论文部分内容阅读
【摘要】本文系统介绍了基于IPv6的防火墙设计与究。根据协议内容对传统的防火墙进行了完善和改进,完善之后的防火墙系统不仅具有传统防火墙的应用代理以及分组过滤等功能,还增加了IP数据报认证源地址,数据加解密以及分组检验完整性等功能。
【关键词】IPv6防火墙设计研究
近年来,因特网的发展迅猛,因特网的主机数量也以每天数以万计甚至更多的速度在增长,网络规模迅速增大,很多供应商开拓了例如电子商务等的商业项目,此外,因特网也逐渐深入到政府和军事领域。但是与此同时出现的安全问题也不容忽视,攻击、入侵因特网的状况经常发生,主要包括以下两种形式[1]:(1)利用系统或者是配置管理上的漏洞,以及操作者的误操作或者是低劣的编辑软件等漏洞攻击或入侵网络系统。(2)再就是利用网络协议的漏洞攻击网络的这种较为复杂的攻击形式,主要原因是传统的IP协议没有数据加解密、数据认证、身份认证等功能。目前,防火墙可以很好的抵御第一种攻击,但是很难对抗协议内在漏洞的攻击形式。IPv6这种新版IP协议的安全机制主要有认证和加密两部分内容,它可以认证和加密网络层的全部分组。
一、IPv6体系
IPv6的安全机制中的保密和认证主要是通过ESP保密净荷封装以及AH认证头来完成的。
ESP保密净荷封装的工作模式主要有以下两种:(1)ESP传输模式。ESP传输模式中ESP需要加密传输层的如ICMP、UDP、TCP等数据段,在数据段和IP头之间加入ESP数据头,分组格式为:IP头→其他IP头→ESP数据头→目的端可选数据报头→数据段→ESP相关信息。(2)ESP隧道模式。ESP隧道模式中,需要加密整个的IP分组,在原分组之前增加ESP数据报头,重构路由信息充足的新的IP头,分组格式为:新IP头→新扩展数据报头→ESP数据报头→IP头+上层数据段+ESP相关信息。ESP隧道模式主要针对有保密网关或者是防火墙的场合。
二、防火墙设计
传统的防火墙采用分组过滤的形式,面对IPv6主要有以下几个问题:(1)防火墙需要过滤IP端口号以及使用的协议,经过ESP加密就无法获得这些信息,从而使防火墙性能降低。(2)ESP隧道模式需要加密全部分组,非法主机可以趁机连接网络内部主机,而且这种攻击很难被防火墙发现。针对这些问题,我们在防火墙的设计过程中采用不同的方案,增加保密和认证机制,从而达到不同程度的安全性。
一方案:过滤分组路由器。这种防火墙系统主要是增加一个分组过滤路由器在因特网和内部子网之间,允许通过或截止通过等的判断是由这个路由器来决定的。这种方案的优点是对客户端透明并且成本低,但它的安全性能较低,因为任何子网主机都可以进行外部数据交换,穿透路由器后就可以攻击主机。
改进这种方案的方案可以以增加过滤规则检测有无ESP数据报头或AH在过滤原则中,这样就可以在IPv6使用时完成简单的认证,但是无法认证分组数据。如果对AH数据报头进行校验则需要有适宜的密钥,解决方法一是由主机发送密钥;二是使用公钥密码。
二方案:屏蔽网关。这种防火墙系统是配置一个基站主机和过滤路由器在因特网和子网之间,在内部子网设置基站主机,在网络和基站主机之间设置过滤路由器。过滤原则必须只有基站主机可以接通外部主机,阻塞全部的外部流量。这种方案的安全性较高,可在应用层和网络层之间进行双重过滤。
三方案:子网屏蔽。这种防火墙系统使用一个基站主机和两个路由器,在因特网和内部子网之间形成一个独立的子网,也就是屏蔽子网。外部路由器在屏蔽子网和因特网之间可以达到不同程度的过滤。屏蔽子网允许基站主机只能接内部子网和因特网,阻塞所有企图绕过屏蔽子网的流量[2]。
方案三相比于方案二来说就有更高级别的安全性,因为接受基站分组的内部路由器可以形成第二道防线。内部路由器需要根据安全级别和源地址对基站流量进行过虑,并且加密分组。通过因特网来自子网的流量经内部路由器处理时,需要解密分组,基站主机加密封装并且转发流量。这些方案的实现都需要一套特有的密钥分配协议。
三、小结
本文系统介绍了基于IPv6的防火墙设计与究。根据协议内容对传统的防火墙进行了完善和改进,完善之后的防火墙系统不仅具有传统防火墙的应用代理以及分组过滤等功能,还增加了IP数据报认证源地址,数据加解密以及分组检验完整性等功能。各个防火墙设计方案的实现还需要进一步的改进和完善。
参考文献
[1]周增国,李忠明. Linux平台下Netfilter/IPtables包过滤防火墙的研究与应用[J].网络安全技术与应用,2008(1):49-50.
[2] Hunt C. TCP/IP Network Administration. 2nd Editor. Cana-da: O’ Reilly&Associates, 1997
【关键词】IPv6防火墙设计研究
近年来,因特网的发展迅猛,因特网的主机数量也以每天数以万计甚至更多的速度在增长,网络规模迅速增大,很多供应商开拓了例如电子商务等的商业项目,此外,因特网也逐渐深入到政府和军事领域。但是与此同时出现的安全问题也不容忽视,攻击、入侵因特网的状况经常发生,主要包括以下两种形式[1]:(1)利用系统或者是配置管理上的漏洞,以及操作者的误操作或者是低劣的编辑软件等漏洞攻击或入侵网络系统。(2)再就是利用网络协议的漏洞攻击网络的这种较为复杂的攻击形式,主要原因是传统的IP协议没有数据加解密、数据认证、身份认证等功能。目前,防火墙可以很好的抵御第一种攻击,但是很难对抗协议内在漏洞的攻击形式。IPv6这种新版IP协议的安全机制主要有认证和加密两部分内容,它可以认证和加密网络层的全部分组。
一、IPv6体系
IPv6的安全机制中的保密和认证主要是通过ESP保密净荷封装以及AH认证头来完成的。
ESP保密净荷封装的工作模式主要有以下两种:(1)ESP传输模式。ESP传输模式中ESP需要加密传输层的如ICMP、UDP、TCP等数据段,在数据段和IP头之间加入ESP数据头,分组格式为:IP头→其他IP头→ESP数据头→目的端可选数据报头→数据段→ESP相关信息。(2)ESP隧道模式。ESP隧道模式中,需要加密整个的IP分组,在原分组之前增加ESP数据报头,重构路由信息充足的新的IP头,分组格式为:新IP头→新扩展数据报头→ESP数据报头→IP头+上层数据段+ESP相关信息。ESP隧道模式主要针对有保密网关或者是防火墙的场合。
二、防火墙设计
传统的防火墙采用分组过滤的形式,面对IPv6主要有以下几个问题:(1)防火墙需要过滤IP端口号以及使用的协议,经过ESP加密就无法获得这些信息,从而使防火墙性能降低。(2)ESP隧道模式需要加密全部分组,非法主机可以趁机连接网络内部主机,而且这种攻击很难被防火墙发现。针对这些问题,我们在防火墙的设计过程中采用不同的方案,增加保密和认证机制,从而达到不同程度的安全性。
一方案:过滤分组路由器。这种防火墙系统主要是增加一个分组过滤路由器在因特网和内部子网之间,允许通过或截止通过等的判断是由这个路由器来决定的。这种方案的优点是对客户端透明并且成本低,但它的安全性能较低,因为任何子网主机都可以进行外部数据交换,穿透路由器后就可以攻击主机。
改进这种方案的方案可以以增加过滤规则检测有无ESP数据报头或AH在过滤原则中,这样就可以在IPv6使用时完成简单的认证,但是无法认证分组数据。如果对AH数据报头进行校验则需要有适宜的密钥,解决方法一是由主机发送密钥;二是使用公钥密码。
二方案:屏蔽网关。这种防火墙系统是配置一个基站主机和过滤路由器在因特网和子网之间,在内部子网设置基站主机,在网络和基站主机之间设置过滤路由器。过滤原则必须只有基站主机可以接通外部主机,阻塞全部的外部流量。这种方案的安全性较高,可在应用层和网络层之间进行双重过滤。
三方案:子网屏蔽。这种防火墙系统使用一个基站主机和两个路由器,在因特网和内部子网之间形成一个独立的子网,也就是屏蔽子网。外部路由器在屏蔽子网和因特网之间可以达到不同程度的过滤。屏蔽子网允许基站主机只能接内部子网和因特网,阻塞所有企图绕过屏蔽子网的流量[2]。
方案三相比于方案二来说就有更高级别的安全性,因为接受基站分组的内部路由器可以形成第二道防线。内部路由器需要根据安全级别和源地址对基站流量进行过虑,并且加密分组。通过因特网来自子网的流量经内部路由器处理时,需要解密分组,基站主机加密封装并且转发流量。这些方案的实现都需要一套特有的密钥分配协议。
三、小结
本文系统介绍了基于IPv6的防火墙设计与究。根据协议内容对传统的防火墙进行了完善和改进,完善之后的防火墙系统不仅具有传统防火墙的应用代理以及分组过滤等功能,还增加了IP数据报认证源地址,数据加解密以及分组检验完整性等功能。各个防火墙设计方案的实现还需要进一步的改进和完善。
参考文献
[1]周增国,李忠明. Linux平台下Netfilter/IPtables包过滤防火墙的研究与应用[J].网络安全技术与应用,2008(1):49-50.
[2] Hunt C. TCP/IP Network Administration. 2nd Editor. Cana-da: O’ Reilly&Associates, 1997