（模式识别与智能系统专业论文）ipsec应用于局域网中的主要问题和解决方案.pdf

西 北 i 业 大 学 侧 扮 论 文 1 p s e c应用十v f n中的主要问题校钾决方案 摘 要 i p s e c ( i n t e nt e t p r o t o c o l s e c u r it y ，互 联网 协议 安 全) 协 议 具 有 高 安 全 、 高 保密、有效防御外界攻击的特性，越来越受到业界的重视，并且其应用也日益 广泛。由 于个人电 脑的迅猛增加， 加 卜 网络不安全性因素的 增长， 人们对电 脑 和网络的安全要求也越来越关注， 加快了防火墙的普及和应用。网 络的存在离 不开局域网的，处于局域网中的电脑要连接外界的 i n t e r n e t 大多都要经过 n a t ( n e t w o r k a d d r e s s t r a s l a t i o n ,网络地址解析)协议的作用， n ac 存在的理由是 可以有效解决内部 i p地址资源缺乏的问题。在一些安全性很高的场合，就需要 有效解决 i p s e c 、防火墙、n a t三者共存的问题，本论文就是在教研室某一个 课题的基础上对这个问题进行研究的。 首先，分别对 i p s e c . n a t和防火墙的工作原理做了必要的研究，详细的 分析了 三者的工作模式和条件， 并且在找出了可能产生冲 突的 环节。 对于i p s e c 协议和na t协议，i p s e 。 无论在传输模式还是隧道模式，都整个 i p据报进行封 装， 而n a t 协议随时可能修改i p 数据头协议， i p s e c 便认为是对分组完整 性的 背叛并丢弃该分组， 所以a h和 n a t不能一起工作。 对于 i p s e c 协议和防火墙， 冲突的 根本原因就是防火墙要访问报文头信息 和传输层协议头信息并且可能进 行修改，而 i p s e c对整个报文包括协议头进行加密或者认证，阻碍了防火墙的 正常工作。 然 后，在以 上问 题的 分析基础之上， 提出了不同的解决方案。 对于 i p s e c 和 n a 丁两者的冲突， 提出的解决方法有隧道模式 e s p 方案、 n a 丁 一t 方案、r s i p 代替 n a t 的方案;对于工 s e c 和防火墙的冲突，提出的解决方法有 协议头和数 据段分开处理方案等。由 于以 上方案都 有各自 的不足和缺陷， 本论文提出了 一 种有效解决的方案添加新协议头方法。 最后， 对于添加新协议头方案做了详细的阐述， 说明了 协议配置 和具体的 数据报 修改方案， 给出了 总体结构图和 i p s e e 与n a t 冲突解决方案部分的 主要 代码，并且进行了系统测试 关键词:( s e e r , m i t ,防火墙 西北t业大学硕十论文l p s e c 应用于vp n中的土要问题及解决方案 abs tract i p s e c(i n t e r n e t p r o t o c o l s e c u r i t y)h a s b e e n w i d e l y u s e d i n t h e n e t w o r k s y s t e m s b e c a u s e o f i t s s e c r e c y a b i l i t y , h i g h s e c u r i t y a n d h i g h l y c o u n t e r a c t i v e a b i l i t y . a c c o r d i n g t o t h e t r a d i t i o n a l d e s i g n m e t h o d , f i r e w a l l i s a b s o l u t e l y n e c e s s a r i l y t o a l o c a l n e t w o r k b e c a u s e o f t h e m o r e a n d m o r e s e r i o u s s e c u r i t y p r o b l e m s o n t h e i n t e r n e t a t t h e m e a n w h i l e , a n o t h e r p r o t o c o l i s a l s o w i d e l y u s e d i n l a n一i t i s t h e n a t ( ne t w o r k a d d r e s s t r a n s l a t i o n、 p r o t o c o l . wh y n a t s h o u l d b e u s e d i n l a n? t h e v e r y s t r o n g a n d r e a s o n a b l e r e a s o n i s t h a t n a t c a n s o l u t e t h e s h o r t a g e p r o b l e m o f i p a d d r e s s e s e ff e c t i v e l y . s o , i n a l a n , w e h a v e t o m a k e t h e i p s e c p r o t o c o l , n a t p r o t o c o l a n d fi r e w a l l t o w o r k t o g e t h e r w i t h o u t c o l l i s i o n f i r s t , a c c o r d i n g t o a n a l y z e t h e w o r k p r i n c i p l e o f i p s e c p r o t o c o l , n a t p r o t o c o l a n d fi r e w a l l , w e f i n d t h e i r w o r k m o d e , c o n d it i o n a n d d e a l i n g w i t h d a t a a r e v e r y d i f f e r e n t , a n d a t t h e s a m e t i m e % c e f i n d p e r h a p s w h e r e t h e y a r e c o n fl i c t e d w i t h e a c h o t h e r . i n o r d e r t o p r e v e n t f r o m b e i n g a c c e s s e d t o t h e i n f o r ma t i o n o f i p h e a d e r , i p s e c p r o v i d e s s e c u r i t y s e r v ic e s m a i n l y b y e n c r y p t i n g a n d a u t h e n t i c a t i n g t h e w h o l e i p p a c k e t s . b u t a c c e s s i n g t o t h e i n f o r m a t i o n o f i p h e a d e r i s t h e t h i n g t h a t n a t a n d f i r e wa l l s h o u l d d o. a ft e r w a r d s , u n d e r t h i s c i r c u m s t a n c e . t h i s p a p e r p u t s f o r w a r d a s o l u t i o n t h a t m a k e s i p s e c , n a t a n d f i r e w a l l w o r k t o g e t h e r h a r m o n i o u s l y . i n t h i s s o l u t i o n , a ft e r b e i n g d e a l t b y i p s e c , t h e i p p a c k e t s w e r e a d d e d a n e w o u t e r h e a d e r . t h e n e w h e a d e r c a n b e d e a l t b y na t a n d f i r e w a l l c o r r e c t l y， t h i s p r o c e s s i n g w i l l n o t c o l l i d e w i t h i ps e c a t l a s t , t h i s p a p e r d e s c r i b e s h o w t o a d d n e w h a d d e r b e f o r e i p p a c k e t s i n d e t a i l a n d h o w t o a l l o c a t e p l a c e s o f i p s e c p r o t o c o l , n a t p r o t o c o l a n d f ir e w a l l . t h e n ， t h i s p a p e r s h o w s t h e s t r u c t u r e p i c t u re s o f th i s s o l u t i o n a n d a p a r t o f m a i n c o d e . a n d a t t h e e n d we c a n s e e t h e c o de t e s t r e s u l t s a b o u t t h e s o l u t i o n o f i ps e c a n d nat. k e y wo r d s i p s e c : n a t ; f i r e w a l l 西 北 ik 大 学 倾 _ 论 丈1 1 1, - 应用于 l 八 n中的主要问题次铆次方案 第一章 绪论 网络安全概况 现代人没有儿个人小知道 卜 网这个词，互联网 卜 在以其极其惊人的速度发 展着，并且在人们的生活甲起 1 非常重要的作用，然而伴随而来的安全问题也 越来越备受用户重视在无优无虑的享受冲浪的乐趣的同时，很多病毒、外界 攻击也对无辜的用户虎视改眺，因此不少明智的用户都会给自己安装一个或者 多个防火墙来保护 自己的电脑、资料不被侵犯。 造成网络不安全的主要原因有: .协议自身的缺陷 在设计 i n t e r n e t 时，就缺乏对协议的安全考虑，没有总体的构想。 i p v 4 数据 报本身没有提供仟何安全保护， 丁 c p / l p协议建立在可信的环境之下_ 首先考虑的 是网络的互连， 而不是数据的安全方而。 .网络的开放性 t c p a p协议是完全公开的，连接的主机基于互相信任的原则，这使得网络 更加不安全。 .黑客的攻击 随着网络和电脑的普及，黑客的数量也越来越大，对网络的攻击和安全威 胁也越来越成为人们关注的焦点。黑客的技术手段的高明，加上联盟成集团， 这也是造成网络不安全的另一个不可忽视的因素。 随着网络技术的不断发展对网络的攻击手段也是层出不穷.根据攻击所 针对的网络安全性，可以分为: .真实性攻击 真实性攻击主要指身份伪造例如，有的黑客利用 a用户的认证身份向 i 3 用户发送信官 、 ， 或者冒 用某个用户的i p 地址向 网络发送报文甚至对另一个 用户 进行攻击。 . 完整性攻击 西 北 ik 大 学 倾 _ 论 丈1 1 1, - 应用于 l 八 n中的主要问题次铆次方案 第一章 绪论 网络安全概况 现代人没有儿个人小知道 卜 网这个词，互联网 卜 在以其极其惊人的速度发 展着，并且在人们的生活甲起 1 非常重要的作用，然而伴随而来的安全问题也 越来越备受用户重视在无优无虑的享受冲浪的乐趣的同时，很多病毒、外界 攻击也对无辜的用户虎视改眺，因此不少明智的用户都会给自己安装一个或者 多个防火墙来保护 自己的电脑、资料不被侵犯。 造成网络不安全的主要原因有: .协议自身的缺陷 在设计 i n t e r n e t 时，就缺乏对协议的安全考虑，没有总体的构想。 i p v 4 数据 报本身没有提供仟何安全保护， 丁 c p / l p协议建立在可信的环境之下_ 首先考虑的 是网络的互连， 而不是数据的安全方而。 .网络的开放性 t c p a p协议是完全公开的，连接的主机基于互相信任的原则，这使得网络 更加不安全。 .黑客的攻击 随着网络和电脑的普及，黑客的数量也越来越大，对网络的攻击和安全威 胁也越来越成为人们关注的焦点。黑客的技术手段的高明，加上联盟成集团， 这也是造成网络不安全的另一个不可忽视的因素。 随着网络技术的不断发展对网络的攻击手段也是层出不穷.根据攻击所 针对的网络安全性，可以分为: .真实性攻击 真实性攻击主要指身份伪造例如，有的黑客利用 a用户的认证身份向 i 3 用户发送信官 、 ， 或者冒 用某个用户的i p 地址向 网络发送报文甚至对另一个 用户 进行攻击。 . 完整性攻击 两北 下 业 人 学 硕 卜 i 仑趁 i p s c c应用于l a n巾的主要问题及钾决方案 攻击者截获发送力 一 发出的信息，对该信息进行篡改后，冉友送给接收万 .机密性攻击 主要手段是窃听。由于网络的物理特性，攻击者总是可以通过某种物理手 段监听到信息 源发送出的全部或者部分消息。例如， 如果攻击者与发 送方或者 接收方任何一个在同一个以 太网内，攻击者就能窃听到发送方或者接收方的数 据报。 .i ii ) i 1 性攻击 将截获的信息中断，使得接收者无法获得信息:或者利用某种手段消耗服 务器资源，使用户无法与服务器连接，服务器也不能为用户提供服务。 2防火墙、n a 丁 、i p s e c 同时存在的必要性 随着网络资源共享的送夕加强，在网 卜 发布的有害信息或者利用网络进 行犯罪的行为越来越频繁，不管是政府、公司、团体还是个人，都会寻求各种 保护措施来保护 自己的资料不被恢窃，利益不被损害。其中防火墙就是用的比 较广泛的一种措施。 防火墙是在内部网络和外部网络之间设置的，是通过对网络进行拓扑结构 或服务类型上的隔离来加强网络安全，以防止发生不可预测的、潜在破坏性的 侵入。它所保护的对象是网络中有明确闭合边界的一个局域网，它的防范对象 足来自被保护网外部的对网络安全的威胁。可见， “ 防火墙 ， 技术最适合于在企 业专网中使用，特别是在企业专网与公共网络互连时的使用。 实现防火 墙系统所用的主要 技术有数据包过滤( p a c k e t f i l t e r i n g ) ， 应用 级网 关( a p p l i c a t i o n g a t e -,l a ) 和代理服务器( p r o x y s e r v e r ) 等， 在此基础上合 理的网 络拓扑结构及有关技术i 在 位置和配置上) 的 适当使用，也是保证防火墙 的有效使用的重要囚素 防火墙技术的发展经历了基 上 路由器的防火墙、用户化的防火墙工具套、 建立在通用操作系统上的防火墙、具有安全操作系统的防火墙四个阶段现在 处于第四阶段，即第四代防火墙的阶段。 根据保护对象来分， 防火墙可以 分为网络型防火墙和主机型防火墙。前者 是为了保护内部网络山的犷算机，多在网问进行配置;后者是为了保护个人用 两北 下 业 人 学 硕 卜 i 仑趁 i p s c c应用于l a n巾的主要问题及钾决方案 攻击者截获发送力 一 发出的信息，对该信息进行篡改后，冉友送给接收万 .机密性攻击 主要手段是窃听。由于网络的物理特性，攻击者总是可以通过某种物理手 段监听到信息 源发送出的全部或者部分消息。例如， 如果攻击者与发 送方或者 接收方任何一个在同一个以 太网内，攻击者就能窃听到发送方或者接收方的数 据报。 .i ii ) i 1 性攻击 将截获的信息中断，使得接收者无法获得信息:或者利用某种手段消耗服 务器资源，使用户无法与服务器连接，服务器也不能为用户提供服务。 2防火墙、n a 丁 、i p s e c 同时存在的必要性 随着网络资源共享的送夕加强，在网 卜 发布的有害信息或者利用网络进 行犯罪的行为越来越频繁，不管是政府、公司、团体还是个人，都会寻求各种 保护措施来保护 自己的资料不被恢窃，利益不被损害。其中防火墙就是用的比 较广泛的一种措施。 防火墙是在内部网络和外部网络之间设置的，是通过对网络进行拓扑结构 或服务类型上的隔离来加强网络安全，以防止发生不可预测的、潜在破坏性的 侵入。它所保护的对象是网络中有明确闭合边界的一个局域网，它的防范对象 足来自被保护网外部的对网络安全的威胁。可见， “ 防火墙 ， 技术最适合于在企 业专网中使用，特别是在企业专网与公共网络互连时的使用。 实现防火 墙系统所用的主要 技术有数据包过滤( p a c k e t f i l t e r i n g ) ， 应用 级网 关( a p p l i c a t i o n g a t e -,l a ) 和代理服务器( p r o x y s e r v e r ) 等， 在此基础上合 理的网 络拓扑结构及有关技术i 在 位置和配置上) 的 适当使用，也是保证防火墙 的有效使用的重要囚素 防火墙技术的发展经历了基 上 路由器的防火墙、用户化的防火墙工具套、 建立在通用操作系统上的防火墙、具有安全操作系统的防火墙四个阶段现在 处于第四阶段，即第四代防火墙的阶段。 根据保护对象来分， 防火墙可以 分为网络型防火墙和主机型防火墙。前者 是为了保护内部网络山的犷算机，多在网问进行配置;后者是为了保护个人用 比厂 、 ， _左学倾 沦又i i s e c应 用 于 t an 中 的 主 要 问 题 及 解 决 方 夕 ) ” 计算机，多在被保护的1 十 算机内部进行配置。 不管是哪种类型的防火墙，对数据包的访问控制，基本都涉及到:源 i p地 址、目的 i p地址、源端口号、目 的端口号等，这些数据都包含在 i p数据报文 中。因此，防火墙要对 i p包中的这些数据进行检查和核对。 n a t 是n e t w o r k a d d r e s s t r a n s l a t i o n ( 网 络 地 址 转 换 ) 的 缩 写， 是 一 种可 用 十保护局域网地址信息的协议。 n a t是为了适应 i p 地址越来越紧缺而产生的种协议， 它可以己 _ 多个使用 内部地址的主机共同使用 一 个外部地址与外界交互，也就是数据包中的私有 i p 地址修改可路山的全局 i p地址后发送出去，这样可以隐蔽内部地址信 自 、 ，是刘 内网的一种保护。 n a t有两种基本的工作 方式，第一种方式是把一个私有地址转换成一个全 局地址，这种转换可以事先设定好私有地址和全局地址的一一对应关系，也可 以在需要的时候，根据调度规则从存有全局地址的地址池中临时分配，进行动 态转换。第二种方式是将私有地址和 t c p / u d p 端口号转换成一个全局地址， 其 中t c p / u d p端口号就可用于主机的唯一标识符号， 这种方式允许多个私有地址 对 一 应一个全局地址，是一对多的关系。 从上所述可知， n a t工作的时候不仅要改动数据包中的i p地址， 还要修改 传输层的端口号，除此之外，还要重新计算校验和。 尽管防火墙是目前使用最多的一种安全解决方案之一，但这有时候还不能 达到足够安全的地步。目前发展前景备受青睐的另一种安全解决方案 一 i p s e c c i n te m e t p r o to c o l s e c u ri tn ) 协 议 ， 也 越 来 越 趋 于 完 善， 所 以 要 求 高 安 全 性很 多 用户都在使用防火墙的同e i1 , u 巨 了i p s e c 作为另外一道安全屏障。 ! 扫 于 t i, 层协议本身的 设钊缺陷， 缺少安全方而的考虑， 造成很大的安全隐 患，这些安全脆弱性的危害对网络造成的损失越来越严重，但是，科学技术的 发展要求更多应用转移到网络上 来，而且更多的商业应用迫切希望利用网 络提 供给人 们更 方便、 快捷的 服务 解决 这个矛盾的方法是给工 p 协议 增加 安全性 因 此，i l t f 设计了i p s e c 协议，为工 p v 4 和 i p v 6 提供安全的 通信。 i p s e c 是i n t e r n e t p r o t o c o l s e c u r i t y ( 网 络协议安 全) 的缩写，l p s e c 的 设 计 目标早 为体 用 r p协议的 军户存网络协 议栈 的 i p层提供 网络安 全性 。工 尸层安 两 北 丁 业 大 学 硕 : i , 交l p s。 心田于丫人 n ! 中的一 1 : 要问题技解决方案 个性的主要优点是它的透明性， 也就是说， i p s e c对应用程序和终端用户都是透 明的，安全服务的提供不需要应用程序、其它通信层次和网络部件做任何改动。 工 p s e c 的另一个显著特点是，它几乎可以运行在使用 i p协议进行通信的任 何机器上。 不论是运行在路由 器、防火墙主机、各种各样的应用服务 器上， 还 是运行在终端用户的个人计算机或笔 记本电脑上， i p s e c 都能提供一定的安全保 障。 i p s e c 提供的安全服务 是迁过在 i p数据报上使用加密、 认证 算法来实 现， 女 安 全 服 务 的 类 型 有: 机 密 性、 抗 重 播、 数 据 原 始来 源认 证 、 数 据 完 整 性 和 数 据 的访问控制。i p s e c使用验证头 a h ( a u t h e n t i c a t i o n h e a d e r )和封装安全载荷 e s p ( e n c a p s u l a t i n g s e c u r i t y p a y lo a d 洒 种方式提供安全保障。 a h 协议可以提供数据完整性、数据原始来源验证和有限的抗重播服务，它 是在原有的 i p 报文上 加入一 个a h 头，这个a h 头中的 验证数据字段包含有对被 加密分组的完整性校验的结果， a h 只对外部i p 头的各部分进行身份验证，并不 改变i p 报文的数据载荷。 e s p协议除了 可以 提供 a h的所有服务外，还可以 提供数据保密性服务， e s p是在原有的 l p 报文中插入一个 e s p头和一个 e s p尾，e s p头可以对 i p报 文中的数据载荷进行加密保护和认证保护。 3防火墙、n a t , i p s e c 的冲突 就笔者而言，首先是处在一个局域网内，只有通过局域网才能访问到 i n t e r n e t ，除了防火墙和 i p s e c 安全协议作为保护措施外， 还有另外一个用于保 护局 域 网地 址信 息 的协 议一网络 地 址 转 换 n a t ( n e t w o r k a d d r e s s t r a n s l a t io n ) . 像笔者 这样的处于局域网内 的用户不在少数， 而且几乎每个组织、 企业都 有内部网络 ( 即局域网) ，局城网内的用户必须通过网关来访问 i n t e r n e t ，就不 可避免的会遇到如何让防火墙、 工 p s e c 协议、 n a t协议共存的问题， 这也就是在 局域网中应 用 i p s e c 协议时极可能遇到的主要问题。 其实n a t和防火墙需要访问的i p 报文的信息都n 1 以 放到头 信la 、 中， 传输 过程中早不会产生冲突的所以我们可以在应用完i p s e c 协议后，把na t和防 两 北 丁 业 大 学 硕 : i , 交l p s。 心田于丫人 n ! 中的一 1 : 要问题技解决方案 个性的主要优点是它的透明性， 也就是说， i p s e c对应用程序和终端用户都是透 明的，安全服务的提供不需要应用程序、其它通信层次和网络部件做任何改动。 工 p s e c 的另一个显著特点是，它几乎可以运行在使用 i p协议进行通信的任 何机器上。 不论是运行在路由 器、防火墙主机、各种各样的应用服务 器上， 还 是运行在终端用户的个人计算机或笔 记本电脑上， i p s e c 都能提供一定的安全保 障。 i p s e c 提供的安全服务 是迁过在 i p数据报上使用加密、 认证 算法来实 现， 女 安 全 服 务 的 类 型 有: 机 密 性、 抗 重 播、 数 据 原 始来 源认 证 、 数 据 完 整 性 和 数 据 的访问控制。i p s e c使用验证头 a h ( a u t h e n t i c a t i o n h e a d e r )和封装安全载荷 e s p ( e n c a p s u l a t i n g s e c u r i t y p a y lo a d 洒 种方式提供安全保障。 a h 协议可以提供数据完整性、数据原始来源验证和有限的抗重播服务，它 是在原有的 i p 报文上 加入一 个a h 头，这个a h 头中的 验证数据字段包含有对被 加密分组的完整性校验的结果， a h 只对外部i p 头的各部分进行身份验证，并不 改变i p 报文的数据载荷。 e s p协议除了 可以 提供 a h的所有服务外，还可以 提供数据保密性服务， e s p是在原有的 l p 报文中插入一个 e s p头和一个 e s p尾，e s p头可以对 i p报 文中的数据载荷进行加密保护和认证保护。 3防火墙、n a t , i p s e c 的冲突 就笔者而言，首先是处在一个局域网内，只有通过局域网才能访问到 i n t e r n e t ，除了防火墙和 i p s e c 安全协议作为保护措施外， 还有另外一个用于保 护局 域 网地 址信 息 的协 议一网络 地 址 转 换 n a t ( n e t w o r k a d d r e s s t r a n s l a t io n ) . 像笔者 这样的处于局域网内 的用户不在少数， 而且几乎每个组织、 企业都 有内部网络 ( 即局域网) ，局城网内的用户必须通过网关来访问 i n t e r n e t ，就不 可避免的会遇到如何让防火墙、 工 p s e c 协议、 n a t协议共存的问题， 这也就是在 局域网中应 用 i p s e c 协议时极可能遇到的主要问题。 其实n a t和防火墙需要访问的i p 报文的信息都n 1 以 放到头 信la 、 中， 传输 过程中早不会产生冲突的所以我们可以在应用完i p s e c 协议后，把na t和防 西北丁业大学倾刊 _ 1仑义 日门 a n中i均主要问题及解决方案 火墙必须访问的信自 、 做成 一 个外部头插入数据包，这样就可以钊 i p s e c , n a t 和防火墙和谐工作了。 本文将在下面的章节中，先分别介绍防火墙、n a t 协议、i p s e c的工作原 理，然后根据它们的工作原理，提出这三者同时存在时产生的具体冲突，最后 给出一种详细的解决方案。 4项目背景和意义 本论文是田头验主某个项日的一部分撰写而成，主要是为了解决某个芯片 的软件方而的数据保密部分，其中设计 一 到 i p s e c 数据流的安全性、 i p s e c 协议与 防火墙、 n a t协议如何共存的问题， 在此基础上进行分析、 提出一种解决h案、 并且完成部分编码。 本论文提出的解决方案具有很强的实用性、 可操作性， 能够有效解决i p s e c 协 议 石 咒黑 自 需 尝 墙 量 愿 霆 及 碧 蓄 存 翟 鬓 b勺 数 据 安 全 都 1: 以 给 予 有 效 地 保 障，有力的保护了数据流的安全性，对整个项目而言是有举足轻重的作用。 西北丁业大学倾刊 _ 1仑义 日门 a n中i均主要问题及解决方案 火墙必须访问的信自 、 做成 一 个外部头插入数据包，这样就可以钊 i p s e c , n a t 和防火墙和谐工作了。 本文将在下面的章节中，先分别介绍防火墙、n a t 协议、i p s e c的工作原 理，然后根据它们的工作原理，提出这三者同时存在时产生的具体冲突，最后 给出一种详细的解决方案。 4项目背景和意义 本论文是田头验主某个项日的一部分撰写而成，主要是为了解决某个芯片 的软件方而的数据保密部分，其中设计 一 到 i p s e c 数据流的安全性、 i p s e c 协议与 防火墙、 n a t协议如何共存的问题， 在此基础上进行分析、 提出一种解决h案、 并且完成部分编码。 本论文提出的解决方案具有很强的实用性、 可操作性， 能够有效解决i p s e c 协 议 石 咒黑 自 需 尝 墙 量 愿 霆 及 碧 蓄 存 翟 鬓 b勺 数 据 安 全 都 1: 以 给 予 有 效 地 保 障，有力的保护了数据流的安全性，对整个项目而言是有举足轻重的作用。 两北下业大堂硕 卜 论 交 i p s e c应用于l an中的主要问题及解决方案 第二章 防火墙和n a t 技术 2 . ，防火墙技术 目前，防火墙技术是保护 i n t e r n e t / i n t r a n e t安全最常采用的技术，全球 连入 工 n t e r n e t 的计算机中约有 2 / 3 是处十防火墙保护之 卜 。 防火墙在小危及内 部网络数 据与其它资 琳的l i1 提 卜 允许本地用户使用外部网络的资 源. 将外部未 被授权的用户屏蔽在内部网络之外，无法使用受保护的资源，从而解决了因为 连接外部网绍或是 工 n t e. r n e : 带来的安全问题。 2 .1 . ，防火墙的概念和功能 网络防火墙是一种t来; . q 强网络之间访问控制的特殊网络互连设备，比如 路由器、网关等，它对两个或多个网络之间传输的数据包和链接方式按照 一 定 的安全策略对其进行检查，来决定网络之间的通信是否被允许， 言 能有效地控 制内部网络与外部网络之闺的访问及数据传送， 从而达到保护内部网络的信息、 不受外部非授权用) ， 的访问和过滤不良信息的目的。 图 2 -i 所不是一个防火墙 模型。 o s i r m 防 火墙 - - - - - 一 安全区域- - - - - - 一 - - - - - - - 一 防火墙系统- - - - - - 一卜 - - - - - 一 非保护区 - - - - - 一 图2 一1防火墙模型 防火墙从实现上主要分为软件防火培和硬件防火墙软件防火墙基于现有 的网络操作系统，一般选爪比较稳定的 u ni x操作系统，其特点是基于的操作 系统内核比较稳定高效.不易十遭受基于下三层的攻击，并能充分利用操作系 两北下业大堂硕 卜 论 交 i p s e c应用于l an中的主要问题及解决方案 第二章 防火墙和n a t 技术 2 . ，防火墙技术 目前，防火墙技术是保护 i n t e r n e t / i n t r a n e t安全最常采用的技术，全球 连入 工 n t e r n e t 的计算机中约有 2 / 3 是处十防火墙保护之 卜 。 防火墙在小危及内 部网络数 据与其它资 琳的l i1 提 卜 允许本地用户使用外部网络的资 源. 将外部未 被授权的用户屏蔽在内部网络之外，无法使用受保护的资源，从而解决了因为 连接外部网绍或是 工 n t e. r n e : 带来的安全问题。 2 .1 . ，防火墙的概念和功能 网络防火墙是一种t来; . q 强网络之间访问控制的特殊网络互连设备，比如 路由器、网关等，它对两个或多个网络之间传输的数据包和链接方式按照 一 定 的安全策略对其进行检查，来决定网络之间的通信是否被允许， 言 能有效地控 制内部网络与外部网络之闺的访问及数据传送， 从而达到保护内部网络的信息、 不受外部非授权用) ， 的访问和过滤不良信息的目的。 图 2 -i 所不是一个防火墙 模型。 o s i r m 防 火墙 - - - - - 一 安全区域- - - - - - 一 - - - - - - - 一 防火墙系统- - - - - - 一卜 - - - - - 一 非保护区 - - - - - 一 图2 一1防火墙模型 防火墙从实现上主要分为软件防火培和硬件防火墙软件防火墙基于现有 的网络操作系统，一般选爪比较稳定的 u ni x操作系统，其特点是基于的操作 系统内核比较稳定高效.不易十遭受基于下三层的攻击，并能充分利用操作系 两 _仁 工 j 大召 仁沙 义i p s e c 应川 千l a n中的 子 要问题及解决方案 统的功能，安全一叻能比较完善。不足是如果篆于的操作系统有问题，会影响防 火墙本身的安全性，并需要另外购置安装操作系统。硬件防火墙一般基于 自己 特定开发的操作系统或经改造的现有的操作系统并运行于特定的硬件平台，可 以屏除原操作系统中对于安全不必要的部分，整体性能比较高，源代码的保密 对于安全也有一定的增强作用。 一个好的防火墙系统应具有以下五方面的特性: ( 1 ) 所有在内部 网络和外部网 络之il 1 传输的 数据必须通过防火培; ( 2 ) 只有被授权的合法数 据即 防火墙系统中 安全策略允许的 数据可以 通过防火墙 ( 3 ) 防火墙本身不受各种攻 击的影响; ( 4 ) 使用日 前新的信息安全 技术，比 如现代密码技术等; ( 5 ) 人机界面良 好， 用户 配置 使用方便，易 管理。 设置防火墙的主要目的是保护内部网络，限制来自外部网络的访问， 防火墙的功能主要有以下内容: ( 1 ) 保护内 部网络存在的某 些脆弱服务; ( ? ) 控制外部网络对内部网 络的访问 ; ( 3 ) 便于内部网络安全的 集中 管理; ( 4 ) 隐藏内 部网络的敏感信息， 强化内部网 络安 全; ( 5 ) 防火墙可以 提供日 志记 录; ( 6 ) 执行网络安全政策 简而言之，防火墙的功能包括: 过滤信息，管理进程，封堵服务，审 计监测。 一个防火端从t ) i 能 _ 来分，通常由以 卜 儿个部分织成. 如图2 -2 所示: 吮 已侄可 m2 -z防火墙体系结构 两北下业大学硕 上 论文 i p s e c 应用于 l a n of的主要问颂及解决方案 2 . 1 . 2防火墙的分类 i n t e rn e t 采用 t c p / i p协议， 根据防火墙设 置的 不同网 络层次， 防火墙可以 分为三类: 包过滤型防火墙 ( p a c k e t f i l t e r i n g f i r e w a l l ) 、电 路网关( c i r c u i t g a t e w a y ) 和应用网关( a p p l i c a t io n g a t e w a y ) . 2 . 1 . 2 . 1包过滤型防火墙 包 过 滤 ( p a c k e t f i lte rin g )技 术 是 在 网 络 层 对 数 据 包 进 行 分 析 、 选 择 ， 选 择 的 依据是系统内设置的 过滤 逻辑， 称为访问 控制 表( a c c e s s c o n t r o l t a b l e ) . 通过检 查数据流中每一个数据包的源地址、目的地址、 所用端口号、协议状态等因素， 或它们的组合来确定是否允许该数据包通过。其实现机制如图2 -3 所示。 图2 一3数据包过滤防火墙实现机制 ( 1 ) 包过滤防火墙实施步骤 包过滤防火墙是基于路由器来实现的。 它利用数据包的头信息( 源 i p 地址、 封装协议、 端口号等) 判定与 过滤 规则相匹配与否来决定舍取。 建立这 类防火墙 需按如下步骤去做: 建立安全策略 一写出 所允 许的 和禁止的任务; 将安全策略转化为数据包分组字段的逻辑表达式; 用供货商提供的句法重写逻辑表达式并设置之。 ( 2 ) 包过滤防火墙针对典型攻击的过滤规则 包过滤防火墙主要是防止外来攻击，其过滤规则大体有: 对4 1 一 in i p地址欺骗式攻击 ( s o u r c e i n a d d r e s s s p o o f i n g a t t a c k s ) : 对入 西 北 t 业 大 学 硕 士论 文 ! p s e c应用于 l a n中的主要问题及解决方案 侵者假冒内部主机， 从外部传输一个源 仲 地址为内部网络工p 地址的数据包的 这类攻击， 防火墙只需把来自外部端口的使用内部源地址的数据包统统丢弃掉。 对付源路 由攻击 ( s o u r c e r o u t i n g a t t a c k s ) : 源站 点指 定了数据 包在 i n t e r n e t 中的传递路线，以躲过安全检查，使数据包循着一条不可预料的路径 到达目的地。对付这类攻击，防火墙应丢弃所有包含源路由选项的数据包。 对付残片攻击( t i n y f r a g m e n t a t t a c k s ) : 入侵者使用 t c 即工 p 数据包的分 段特性，创建极小的分段夕 几少洲冬t c p头信息分成多个数据包，以绕过用户防 火墙的过滤规则黑客期担防火墙只检查第一个分段而允许其余的分段通过。 对付这类攻击，防火墙只需将 t c p / t p 协议片 断位移值( f r a g m e n t o f f s e t ) 为 1 的数据包全部丢弃即可。 ( 3 ) 包过滤防火墙的优缺点 包过滤防火墙的优点是逻辑简单、成本低、易于安装和使用，网络性能和 透明度好。 它通常安装在路出 器上， 内部网络与i n t e r n e t 连接必须 通过路由 器， 因此在原有网络上增加这类防火墙，几乎不需要任何额外的费用。 其缺点是: 该防火墙需从建立安全策略和过滤规则集入手， 需要花费大量的 时间和人力，还要不断根据新隋况不断更新过滤规则集。同时，规则集的复杂 性又没有测试工具来检验其正确性， 难免仍会出现漏洞，给黑客以可乘之机; 对 于采用动态分配端口的 服务， 如很多r p c ( 远 程过程调用) 服务相关联的 服务器在 系统启动时随机分配端口的. 就很难进行有效地过滤; 包过滤防火墙只按过滤规 则丢弃数据包而不作记录和报告，没有 日志功能，没有审计性; 同时它不能识别 相同 i p 地址的不同用户， 不具备用户身份认证功能， 不具备检测通过高层协议 ( 如应用层) 实现的安全攻击的能力。 2 . 1 . 2 . 2电路级网关 电 路级网 关( c i r c u i l g -e , a 刀义称线路级网关， 它工作 在会话层。亡 在两 个主 机首次建立 i c p 连接时全 _ 、 _ 一个电子 屏障。 它作为服务器接收外来清 求， 转发请求; 与 被保护的主 机连接时则担当客户机角色、 起代理服务的作用。 它监 视两主机建立连接时的 握手信息， 如s y n . a c k 和序列数据等是否合乎 逻辑， 判 定该会话请求是否合法一呈会话连接有效后网关仅复制、传递数据.i ti7 不进 西 北 工 业 大 学 顾 卜 论 文1 p $ _ , . 旧t l an中的二l要刁题及解决方案 行过滤。 电路网关中特殊的客户程序只在初次连接时进行安全协商控制，其后就透 明了。只有懂得如何与该电路网关通信的客户机才能到达防火墙另一边的服务 器。在不同方向上拒绝发送放置和取得命令，就可限制 f t p服务的使用。如不 允许放置命令输入， 外部用户就不能写到 f t p 服务器破坏其内容: 如不允许放置 命令输出， 则不可能将信息存储 在网点外部的f f p 服务器上了 。 电路级网关的防夕 ju 的安全性比较高，但它仍才 、 能检查应用层的数据包以 消除应用层攻击的威胁。 2 . 1 . 2 . 3应用层网关 应用层网关( a p p l i c a t i o n g a t e w a y s ) 是在网 络的应用层上实现协议过滤和转 发功能。它针对特定的网络应用服务协议使用指定的数据过滤逻辑规则，并在 过滤的同时，对数据包进行必要的分析、记录和统计，形成报告。实际的应用 网关通常安装在专用工作站系统 卜 ，其实现机制如图2 -4 所示。 应用层网关防火墙和数据包过滤有一个共同的特点，就是它们仅仅依靠特 定的逻辑来判断是否允许数据包通过。一旦符合条件，防火墙内外的计算机系 统便可以建立直接联系，外部的用户便有可能直接了解到防火墙内部的网络结 构和运行状态，这大大增加了非法访问和攻击的机会。 针刘如 土缺点，出 现一 代理服务技术， 它能 够将所有 跨越防火墙的网络通 信链路分为两段。防火墙内外计算机系统间应用层的连接，由两个代理服务器 之间的连接来实现，外部计算机的网络链路只能到达代理服务器，从而起到隔 离防火墙内外计算机系统的作用。 另外代理服务器也对过往的数据包进行分析、 记录、形成报告，当发现攻击迹象时会向网络管理员发出警告，并保留攻击痕 迹。其应用层代理服务数据田控制及传输过程如图 2 一5 所示。 应用级网关使用软件来转发和过滤特定的 应用服务， 如 丁 e l n e 丁 、f t p等 服务的连接 这是 一种代理溅务 它只允许有代理的服务 j 雌 过.也就是说只有 那些 被 认 为“