正如标题所述。一位同事提到,可以配置路由器/网关来缓存经过的所有内容(邮件、附件……)
假设一封带有附件的邮件从一家公司发送到另一个大陆的另一家公司,那么在 ISP 执行日常管理工作的人员可以查看该邮件及其链接的附件吗?
答案1
这个问题有点难以回答。路由器最严格的定义就是在第 3 层路由数据包。
所以,本质上来说,不是。我不知道有哪个现成的普通纯路由器内置了这种行为。
但是,肯定还有其他设备可以做到这一点。现在令人困惑的是,这些设备可能与路由技术捆绑在一起,甚至可能被贴上路由技术的标签。
因此,如果论点是“IP 流量默认不安全”,那么您的同事绝对正确。然而,这不太可能只是简单的内部管理 - 想想这个缓存需要多大。
路由只是从 A 到 B 获取互联网流量的一部分,您可以肯定您的电子邮件会经过其间各种其他设备。
答案2
网络图中的路由器的作用并不包括这种高层缓存。它只是将数据包转发到下一个本地网络,并根据需要重写第二层数据。
当路由功能被捆绑到防火墙等其他设备中时,就会产生混淆。如今,“防火墙”可以包括一切,从最基本的无状态端口阻止/允许语句到应用程序级内容过滤(足够智能,可以注意到有人试图将公司机密邮寄给竞争对手)。这些设备中功能最强的不是防火墙,而是“安全网关”(至少今年是这样),而“防火墙”只是列表中的一个功能。
这些网关可以很好地缓存经过的内容。它们的全部目的是将内容检查自动化到非常详细的水平,以防止关键数据丢失,并防止用户访问不良内容。
安全网关的功能列表里有“路由器”一词,通常部署在组织边缘。由于其工作方式,它们需要放置在相关流量的网络路径中,这就是为什么它们通常是 ISP 网络电缆之后网络上的第一个或第二个设备。
不部署这些网关的地方是 ISP 内部路由网络。一些 ISP 提供这些功能作为您支付的额外服务,这样您就会知道是否发生了这种情况。对于 ISP 来说,他们关心的只是第 3 层传输,除非您签订了单独的协议,他们也关心更高级别的内容。进行“例行维护”不会向技术人员公开重新组装的客户端数据;如果他们正在执行数据包跟踪以隔离问题,客户端数据可能在捕获中,但他们必须付出重大、有目的的努力才能将这些数据转换为文件/电子邮件。
答案3
它不太可能将其缓存在路由器本身上,但肯定可以配置另一个端口来镜像活动端口,并将一个设备连接到该端口以记录所有收到的数据包。您应该始终假设 ISP 工作人员可以查看通过其 ISP 的任何未加密流量。
答案4
如果您说的是 IP 级路由器,这种情况极不可能发生。路由器负责处理大量流量,尤其是在繁忙/大型 ISP 中。因此,做这样的事情确实效率低下。这不是路由器的任务。通常,它们不需要理解应用程序级标头和数据。