配置系统路由表,加强服务器安全【计算机光盘软件与应用】.doc

配置系统路由表，加强服务器安全性赵庆明 肖庆（成都理工大学图书馆，四川 成都，610059)摘 要：随着互联网的普及和深入，网络攻击带来的网络安全问题越来越突出，如何加强重要服务器的安全性，防止未授权访问越来越受重视。通过配置系统路由表，在对授权的访问透明开放，对未授权的实现了技术上的隐藏，从而加强了该服务器的安全性。本文并对其原理和实现的机制进行了详细的阐述。关键词：Windows 路由 路由表 服务器中图分类号：TP393Configure the System Routing Tables to Enhance Server SecurityZhao-Qingming Xiao-Qing（Chengdu University of Technologys Library, Si-Chuan Chengdu, 610059)Abstract: Along with the popularity and in-depth of the Internet, network security problems caused by network attacks are becoming increasingly prominent. It is more and more attention of how to enhance the security of critical servers and preventing unauthorized access to. By configuring the system routing tables, thus enhanced the security of the server. To the unauthorized access, the server was hidden. And to the authorized access, the server is opening and transparent with technology. This paper described its principles and also elaborated the implementation of the mechanism.Keywords: Windows、Route、Route table、Server、引言服务器安全是一个永恒的话题。无论是采用杀毒软件、防火墙、还是其他的安全技术，都是为了在系统易用的情况下加强其安全性。来自外部的攻击使得服务器不得不穿上厚厚的铠甲，并以牺牲服务器性能和花费金钱作为代价。有没有一种简单方法可以代替或者减少一些昂贵的“铠甲”呢？本文通过探讨基于Windows服务器系统的路由表的配置，以期加强系统在网络面前的安全性，并在一些重要的如中心数据库服务器之上进行了实践，并取得了良好的效果。一、计算机之间的通讯机制两台计算机之间通讯，必须遵循一定的协议，即通讯规则。通讯的过程，就是计算机之间发出请求、接收请求和应答请求相互交织的一系列过程。如果任意一方不再继续，通讯无法再进行。诸如防火墙等加强系统安全性的技术，其在运行过程中努力分辨哪些请求需要服务器进行应答、哪些请求不予应答而应该直接丢弃。安装在计算机上的防火墙，在进行这些判断中需要耗费一定的服务器系统资源。若在服务器前方放置一台独立的防火墙，这些判断工作可交由该防火墙完成，但防火墙的购置却则需要花费一定的金钱，在经费并不充足的情况下，购置独立防火墙并不可行。 服务器所提供的服务，并不需要对全世界开放。众多的安全性要求较高的服务器，如数据库服务器，很可能限制在有限的小范围内的访问。如果服务器与被访问者在同一信任的网络中，除了在两者之间使用防火墙进行安全检查之外，暂无更好的方法。由于两者处于同一信任网络中，服务器被其攻击的可能性非常小，更多的攻击可能性来自于此网络之外的Internet。无论是Windows操作系统、Linux操作系统还是其他操作系统，只要连接Internet，则必然需要遵循TCP/IP协议。在进行通讯的时候，系统会在内部生成一张路由表，来确认信息该如何发送以及向哪里发送。网关（Gateway）扮演了向外部网络转发数据的主要角色。如果在配置计算机IP地址未配置了网关IP地址的，该计算机虽可以与本地网络上的计算机畅通地通讯，但对于本地网络之外的任何网络都无法通讯。基于TCP/IP协议，系统如果不知道如何转发数据包或把数据包转发到哪里，就会直接丢弃掉该数据包。在我们的服务器中，把不期望响应的IP地址设置为“不知道”数据如何向其转发，服务器同样会简单地直接丢弃掉数据，从而也加强了服务器的安全。二、基于Windows的路由表通常情况下，当系统把一个数据包发送到本机所在网络以外的一个不同的网络时，这个数据包将被发送到路由器，路由器再决定把这个数据包应该转发给哪一个网段。无论路由器仅仅连接两个网段或者多达十多个网段，决策的过程都是一样的，决策依赖于路由器路由表信息。路由表是Windows的TCP/IP协议栈的一个重要的部分。Windows路由表并不向普通用户显现，如果要查看、修改此路由表，需要在“命令提示符”窗口中，用“Route”命令配合相关的参数。直接执行不加参数的“Route”命令，可得到该命令相关的帮助信息。在Windows系统中，路由表信息可分为五列。第一列“目的网络”列出了系统连接的所有的网段。第二列“网络掩码”与第一列中的目的网络进行“与运算”得到一个确定的“目的网段”，该网段可包含一个、乃至数以万计的IP地址。第三列“网关”，一旦系统要把某个数据包发往某个网络，系统就要根据“目的网络”查看网关列表以确定该数据包该如何发送。第四列“接口列表”告诉系统哪一个网卡（网络接口）连接到了合适的目的网络。从技术上说，接口仅提供了系统分配给网卡的IP地址，系统会自己判断这个地址绑定到哪一个物理网卡（网络接口）。最后一列“跃点数”是路由算法用以确定到达目的地的最佳路径的计量标准。该参数使用了许多不同的度量得到一个以确定最佳路径的metric值，这些度量主要包括线路的路径长度（跃点数）、线路可靠性、线路的网络延迟、线路的网络带宽、线路的网络负载和线路的通信代价等，为在路由表里的多个路由中选择与转发包中的目标地址最为匹配的路由。通常所选的路由具有最少的跃点数。三、Windows路由表分析我们以本机为例来了解Windows系统的路由表。本机有一块网卡，IP地址为“10.5.2.1”，子网掩码“255.0.0.0”，默认网关为“10.0.0.1”。在“命令提示符”窗口中执行“Route print”命令，系统输出当前的路由表信息。路由表信息分为三大部分：“网络接口列表”、“激活的路由”（表1）和“永久的路由”。序号目的网络网络掩码网关接口跃点数10.0.0.00.0.0.010.0.0.110.5.2.120210.0.0.0255.0.0.010.5.2.110.5.2.120310.5.2.1255.255.255.255127.0.0.1127.0.0.120410.255.255.255255.255.255.25510.5.2.110.5.2.1205127.0.0.0255.0.0.0127.0.0.1127.0.0.116224.0.0.0240.0.0.010.5.2.110.5.2.1207255.255.255.255255.255.255.25510.5.2.110.5.2.118默认网关: 10.0.0.1表1. Windows系统的激活路由表第一条“0.0.0.0 0.0.0.0 10.0.0.1 10.5.2.1 20”。当要被发送的数据包的目的网段不在本机的路由记录中，将由“10.5.2.1”（本地网卡）这个接口将此数据包发送至“10.0.0.1”（网卡上配置的TCP/IP协议中的默认网关），让其转发，该路由记录的跃点数为“20”。第二条“10.0.0.0 255.0.0.0 10.5.2.1 10.5.2.1 20”。当系统需要向本地直联网段发送数据包时，直接通过“10.5.2.1”（本地网卡）发送出去即可。 第三条“10.5.2.1 255.255.255.255 127.0.0.1 127.0.0.1 20”。所有发向本地网卡“10.5.2.1”的数据，交由自己处理即可。第四条“10.255.255.255 255.255.255.255 10.5.2.1 10.5.2.1 20”。当系统发送给直联网段的本地广播时，系统将该数据从“10.5.2.1”接口以广播的形势发送出去。第五条“127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1”。“127.0.0.0/255.0.0.0”这个网段内所有地址都指向自己机器，如果收到这样一个数据，交由自身处理即可，跃点数为“1”。第六条“224.0.0.0 240.0.0.0 10.5.2.1 10.5.2.1 20”。当系统发送一个组播数据包时，系统将该数据从“10.5.2.1”接口以组播的形式发送出去。第七条“255.255.255.255 255.255.255.255 10.5.2.1 10.5.2.1 1”。当系统发发送一个广播时，交由“10.5.2.1”发送。四、路由的配置将本机网卡的默认网关删除，重新运行“route print”查看当前系统上的路由表。路由表中缺少了目的网络地址“0.0.0.0/0.0.0.0”的数据和“默认网关”两项数据，其他路由信息并未改变，此时，虽然可以畅通无阻地访问本地网络，但无法访问本地网络之外的任何网络。这种情况下，添加目的网络地址“0.0.0.0/0.0.0.0”的路由数据，或者在TCP/IP配置中还原网关的设置，即可访问外部网络。在这里仅仅为一些IP地址配置路由数据，这些数据将在路由表的“永久的路由”部分显示（详细帮助，请参考Windows系统自带的route帮助，或在“命令提示符”窗口中，执行“route”命令即可得到该工具相关的帮助信息）。添加到“202.115.128.33”（DNS服务器）的“静态”路由，使得该IP地址可与本机通讯。在“命令提示符”窗口中执行如下命令：ROUTE p ADD 202.115.128.33 MASK 255.255.255.255 10.0.0.1 METRIC 1默认情况下，启动TCP/IP协议时不会保存添加的路由。参数“-p”与Add命令共同使用时，指定路由被添加到注册表，并在启动TCP/IP协议的时候初始化IP路由表。永久路由存储于注册表中的“HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParametersPersistentRoutes”位置，系统重新启动后，该静态路由仍然有效。在经过如此设置，该系统可以访问全部的本地资源外，还可以通过外部的域名服务器进行域名解析，但是其他外部网络仍不可访问。在我的工作中，网络“202.115.136.0/255.255.255.0”对于本机是可信任的网络，该网络上的所有系统都应该能与本系统通讯，按照如上的方式，添加路由。ROUTE p ADD 202.115.136.0 MASK 255.255.255.0 10.0.0.1 METRIC 1与上一条命令不同的是，MASK后面的参数是一个可匹配255个IP地址的子网掩码。经过如此设置之后，虽然外界所有IP地址都可以向本机发送数据包（实验证明，本机也可收到数据包），但仅仅对设置了路由信息的IP地址有回应数据包。在这样的情况，仅仅对于设置了路由的网络来说，本机是可见的，对于其他IP来说，本机是隐藏的或“不可达”。因此，可以很大程度上提供了系统的安全性。五、结论通常情况下，普通用户和一般系统管理员对于服务器系统内部的路由表较少关心。一般设置了服务器的TCP/IP地址之后，也无需其他配置，即可正常联网。如果对服务器系统内部路由表进一步配置，便可很大程度上增强系统的安全性，阻止可能的不必要通讯，对于系统减负，系统安全举措上提供一定的借鉴。参考文献：1.微软公司.Windows XP帮助和支持中心2.周宝林.优化主机路由表限制网络访问的应用分析J.网络安