序登录自己的办公账号。其中，研发部和办公室的员工可以根据业务需要访问外网，进而实现外网数据与内网数据的安全流通，但财务部的员工无访问外网的权限；
财务部与办公室的沟通主要通过基于OSPF 协议的组网区域来实现，且该组网区域的访问形式仅限于HTTP 服务器，同样无法访问外网，从而确保企业内部数据不被泄露；
毫无疑问，研发部和财务部的对接同样只能通过访问HTTP 服务器来实现。

（2）将OSPF 区域进一步划分为Area0（A0）、Area1（A1）、Area2（A2）、Area3（A3）四个部分，各部分在OSPF 协议的支撑下紧密连接，进而达到数据互通的目的。其中，A0 为组网核心部分，负责将企业内部和财务部的路由器与研发部、办公室的路由器相连接，以完成数据传输和协议转换、包过滤源地址等指令；
A1 是企业内部与外部通信相连接的区域，主要负责保障目的地址和源地址的安全；
A2、A3 均为企业内部各部门通信区域，主要负责区域内和跨区域的数据交互。

（3）在ACL 和Telnet 的双重保障下，企业内部拥有远程登录权限的人员只能凭借个人IP 地址或者输入提前设置好的密码，才能获得访问企业内部网络的权限。如此一来，恶意登录路由器等问题能够得到有效解决，内网数据也能实现闭环传输，企业内部网络的安全性明显提升。此外，数据交换常出现于财务部与研发部之间，因此，该区域数据传输的通畅性是企业内部网络保持连续性和稳定性的基础。在具体操作过程中，企业可以在财务部与研发部的组网区域A3 中使用交换机，并设置二层结构，建立MSTP+VRRP 综合组网架构，增加带宽和冗余网络。同时，为进一步缩减资源占有率，企业还可以引入多线路模式，从而在降低因线路故障导致数据无法传输等问题的同时，避免影响负载均衡。

（二）仿真应用

本文构建的网络安全访问控制网络架构是基于OSPF 协议和ACL 规则来实现的，其网络配置细则可概述为以下几点。（1）内部运行网关协议，办公室可访问管理R1、R2、R3，财务部不可访问外网。（2）采取区域认证方式作用于A0，采取MSTP+VRRP 综合组网架构作用于A3。其中，VRRP 使用的协议数据包是目的IP 地址为224.0.0.18 的组播数据包。配置完成后，ACL 的生效顺序为：在config 模式及auto 模式下，编号小的优先级高。ACL6 的生效顺序为：在config 模式下，编号小的优先级高；
在auto 模式下，排序靠前的优先级高。当ACL 作用于黑名单攻击防护时，ACL6 可以直接过滤处理后的协议数据包，然后将处理好的数据发送至CPU。在系统视图下，ACL6 能够准确接受并执行命令，并转至攻击/防护视角。在此期间，黑名单由执行命令创设，并可直接应用于防护/攻击策略。

在规划好网络拓扑图后，笔者基于华为eNSP 软件，在ACL 策略、单臂路由以及VLAN间通信的组合配置下，顺利开展了仿真实验。实验结果显示，本文设计的网络接入方式能够完善网络基础，且当ACL 作用于核心层后，网络健壮性和企业网络访问控制过程的安全性均得到有效提升。

综上所述，路由器和交换机的安全运行与企业内部网络的安全性直接相关。因此，为了实现数据精准传输和资源共享等功能，企业技术部门需要针对更深层次的路由器和交换机安全运行技术展开研究，同时借助漏洞修补技术和ACL 等技术创设更加安全、健康、文明的网络运行环境。