（通信与信息系统专业论文）移动ipv6的防火墙穿越技术研究.pdf

北京交通大学硕士学位论文 移动l p v 6 的防火墙穿越研究a b s t r a c ta sa tedmologyo fs o l 啊n gt h en o d e m o b i l i t yi n thei n t e m c t ，t h ec o n c e p to f m o b i l e 口e n g a g e sl o t s o fa t t e n t i o n s i n c ej tw a s pmposed11lep r o t o c o lo fm o b i l e v 6 standardwas p u b l i s h e d i n 2004however，therea r e s t i l lm a l l ys e c u r i t yp r o b l 咖si nm o b i l ei p v 6a t present，one0 fw h i c hj s f i r e w a l lt m v e r s a l - t 1 l e p a c k e t 6 l t e r i n g f i _ r e w a l l s filter p a c k e t sb a s c d o ni p a d 由e s s ，t c p 椰d pp 眦tn u m b e ra i i d protocol，sot h e c o m m 佃i c a t i 咖m u s t b ei m e m l p t e d w h c n am o b i l en o d ec h a l l g e si t s c a r e - o f a d d r e s si nt h en e 锕o r kp m t e c t e db yf i r e w a l l s i n c et h e s es e c i l r i t y devicesw m i n t e r f b r ei nt h es m o o t l i o p e r a t i o no ft h ep m t o c o la i i dc a nb ea dctrimentt od e p l o y m e n t ，t h er e s e a r c ho nf i r c w a l l t r a v e r s a li nm 0 b i l ei p 、，6 is s i 鲈i f i c a l l t f d rb o t h t h e o f ya i i du t i l i z a t j o n t h ew o r ko ft l l i st h e s i si sap a n o f r c s e 删io n m u l t i c a s t ，s e c i l r i t y 柚dv p ni nm o b i l e 6 ”，w h i c hj ss u p p o n e d b y huaweit c c l l n o l o 舀e sc o ，l 1 d 1 1 l i st h e s i sm a i n l yr e s e a r c h 叫i s s u e sw i t l l firewall a i l dm o b j l e i p 、，6 f i r s t l y ，t h ei s s u e s w 油s e c i i r i t yj l l m o b i l e lpv6卸d i t sa c t u a l i t y a r es u m m a r i z e d s e c o n d l y ，t h e e n t i t i e s ，c o m m u n i c a t i o nm o d e s 卸d b i n d i n gu p d a t ep i o c e s si nm o b i l e 】p v 6aies t u d i e d based o nt h er e v i e wo fb a s i c p r o t o c 0 1 n i r d l y ，a f t e rd e s c r i b j n gt h ef i r c w a n technology，thep f o b l e m t h a tc o u l da p p c a ri nt h e 6 r c w a l l e 铆o d 【sw h e n mobile l p v 6d c p l o y e di sa i l a l y z e di n d e t a i l f o u n h l y ，as c h e m et h a t i n d u d e s h o m e a d d r e s sm a t c h i n 岛d y n 锄j cf i i e w a ud e t e d i n g 觚dd y n a m j cf i r e w a l lc o 曲g i l r i n 舀i sp r 叩o s e dt o s o l v et h ei s s u e sw i t h 矗r e w a l l sa i l dm o b i l ei p v 6 a tl a s t ，t h ep e 抽l a n c eo f 北京交通大学硕士学位论文移动l p v 6 的防火墙穿越研究 第一章绪论 本章简要介绍了本文的选题背景和意义，以及移动i p v 6 技术及其 国内外研究现状，最后指出了本论文所做的主要工作。 1 1 选题背景与意义 目前，随着硬件技术水平的不断提高，笔记本电脑、被称为掌上电 脑的个人数字助理( p d a ) 以及移动电话等移动终端设备的使用越来越 普及；另外，由于互联网【1 l 的飞速发展，网络不仅要为用户继续提供已 有的数据业务、多媒体音视频业务等，还要为使用移动终端设备的移动 用户提供无线互联网接入业务。为了实现移动节点在互联网协议( i p ) 网络中的可移动性，移动i p v 6 协议1 2 j 应运而生。 移动i p v 6 协议可以使移动节点在移动时仍然保持可达的状态。在 移动i p v 6 协议中，无论移动节点是否连接在家乡链路上，其家乡地址 总是可以设定的。家乡地址是指定给节点的家乡子网前缀范围内的口v 6 地址。 当移动节点处于家乡网络时，发送给家乡地址的报文会路由到家乡 链路，并使用传统路由机制路由到所述的家乡地址。 当移动节点连接在外地链路时，其转交地址是可设定的。转交地址 是与节点的特定外地链路前缀有关的l p 地址。移动节点可以使用有状 态或无状态地址自动配置协议获得转交地址。只要节点还在此位置，指 向转交地址的数据包就能够路由到节点。在移动i p v 6 网络中，家乡地 址与转交地址之间的关系被称为“绑定”。 北京交通大学硕士学位论文移动6 的防火墙穿越研究 与移动节点通信的节点称为“通信节点”，移动节点与通信节点之 间有两种通信模式：双向隧道和路由最佳化。 第一种模式是双向隧道，该模式不需要通信节点支持移动i p v 6 ，在 这种模式中，家乡代理在家乡链路上使用代理邻居发现协议截取指向移 动节点家乡地址的数据包。被截取的数据包通过隧道发送到移动节点当 前的转交地址。该隧道采用i p v 6 【3 j 封装。 第二种模式是路由最佳化，需要移动节点向通信节点绑定当前的转 交地址。从通信节点发出的数据包可以直接路由到移动节点的转交地 址。当发送到任意i p v 6 地址的数据包时，通信节点根据缓存的绑定条 目将数据包路由到绑定条目指定的转交地址。 移动肌6 通过这种家乡地址和转交地址的绑定关系，并结合双向 隧道和路由最佳化两种通信模式，实现了移动节点在全网络上的移动 性。 作为一种重要的网络安全【4 1 设备，防火墙【5 1 被各种网络所广泛采用， 如校园网、企业网及骨干网i q 等。通常情况下，防火墙被配置在两个或 多个网络之间，主要用于对进出网络的数据流实施访问控制。防火墙根 据所使用的技术、组成结构及部署位置的不同可以分成很多不同的种 类，其中使用最多的就是包过滤型防火墙。 包过滤型防火墙工作在开放系统互联( 0 s i ，o p e ns y s t e m i n t e r 衄o c t i 衄) 网络模型1 7 】的网络层和传输层。当网络内部主机与外部 主机建立通信连接时，包过滤型防火墙根据t c p 连接中的s y n 包提取 五元素建立过 滤表项。防火墙会拦截所有进入与外出的数据流，提取数据流中地址和 端口号等相关信息与过滤表项比较，只有符合过滤表项的数据包才能被 转发，而不符合的数据包则被认为是属于非法连接，从数据流中丢弃。 2 北京交通大学硕士学位论文 移动i v 6 的舫火墙穿越研究 年8 月开始移动肌6 与防火墙的兼容性方面的研究，工作组草案 m o b j l e 6a t l df i r e w a l l sp r o b l e ms t a t e m e n t 已经更新到0 4 版，即将 成为，r f 标准。来自西门子的s t h i n l v e n g a d a m 、h t s c h o f e n i g 和诺基 亚的f k 合作提出了基于n s l s 的防火墙穿越方案，个人草案m o b i l e l p v 6 n s i sh t e r a c t i o nf o rf i r e w a l lt r a v e r s a l 【1 9 l 于2 0 0 4 年7 月发布，目 前已更新到0 2 版。新加坡通信与信息研究学院( h l s t i t u t ef o ri n f o c o m m r e s e a r c h ) 的f e n gb a 0 等人则提出了移动个人防火墙的概念，个人草 案a s c h e m eo f m o b i l ef i r e w a l l i n m o b i l e i p v 6 i 冽于2 0 0 5 年2 月发布， 目前已更新到0 1 版。但是这些方案都没得到广泛的认可，因此防火墙 问题还处于讨论阶段，对移动i p v 6 的防火墙穿越方面的研究将有助于 在该领域取得先导地位。 1 3 本文的主要工作 本论文所做的主要工作可归纳为以下几个方面： 1 ) 综述了移动l p v 6 的防火墙穿越研究的意义和背景，移动i p v 6 的国 内外研究现状，以及本文的主要工作 2 ) 介绍移动6 的基础知识，如移动i p v 6 中的功能实体、通信模式 和绑定更新过程等： 3 ) 介绍防火墙技术的概念和分类情况，着重分析了移动i p v 6 协议在防 火墙网络中实施时所能遇到的各种问题； 4 ) 详细描述了移动i p v 6 的防火墙穿越方案，包括增加的报文类型、家 乡地址匹配、防火墙动态检测和防火墙动态配置等方面； 5 ) 对移动6 的防火墙穿越方案进行理论上的分析，分别阐述了该方 案对移动口v 6 技术和防火墙技术可能产生的影响，并对该方案的安 5 北京交通大学硕士学位论文 移动i p v 6 的防火墙穿越研究 全性能进行了分析； 6 ) 总结全文，并对移动口v 6 技术的研究前景进行展望。 6 北京交通人学硕士学位论文 移动v 6 的防火墙穿越研究 第二章移动i p v 6 技术基础 本章介绍了移动i p v 6 技术的基础知识，如移动i p v 6 中的功能实体， 通信模式以及绑定更新过程等，并重点分析了绑定更新过程的特点。 2 1 移动ip v 6 中的功能实体 移动i p 、，6 中主要有三种功能实体，移动节点、家乡代理和通信节 点。通过这三种功能实体可以建立移动、r 6 中的所有通信模型。任何 使用移动i p v 6 的节点都可以划分为这三种功能实体中的一种，但这种 划分并不是绝对的，一个节点可以同时成为移动节点或通信节点，甚至 一个家乡代理也有可能成为通信节点，划分的依据主要是看在某一次通 信中节点所处的地位及所扮演的角色。 2 1 1 移动节点 移动节点可以改变其所附属的链路，但在改变链路的同时仍然能够 通过一个固定的全球唯一的地址保持可达的状态。这个固定的地址就是 移动节点的家乡地址，是由家乡代理分配的单播可路由地址，作为移动 节点的永久地址。 移动节点首先向家乡链路请求一个家乡代理，并由该家乡代理分配 家乡地址。当移动节点在家乡链路时，发送给家乡地址的数据包通过传 统路由机制路由到家乡网络，直接到达移动节点。当移动节点移动到外 地网络后，可以通过有状态或无状态地址自动配置协测2 1 】【捌获得一个 与特定外地链路前缀有关的i p v 6 地址转交地址。移动节点向家乡 7 北京交通大学硕士学位论文 移动、，6 的防火墙穿越研究 代理注册这个转交地址。注册完成以后，其它节点仍然使用家乡地址与 这个移动节点通信。所有发送到移动节点的数据包都先发往家乡网络， 由家乡代理截获后，通过隧道转发给移动节点。这样，无论移动节点是 在家乡网络还是在外地网络，都可以通过家乡地址与之通信。 每一个移动节点都必须维护一个绑定更新列表。 绑定更新列表记录移动节点发出的每一个绑定更新的相关信息，必 须是没有过期的绑定更新。绑定更新列表包括所有移动节点与家乡代理 或通信节点的绑定。它也包括正在等候发送的绑定更新，主要是因为返 回可路由程序还没有完成。但是，对于送到同一目的地址的绑定更新， 绑定更新列表只是包含送往那个地址的最新的绑定更新( 即有最大序列 号的更新) 。 的上层协议通常认为移动节点的家乡地址是大多数数据包的i p 地址。对于属于传输层连接的数据包发送，当移动节点在家乡网络时， 移动节点必须使用家乡地址；同理，当移动节点移动到新的位置时，也 应该使用它的家乡地址。如果绑定存在，移动节点应该直接向通信节点 发送数据包。要是没有绑定存在，移动节点必须使用双向隧道。 移动节点可以直接使用它的一个转交地址作为数据包的源地址，数 据包中并不要求使用家乡地址选项。这对于容易重新连接的短程通信是 特别有用的。对于这样的通信使用转交地址作为源地址比使用家乡地址 的负荷小，因为在通信的请求和响应中没有额外的选项。这样的数据包 能够在源和目的节点之间正常路由，不依靠移动6 。但是，如果移动 节点上的应用程序并不能够识别接下来的通信是属于这种类型的，移动 节点就不要使用转交地址作为源地址。 在家乡网络内，对于移动节点发出的数据包，并没有特别的移动 i p v 6 操作要求。同理，当离开家乡网络时，如果移动节点使用任何不同 i r 北京交通人学硕士学位论文 移动i p v 6 的防火墙穿越研究 理这些数据包时意识不到这些数据包是来自转交地址的，也就是说高层 协议感觉不到家乡地址选项的存在。并不需要对家乡地址选项使用 i p s e c a h ，除非数据包的i p v 6 头部被l p s c c 覆盖了，那么认证部分也必 然覆盖家乡地址选项。这种覆盖是由定义家乡地址选项的选项类型码自 动实现的，因为这就意味着在数据包到达目的地的路由过程中，选项中 的内容不能改变，因此选项被包含在了a h 的计算中。 2 1 3 家乡代理 家乡代理是移动节点家乡链路上一个特定的路由器，它必须支持移 动i p v 6 协议，移动节点需要向其注册当前的转交地址。家乡代理需要 维护移动节点的位置信息，完成移动节点管理，分配家乡地址等任务。 此外，当移动节点远离家乡网络时，家乡代理在家乡网络上截获发往移 动节点家乡地址的数据包，经过封装，以隧道模式发送到移动节点已经 注册的转交地址。 家乡代理必须维持一个绑定缓存和一个家乡代理列表。 家乡代理维护绑定缓存的方式与通信节点相同。 每个家乡代理都维护有一个家乡代理列表，用于存储同一链路上的 其他家乡代理的信息。该列表用于动态家乡代理地址发现机制。一个路 由器如执行家乡代理的功能，会将发送的路由通告【2 3 l 中的ht e 特位设 为1 ，以供其他的家乡代理识别。当家乡代理列表中条目的生存期结束， 该条目将被删除。 当一个节点作为一个移动节点的家乡代理时，必须尝试在家乡链路 上捕获发往移动节点的数据包。 为此，当一个节点开始执行家乡代理的功能时，必须在家乡链路上 1 0 北京交通大学硕士学位论文移动口v 6 的防火墙穿越研究 广播邻居通告消息。根据绑定更新中的家乡地址，家乡代理必须在家乡 链路上广播邻居通告，通告家乡代理的链路层地址，因为这个i p 地址 代表着移动节点。 链路上的任何节点收到邻居通告后，都要更新它的邻居缓存条目， 将移动节点的家乡地址和家乡代理的链路层地址联系起来使以后发往 移动节点的数据包都被转送到家乡代理。 既然本地链路上的广播不能保证其可靠性，家乡代理可以按照最大 邻居通告次数重复发送邻居通告消息以增加其可靠性。当然也可能发生 这种情况，家乡链路上的某些节点没接到任何邻居通告，当然这些节点 最终也能通过邻居不可到达检测发现移动节点链路层地址的改变。 家乡代理是用1 p v 6 邻居发现来捕获家乡链路上发往移动节点的单 播地址包。为了捕获数据包，家乡代理必须作为移动节点的代理，并且 必须对所收到的任何邻居请求进行回复。家乡代理接收到一个邻居请 求，它必须检查其目的地址是否与绑定缓存条目中标注了家乡注册的任 何移动节点的地址相匹配。 如果绑定缓存中存在这样的条目，家乡代理必须用邻居通告回复该 邻居请求，将家乡代理的链路层地址作为目的地址发给请求方。另外， 通告中的r 比特必须设为o 。这样的代理方式允许家乡链路上的其他节 点可以解析移动节点的地址，同时可以使家乡代理在重复地址检测中保 证这些地址不被重复使用。 在家乡代理给移动节点发送数据包( 注意，不是家乡代理转发) 时， 家乡代理执行与通信节点相同的步骤。家乡代理按照绑定缓存中的主转 交地址，用类型2 路由头将其发送到移动节点。 当移动节点离开家乡网络时，家乡代理捕获家乡链路上发往移动节 点的数据包。为了转发捕获的数据包，家乡代理必须将数据包用i p v 6 北京交通大学硕士学位论文移动v 6 的防火墙穿越研究 封装，以隧道方式发给移动节点。当家乡代理封装一个捕获的数据包时， 会将新i p 隧道头中的源地址设为通信节点的i p 地址，而目的地址设为 移动节点的主转交地址。移动节点接到数据包后，所要做的就是解封装 和处理数据包了。 2 2 移动i p v 6 中的通信模式 移动节点与通信节点之间有两种通信模式。 第一种模式是双向隧道，这种模式不需要通信节点支持移动6 ， 而且，即使移动节点没有在通信节点注册当前的绑定，这种模式仍然可 阱使用。从通信节点发出的数据包会路由到家乡代理，再通过隧道发往 移动节点。从移动节点发出的数据包先通过隧道发往家乡代理，再以正 常的方式路由到通信节点。在这种模式中，家乡代理在家乡链路上使用 代理邻居发现协议截取指向移动节点家乡地址的数据包。被截取的数据 包通过隧道发送到移动节点当前的转交地址。该隧道采用l p v 6 封装。 第二种模式是路由最佳化，需要移动节点向通信节点绑定当前的转 交地址。从通信节点发出的数据包可以直接路由到移动节点的转交地 址。当发送到任意i p v 6 地址的数据包时，通信节点都会检查缓存的绑 定条目。若找到匹配的条目，节点就使用新的狂v 6 路由头，将数据包 路由到绑定条目指定的转交地址。 将数据包直接发送到直接发送到移动节点的转交地址可以得到最 短的通信路径。同时也避免了家乡链路与家乡代理的阻塞。此外，还能 减轻家乡代理和相关链路的故障所引起的影响。 当直接向移动节点发送数据包时，通信节点将目的地址设为移动节 点的转交地址。同时在i p 、，6 的扩展头中加入新型的路由头( 类型2 路 北京交通大学硕士学位论文移动i p v 6 的防火墙穿越研究 由头) ，包含所要求的家乡地址。类似的，移动节点将数据包的源地址 设为当前的转交地址，在i p h v 6 的扩展头中加入新的目的头，包含要求 的家乡地址。在数据包中包含家乡地址，使得转交地址的使用对于i p 层以上的协议来说是透明的。 2 3 绑定更新 家乡地址与转交地址之间的关联关系被称为“绑定”。当在外地链 路时，移动节点在获得转交地址后，要向家乡代理注册当前的转交地址。 移动节点通过向家乡代理发送“绑定更新”报文来执行绑定注册。家乡 代理响应一个“绑定确认”报文。由于移动节点与家乡代理之间的通信 是受l p s e c 保护的，因此绑定更新过程是安全可靠的。 在移动节点与通信节点之间也要进行绑定更新，但在绑定更新之前 先要执行一个返回可路由程序，该程序主要是为了验证移动节点所宣称 的家乡地址和转交地址是可达的，并且确实是属于该移动节点的。只有 通过验证的绑定更新才是合法的。 返回可路由程序的报文交换流程如图2 一l 所示： 移动节点 家乡代理通信节点 家乡测试初始 转交测 试初始 。 1 家乡测试 转交测试 北京交通大学硕士孕位诒耍移动l ；l “州耕n 舒鄹掘莉韶 翥祟甜美；蠢楚魏翼m 垒薹冀蒂霪| 囊篓鹱牵蛾引慰餮鞠嚣訾= 斧譬厢 词鬻勘蚓出i l l 。亲i j 明噩韧蚍盼i 舅掣鐾格e 望罴ib 酮鞒刘 刘幅利翼蘸齑将斡嚣矗妊垌j x 北京交通大学硕士学位论文 移动6 的防火墙穿越研究 第三章防火墙对移动i p v 6 的影响 本章首先概述了防火墙的基本技术及分类，然后详细分析了移动 i p v 6 在有防火墙网络中实施时可能遇到的各种困难，并对问题进行了 分类。本章的分析对最终方案具有指导性意义。 3 1 防火墙技术基础 作为一种重要的网络安全设备，防火墙被各种网络所广泛采用，如 校园网、企业网及骨干网等。通常情况下，防火墙被配置在两个或多个 网络之间，主要用于对进出网络的数据流实旌访问控制。防火墙一般应 具有以下三个方面的基本特性：内部网络和外部网络之间的所有网络数 据流都必须经过防火墙；只有符合安全策略的数据流才能通过防火墙： 防火墙自身应具有非常强的抗攻击免疫力。 防火墙种类繁多，根据防火墙所使用的技术、组成结构及部署位置 的不同，防火墙可以分为包过滤型防火墙、应用代理型防火墙、路由器 集成式防火墙、单主机式防火墙、分布式防火墙、边界式防火墙和个人 式防火墙等。 1 ) 单主机式防火墙 最传统的防火墙都是单主机式的，结构与一台计算机相似，也是由 主板、内存、硬盘等部件组成。不同的是，防火墙具有两个以上的网卡， 因为它要连接至少一个内部网络和外部网络。这种防火墙通常都配置于 网络边界处，主要用于执行包过滤和代理服务器等功能，因此具有很高 的稳定性和系统吞吐量。 2 ) 集成式防火墙 北京交通大学硕士学位论文移动v 6 的防火墙穿越研究 单主机式防火墙虽然具有很强的功能和实用性，但由于其昂贵的价 格，只有少数的大型企业才有能力配置。随着应用需求的提高和技术的 不断发展，人们提出了路由器集成式防火墙，将防火墙软件和硬件集成 在中、高档路由器上，这样，企业就同时购买了路由器和防护墙，大大 降低了网络设备的购买成本。但这种集成式防火墙通常只具有包过滤功 能，在功能上要弱于传统的单主机式防火墙。 3 ) 边界式防火墙 边界式防火墙通常位于网络边界处，隔离内部网络和外部网络，保 护内部网络的安全，或对内部网络的流出数据实施监控。上面提到的单 主机式和路由器集成式防火墙都属于边界式防火墙。 4 ) 分布式防火墙 分布式防火墙安装在网络内部的每个主机上，不再只限于网络边界 处。在网络中，会有一台服务器运行防火墙管理系统，对整个分布式系 统实施控制和管理。在传统的边界式防火墙模式中，网络内部的各个主 机都是彼此“信任的”，对于内部通信没有任何控制措施；而在分布式 防火墙模式中，网络内部的各个主机默认都是“不信任的”，对于内部 通信也要进行严格的过滤。因此，分布式防火墙减少来自网络内部的攻 击，比传统的边界式防火墙具有更高的安全等级。 由于分布式防火墙采用了软件形式或采用了软件+ 硬件的形式，所 以功能配置可以更加灵活，具备更充分的智能管理能力，因此，分布式 防火墙的主要功能可以体现在以下几个方面： i n t e r n e t 访问控制：依据设备标识、工作站名称等属性，通过 ”i n t e r n e t 访问规则”，控制该工作站或工作站组在指定的时间段内 是否允许禁止访问模板或网址列表中所规定的i n t e r n e tw e b 服务 器，某个用户可否基于某工作站访问w w w 服务器，同时当某个工作 北京变通大学硕士学位论文移动口6 的防火墙穿越研究 站用户达到规定流量后确定是否断网。 应用程序访问控制：通过对网络通讯从链路层、网络层、传输层、 应用层基于源地址、目标地址、端口、协议的逐层包过滤与入侵监 测，控制来自局域网i n t e r n e t 的应用服务请求，如s q l 数据库访 问、i p x 协议访问等。 网络状态监控：实时动态报告当前网络中所有的用户登陆、 i n t e r n e t 访问、内网访问、网络入侵事件等信息。 黑客攻击的防御：抵御包括s 叫r f 拒绝服务攻击、a r p 欺骗式攻击、 p i n g 攻击、t r o j a n 木马攻击等在内的近百种来自网络内部以及来 自i n t e r n e t 的黑客攻击手段。 日志管理：对工作站协议规则日志、用户登陆事件日志、用户 i n t e r n e t 访问日志、指纹验证规则日志、入侵检测规则日志的记录 与查询分析。 系统工具：包括系统层参数的设定、规则等配置信息的备份与恢复、 流量统计、模板设置、工作站管理等。 5 ) 个人防火墙 个人防火墙一般安装于单个主机上，功能也只限于保护宿主主机， 主要是面向广大普通计算机用户，通常是软件式防护墙，价格便宜但性 能较差。 6 ) 包过滤型防火墙 包过滤又称“报文过滤”，它是防火墙的最传统、最基本的过滤技 术。防火墙的产生也是从这一技术开始的，最早是于1 9 8 9 所提出的。 防火墙的包过滤技术就是对通信过程中数据进行过滤( 又称筛选) ，使符 合事先规定的安全规则( 或称“安全策略) 的数据包通过，而使那些不符 合安全规则的数据包丢弃。这个安全规则就是防火墙技术的根本，它是 北京交通大学硕士学位论文 移动l v 6 的防火墙穿越研究 通过对各种网络应用、通信类型和端口的使用来规定的。 包过滤型防火墙工作在开放系统互联( o s i ，0 p e ns y s t e m i n t e r c o n n e c t i o n ) 网络模型的网络层和传输层。当网络内部主机与外 部主机建立通信连接时，包过滤型防火墙根据t c p 连接中的s y n 包提取 五元素建立过 滤表项。防火墙会拦截所有进入与外出的数据流，提取数据流中地址和 端口号等相关信息与过滤表项比较，只有符合过滤表项的数据包才能被 转发，而不符合的数据包则被认为是属于非法连接，从数据流中丢弃。 在整个防火墙技术的发展历程中，包过滤技术出现了两种不同版 本，称为“第一代静态包过滤”和“第二代动态包过滤”。 第一代静态包过滤类型防火墙 这类防火墙几乎是与路由器同时产生的，它是根据定义好的过滤规 则审查每个数据包，以便确定其是否与某一条包过滤规则匹配。过滤规 则基于数据包的报头信息进行制订。报头信息中包括i p 源地址、i p 目 标地址、传输协议( t c p 、u d p 、i c m p 等等) 、t c p u d p 目标端口、i c m p 消息类型等。 第二代动态包过滤类型防火墙 这类防火墙采用动态设置包过滤规则的方法，避免了静态包过滤所 具有的问题。这种技术后来发展成为包状态监测( s t a t e f u li n s p e c t i o n ) 技术。采用这种技术的防火墙对通过其建立的每一个连接都进行跟踪， 并且根据需要可动态地在过滤规则中增加或更新条目。 包过滤方式的优点是不用改动客户机和主机上的应用程序，因为它 工作在网络层和传输层，与应用层无关。但其弱点也是明显的：过滤判 别的依据只是网络层和传输层的有限信息，因而各种安全要求不可能充 分满足；在许多过滤器中，过滤规则的数目是有限制的，且随着规则数 北京交通大学硕上学位论文 移动l p v 6 的防火墙穿越研究 移动节点处于被防火墙保护的网络中 通信节点处于被防火墙保护的网络中 家乡代理处于被防火墙保护的网络中 移动节点移动到防火墙保护的网络中 3 2 1 移动节点处于防火墙网络中 图3 1 移动节点被防火墙保护 1 ) 问题1 1 ： 当移动节点a 连接到网络时，它应该得到一个本地i p 地址( 转交地 址) ，并且向家乡代理发送绑定更新报文以更新自己当前的连接点。根据 移动i p v 6 规范，绑定更新和绑定确认报文都是由i p s e ce s p 保护的。 然而，让防火墙通过观察外出的e s p 数据包来建立有用的状态信 息是很困难的，甚至是不可能的。因此，由于防火墙不能确定进入的e s p 数据包是否是合法的，所以很多防火墙默认的都是阻塞i p s e ce s p 数据 包的【2 6 l 。这就使得移动节点和家乡代理之间的绑定更新绑定确认报文 被丢弃。 北京交通大学硕士学位论文 移动6 的防火墙穿越研究 2 ) 问题卜2 ： 当外部网络的通信节点b 要与移动节点a 建立连接时，通信节点b 向移动节点a 的家乡地址发送报文。报文被移动节点a 的家乡代理截获， 并通过隧道转发到移动节点a 的转交地址。 但是当报文到达保护移动节点a 的防火墙时，却可能被丢弃掉。因 为进入的报文不匹配任何现存的状态信息。如前所诉，状态检测包过滤 防火墙通常拒绝未经请求的进入通信。 因此通信节点b 不能与移动节点a 建立通信。也就是说，即使家乡 代理已经被更新了移动节点的位置，通信节点与移动节点也有可能因为 防火墙的存在而不能建立连接。 3 ) 问题卜3 ： 假设移动节点a 与外部通信节点b 正在通信。移动节点a 可以选择 使用路由最佳化，这样数据包就可以在移动节点和通信节点之间直接传 送而不用经过家乡代理。但是保护移动节点的防火墙可能会影响路由最 佳化之前的返回路由程序。 根据移动i p v 6 规范，家乡测试报文必须由i p s e c 隧道模式保护。 但是，防火墙可能丢弃所有e s p 保护的数据包，因为防火墙无法分析由 e s p 加密的报文( 比如端口号) 。因此防火墙可能丢弃家乡测试报文阻 止返回路由程序的完成。 4 ) 问题1 - 4 ： 假设移动节点a 已经成功地向家乡代理( 或通信节点) 发送了绑定 更新报文，接下来的通信由家乡代理( 或通信节点) 发送到移动节点的 转交地址。但是由于防火墙上没有相应的状态信息，因此保护移动节点 a 的防火墙可能会丢弃这些进入的报文。 北京交通大学硕士学位论文移动，v 6 的防火墙穿越研究 5 ) 问题卜5 ： 当移动节点a 移动时，它可能会移动到一个由其他防火墙保护的 网络中。移动节点a 要向通信节点发送绑定更新报文，但是进入的报文 可能被防火墙丢弃，因为新链路上的防火墙没有关于移动节点a 的状态 信息。 在以上讨论的问题中，移动节点都是在防火墙后的。因此，移动节 点与其他节点的通信都要受到防火墙规则的影响。 3 2 2 通信节点处于防火墙网络中 图3 2 通信节点被防火墙保护 1 ) 问题2 1 ： 为了利用移动i p v 6 协议，移动节点b 与通信节点c 建立通信时使 用家乡地址b ，因此防火墙上的状态是基于通信节点i p 地址c 与家乡 地址b 建立的。状态信息可以是通过不同的方法建立的，并且协议类型 和端口号都是由具体的连接决定的。 上行链路包过滤器( 1 ) 北京交通大学硕士学位论文 移动l p v 6 的防火墙穿越研究 源i p 地址：通信节点c 目的i p 地址：家乡地址b 协议类型：t c p u d p 源端口号：# 1 目的端口号：# 2 下行链路包过滤器( 2 ) 源i p 地址：家乡地址b 目的i p 地址：通信节点c 协议类型：t c p u d p 源端口号：# 2 目的端口号：# 1 在拓扑上，通信节点c 和移动节点b 可能离的很近而移动节点b 的 家乡代理可能离的很远，这可能形成喇叭效应而造成网络延迟和性能的 降低。移动节点b 可以使用路由最佳化模式与通信节点c 通信。路由最 佳化要求移动节点b 向通信节点c 发送绑定更新报文，在通信节点c 的 绑定缓存中建立一个移动节点的家乡地址与当前转交地址的映射。 然而，在绑定更新之前，移动节点必须先执行返回路由程序。移动 节点b 向通信节点c 发送一个经过家乡代理的家乡测试初始报文和直接 到达通信节点c 的转交测试初始报文。转交测试初始用移动节点b 的转 交地址作为源地址。这样的报文并不符合防火墙上的任何条目。因此转 交测试初始报文会被防火墙丢弃。家乡测试初始是移动头报文，协议类 型不符合任何现存的条目，因此报文也会被防火墙丢弃。 因此，返回路由程序不能完成，路由最佳化不能实现。所有的报文 都要经过移动节点b 的家乡代理及家乡代理和移动节点之间的隧道。 北京交通大学硕士学位论文 移动v 6 的防火墙穿越研究 2 ) 问题2 2 ： 假设到通信节点的绑定更新成功，接下来的报文仍然可能被防火墙 丢弃。 1 发自转交地址的报文。因为这些进入报文发自转交地址，不匹配 下行包过滤器。 2 由通信节点到转交地址的报文。如果执行了上行包过滤，上行数 据包发到移动节点的转交地址，不匹配上行包过滤器。 因此，需要在防火墙上为发送到自转交地址的通信建立过滤器条 耳。根据来自外部节点的绑定更新报文似乎是不可行的，因为现在的防 火墙没有任何方法验证绑定更新报文的合法性，因此就不能安全的修改 状态信息。不验证绑定更新报文的合法性就改变防火墙的状态可能会导 致拒绝服务攻击。恶意节点可以发送假的绑定更新报文，迫使防火墙改 变状态信息，因此导致防火墙拒绝合法地址的连接。恶意节点也可以使 用地址更新使自己的通信穿越防火墙进入内部网络。 3 ) 问题2 3 ： 假设到通信节点的绑定更新成功。但是，通信节点可能由不同的防 火墙保护。因此，移动节点改变i p 地址可能导致进入或外出的数据包 通过其它的防火墙。新的防火墙可能没有任何与通信节点有关的信息， 因此进入的报文都会被防火墙丢弃。 防火墙技术使得一簇防火墙可以共享状态信息。比如，这样可以支 持非对称路由。然而，如果以前的防火墙与新的防火墙并没有共享状态， 数据包就可能在新的防火墙被丢弃。 北京交通大学硕士学位论文移动l p v 6 的防火墙穿越研究 3 2 3 家乡代理处于防火墙网络中 1 ) 问题3 _ 1 ： 如果保护家乡代理的防火墙阻塞e s p 数据，许多移动i p v 6 的信令 ( 如绑定更新，家乡测试等) 都会被防火墙丢弃，阻止了绑定更新和路 由最佳化。 2 ) 问题3 2 ： 如果家乡代理所处的网络被多个防火墙保护，那么移动节点通信 节点的i p 地址改变可能会使得进出的通信流经不同的防火墙，并且新 防火墙上没有相关的状态信息。结果，报文可能会被防火墙丢弃。 3 2 4 移动节点移动到防火墙网络中 1 ) 问题4 1 ： 与问题卜l 类似，移动节点在获得本地i p 地址后( 转交地址) ，要 向家乡代理发送绑定更新报文。根据移动i p v 6 规范，绑定更新绑定 确认报文是由i p s e ce s p 保护的。然而，很多防火墙默认的都是拒绝 e s p 报文的。这会使得移动节点与家乡代理之间的绑定更新过程无法完 成。 2 ) 问题4 - 2 ： 移动节点正在与通信节点通信，或通信节点正试图与一个移动节点 建立连接。这两种情况下，发自通信节点的数据包会经由移动节点的家 乡代理转发到移动节点的转交地址。然而，当这些报文到达防火墙时， 由于它们不能与任何现存的状态信息相匹配，因此会被防火墙丢弃。 北京交通大学硕士学位论文 移动i p v 6 的防火墙穿越研究 3 ) 问题4 3 ： 如果移动节点正在与通信节点通信，移动节点可能为了实现路由最 佳化而执行返回路由程序。与问题l 一3 类似，由e s p 保护的家乡测试可 能会被保护移动节点的防火墙丢弃。防火墙可能默认的拒绝e s p 报文。 因此，返回路由程序不能完成。 4 ) 问题4 - 4 ： 如果移动节点正在与通信节点通信，并且假设移动节点已经成功的 向通信节点进行了绑定更新，接下来数据包就从通信节点发送到移动节 点的转交地址或相反。 从通信节点到移动节点转交地址的数据包可能不匹配任何防火墙 上的现存条目，因此被防火墙丢弃。 如果应用了上行包过滤，从移动节点的转交地址到通信节点的数据 包不匹配任何防火墙上的现存条目，因此被防火墙丢弃。 3 3 移动i p v 6 的防火墙问题总结 上一节从受保护节点的角度描述了移动i p v 6 在防火墙网络中实施 时可能会遇到的所有问题。但是，从解决问题的角度，依据这些问题产 生的根源，它们还可以被分为以下三种类型： 1 ) 通信状态变化。出现类问题是由两个原因造成的：第一，移动 节点的转交地址发生变化，虽然节点间的通信还是经过同一个防火墙， 但是防火墙却会将改变后的通信识别为新的、未经请求的通信而阻塞； 第二，移动i p v 6 信令使用了新的i p v 6 扩展头一移动头，而且又没有传 输层端口号，因此这些报文很难被防火墙识别。这类问题主要包括上一 节的问题1 2 、卜5 、2 1 及2 2 。 北京交通大学硕士学位论文移动l p v 6 的防火墙穿越研究 2 ) i p s e c 数据。许多防火墙默认是拒绝i p s e c 数据的，因此移动 节点与家乡代理之间的i p s e c 数据不能穿越防火墙。这类问题主要包口 上一节的问题卜l 、卜3 、3 一l 、4 一l 及4 3 。 3 ) 通信状态不存在。由于移动节点进入一个新的防火墙网络或由 于路由路径的改变，使原有的通信经过一个新的、陌生的防火墙。这个 新的防火墙上并没有关于节点间的通信的任何过滤信息，因此这些通信 将被防火墙阻塞。这类问题主要包括上一节的问题卜4 、卜5 、2 3 、3 2 、 4 2 及4 4 。 以上这三类问题包含了所有的移动i p v 6 在防火墙网络中实施时所 遇到的问题，因此，根据这三类问题产生的原因不同，可以分别设计各 自的解决方案。 北柬变通大学硕j j 学位论文移动i p v 6 的防火墙穿越研究 r e s e r v e d f i r e w a d e t e c t i o nc 0 0 k j e ( 1 6o c t e 协) m o b i l 时。州0 n s ( v i a b l el e n g i l l ) 图舢1 防火墙检测报文格式 r e s g w e d 保留域，1 6 比特。保留为将来使用。这个域必须由发送者初始化 为o ，而接收者忽略。 f 计洲n nd e t e c 曲nc o o k e 防火墙检测c o o 虹e 域，1 2 8 比特的随机数。 朋曲腕矽囝，咖船 移动选项域，变长。这个域包含零个或多个t l v 编码的移动选项。 接收者必须忽略它不能识别的选项。 防火墙检测应答报文( f d r ，f i r e w 枷d e t e c 6 0 nr e p l y m e s s a g e ) 防火墙检测应答报文主要是响应防火墙检测报文，移动节点根据防 火墙检测应答报文反馈的信息判断防火墙的存在与否。防火墙检测应答 报文的格式如图4 2 所示： 北京交通大学硕士学位论文移动6 的防火墙穿越研究 r e s e w e d f h w a l ld e t e 甜伽c o o k i e ( 1 6o c t e t s ) m o b i l 畸o p t i o n s ( v 州a b l ei e n g n l ) 图4 2 防火墙检测应答报文格式 r e s e n e d 保留域，1 6 比特。保留为将来使用。这个域必须由发送者初始化 为o ，而接收者忽略。 f i r e w n nd e l c c t i o nc o o l c i e 防火墙检测c o o “e 域，1 2 8 比特的随机数。 胁扫访妒印砌n s 移动选项域，变长。这个域包含零个或多个t l v 编码的移动选项。 接收者必须忽略它不能识别的选项。 状态建立请求报文( s c r e q ，s t a t ec r e a t en q u e s tm e s s a g e ) 进入的绑定更新绑定确认报文可能触发防火墙的状态更新程序， 这时，防火墙使用状态建立请求报文请求内部节点( 可以是移动节点、 通信节点或家乡代理) 向防火墙更新相关的状态信息，内部节点地址 外部节点地址域指示节点更新与此地址相关的状态信息。状态建立请求 报文的格式如图4 3 所示： 北京交通大学硕士学位论文移动i p v 6 的防火墙穿越研究 r e s e n r e d e n c r y p t e dc o o k i e ( 1 6o c t 吣) i e r n o d e a d d r e s s ( 1 6o c t e t s ) o u t e r n o d ea d 由e s s ( 1 6o c t e t s ) m o b m i yo 州o n s ( v 耐a b l el e n g t 1 ) 图4 - 3 状态建立请求报文格式 l k s e r v e d 保留域，1 6 比特。保留为将来使用。这个域必须由发送者初始化 为0 ，而接收者忽略。 e n c 唧把dc o o h e 加密c 0 0 1 【i e 域，1 2 8 比特。该域的c o o l 【i e 值由内部节点的公开密钥 加密。对应的c o o k i e 值是由防火墙随机产生的，每个节点都具有唯一的 c 0 0 k i e 值。 i m i e rn o d ea d d r e s s 内部节点i p 地址域，1 2 8 比特。被防火墙保护的网络内部的节点 的i p v 6 地址。如果内部节点是移动节点，则该地址是移动节点的家乡 地址。 o u t e rn o d ea d d r e s s 外部节点i p 地址域，1 2 8 比特。处于防火墙保护的网络外部的节 北京交通大学硕士学位论文移动l p v 6 的防火墙穿越研究 点的i p v 6 地址。如果外部节点是移动节点，则该地址是移动节点的家 乡地址。 m o b i