（计算机软件与理论专业论文）基于ipv6协议下的防火墙技术研究.pdf

摘要 随着我国第一个全国性下一代互联网c n g i 核心网c e r n e t 2 正式开通，i p v 6 下的 各项应用成为学术、商业界研究的热点。作为i p v 4 协议下保障网络安全的重要环节 一防火墙，是否适合在i p v 6 协议下应用以及如何应用? 这是本文的中心问题。 本文作者从防火墙的功能和i p v 6 的安全协议一i p s e c 的功能两个方面做了比较， 得出了防火墙在i p v 6 协议下存在的必要性，并提出了一个有效结合i p s e c 的防火墙 设计策略。 该策略，充分利用了i p v 6 报文的扩展报头，设立端口选项从而使得防火墙在i p v 6 协议下，能对i p 地址、端口号进行过滤。为了实现防火墙在i p v 6 下的对数据包进行 内容过滤，本文在端口选项中增加了个过滤级别的参数，终端装置的防火墙系统通 过这个参数实现了数据包内容过滤。针对端口选项引入可能导致的新的不安全因素， 源端口号和目的端口号很可能被篡改，使得防火墙无法有效的保护内部网络。建立一 个称为i n t e r n e ts e e u r i t ya s s o c i a t i o na n dk e ym a n a g e m e n tp r o t o c o l ( i s a k m p ) 验 证关联( v a l i d a t ea s s o c i a t i o n ，v a ) 的安全通道，以保证数据包的完整性。 为了验证该策略的可行性，本文作者搭建了i p v 6 实验网络并实现了防火墙系统 的主要功能。文中，详细介绍了系统的架构，以及实现的包过滤的流程图和算法。最 后，作者对系统的功能、性能、安全性做了实验和分析。 在实验中： 1 测试了防火墙的过滤时延，通过数学公式，计算出使用该策略实现的防火墙的网 络吞吐量。 2 模拟病毒包，发送数据包，测试了防火墙抗病毒攻击能力。 通过测试实验，证明了该策略具有一定的实用价值。 关键词：i p v 6 ，i p s e c ，防火墙，包过滤，吞吐量 a b s t r a c t 1 ：r i t ht h ea c t u a l i z a t i o no fc e r n e t 2 ，w h i c hi st h ec o r en e to fc n g i ，t h ea 1 1k i n d s o fa p p l i c a t i o nb a s e do ni p v 6h a sb e c o m eh o t s p o ti na c a d e m i ca n dc o m m e r c ef i e l d s a st h en e ts e c u r i t yp r o t e c t o rb a s e do ni p v 4 - - f i r e w a l l ，w h e t h e ri ti ss u i t a b l e f o rt h ea p p l i c a t i o n sb a s e do ni p v 6a n dh o wt oa p p l ya r et h ec r i t i c a lt o p i c o ft h i sp a p e r s b yt h ec o m p a r i n gb e t w e e nt h ef u n c t i o na n dd e v e l o p m e n to ff i r e w a l l w i t ht h e f u n c t i o no fi p s e c ，t h ea u t h o rc o n c l u d et h en e c e s s a r yo ff i r e w a l lb a s e do ni p v 6 a n db r i n gf o r w a r das t r a t e g yo ff i r e w a l lc o m b i n gi p s e c t h i ss t r a t e g ys e t u p p o r ti n f o r m a t i o ni nt h ei ph e a d e r ，w h i c hc a nm a k et h ef i r e w a l l f i l t r a t et h e i pa d d r e s s ，p o r ta n dp a c k a g eb a s e do ni p v 6 t h ea u t h o rb u i i dt h ei p v 6l o c a ln e t w o r ke n v i r o n m e n ti nl a ba n dc o m p l e t et h e m a i n f u n c t i o no ff i r e w a l l i nt h ee x p e r i m e n t ： 1 t e s t i n gf i r e w a l lf i l t e r d e l a y ，a n dc o m p u t i n gt h r o u g h p u tu s i n g t h i s f i r e w a l l 2 ，t e s t i n gt h ea b i l i t yo ft h ef i r e w a l la g a i n s tt h ev i r u sb ys i m u l a t i n gv i r u s p a c k a g e p r o v i n gt h ep r a c t i c a l i t yv a l u eo ft h i ss t r a t e g yb yt h ee x p e r i m e n t w r i t t e nb y ：y u a nx i n z h i ( c o m p u t e rs o f t w a r ea n dt h e o r y ) d r i e c t e db y ：v i c ep r o f l il i k e y w o r d s ：i p v 6 ，i p s e c ，f i r e w a l l ，p a c k e tf i i t e r ，t h r o u g h p u t l i 独创性声明 1 j ：9 2 9 0 0 l 本人声明所呈交的学位论文是本人在导师指导下进行的研究工作及取得的 研究成果。据我所知，除了文中特别加以标注和致谢的地方外，论文中不包含其 他人已经发表或撰写过的研究成果，也不包含为获得壹量圭鲎或其他教育机 构的学位或证书而使用过的材料。与我一同工作的同志对本研究所做的任何贡献 均已在论文中作了明确的说明并表示谢意。 学位论文作者签名：袁妨沦签字日期：妒f 年g 月r 日 学位论文版权使用授权书 本学位论文作者完全了解 壹量叁堂 有关保留、使用学位论文的规定， 有权保留并向国家有关部门或机构送交论文的复印件和磁盘，允许论文被查阅和 借阅。本人授权南昌土学可以将学位论文的全部或部分内容编入有关数据库进 行检索，可以采用影印、缩印或扫描等复制手段保存、汇编学位论文。 ( 保密的学位论文在解密后适用本授权书) 学位论文作者签名：专h 伽 签字日期：杪，年月j 日 聊躲磊易 签字目期：厂年厂月厂一日 1 1i p v 4 的缺陷 第1 章引言 i p 的确是一个非常强壮的协议，并已经证明了它能够连接小至几个节点，大至 i a t e r n e t 上难以计数的主机。然而，在当前计算机工业飞速发展的步伐下， i p v 4 的 局限性也逐步表露的越来越明显。 t c p i p 的工程师和设计人员早在80 年代初期就意识到了升级的需求，因为当时 已经发现i p 地址空间随着i n t e r n e t 的发展只能支持很短的时间。本节将介绍i p 必 须升级的原因以及可以同时改进之处1 2 1 1 1 4 l ，其中包括： 地址空间的局限性：i p 地址空间的危机由来已久，并正是升级的主要动力。 性能：尽管i p 表现得不错，一些源自2 0 年甚至更早以前的设计还能够进一步 改进。 安全性：安全性一直被认为是由网络层以上的层负责，但它现在已经成为i p 的下一个版本可以发挥作用的地方。 自动配置：对于i pv 4 节点的配置一直比较复杂，而网络管理员与用户则更喜 欢“即插即用”，即：将计算机插在网络上然后就可以开始使用。i p 主机移动性的增 强也要求当主机在不同网络间移动和使用不同的网络接入点时能提供更好的配置支 持。 1 1 1l p 地址空间危机 i n t e r n e t 经历了核爆炸般的发展，在过去的1 0 到1 5 年间，连接到i n t e r n e t 的 网络数量每隔不到一年的时间就会增加一倍。但即便是这样的发展速度，也并不足以 导致9 0 年代后期i p 地址的匮乏。 i p 地址为3 2 位长，经常以4 个两位十六进制数字表示，也常常以4 个0 至255 间的数字表示，数字间以小数点间隔。每个i p 主机地址包括两部分：网络地址，用 于指出该主机属于哪一个网络( 属于同一个网络的主机使用同样的网络地址) ；主机地 址，它唯一地定义了网络上的主机。这种安排一方面是i p 协议的长处所在，另一方 蘧也导致了地址危机的产生。 由于i p v 4 的地址空阔可能具有多予4 0 亿的地址，有人可能会认为i n t e r n e t 很 容易容纳数以亿访的主机，至少几年内仍可以应付连续豹倍增。但是，这只适用于i p 地址以顺序化分布的情况，即第一台主枧豹地疑为1 ，第二台主枧的地址为2 ，依此 类推。通过使用分级她蛙格式，部每台主撬曹先依据它所连接的潮络进行标识， p 可支持简单的选路协议，主机只需要了解彼此的i p 地址，就可以将数据从台主机 上转移至另一台主机。这种分级地址把地址分戴豹工作交给了每个网络的管理者，从 而不再需要中央授权机构为i n t e r n e t 上的每台主机指派地址。到网络外的数据依据 网络地址进行选路，在数据到达嚣的主枫所连接的路由器之前无需要了解主机地址。 - 1 1 2i p 性麓议题 i p 剐开始时，从各方面看就像一个实验貂，冀主要目的在于为在异种网络闻进行 数据的可靠、健壮和商效传输探索最佳机制，从而实现不同计算机的互操作。在很大 程度上i p 实现了魏嚣标，健这并不意味着i p 可以继续实现这些目标，也不意味着在 对i p 进行修改后愿不能更好。在过去的凡年中，缀明显不仅i p 有改进余翘，同对新 的开发也导致修改i p 的呼声越来越高。在这次升级中考虑了最大传输荦元、最大包 长度、i p 头的设计、校验帮豹使用、i p 选项的应用等议题。针对这些议题已经提出 了专f j 建议并己引入i p v 6 中，这将有嗣予提高i p v 6 的性能并改进i p v 6 作为继续高 速发展的网络的基础豹能力。 1 1 ai p 安全性议露 刚开始时连入i n t e r n e t 的都是侧重予研究与开发豹机构，至少其中的研究人员 互相问了解各自豹名声，丽他们与军队和政府的密切关系也保证了安全性不是个主 要闯题。更重要的是，缀久以来人们认为安全性议题在网络协议栈的低层弗不重要， 应用安全性的责任仍交给应羯层。在许多情况下，i p v 4 设计为只具备最少的安全性 选项，黼i p v 6 的设计者们已在其中加入了安全性选项来强力支持i p 的安全性。 i p v 6 安全性的增强无疑将改进虚拟专用网( v p n ) 的互操作性。i p v 6 的安全性特 性中包括数据的加密与黠于所传输的招密数据和未加密数据进行的身份验证。这些功 2 能也许将被证实是有价值的，但其价值( 和功效) 将主要体现在政治上而不是技术上。 1 1 4 自动配置 在i p 还很年轻时，大部分计算机被放在雕花地板的房间里且其价格超过了大多 数人一年( 甚至更长时间) 的收入。这些系统无法搬到任何其他地方去：它们年复一年 地放在个房间或建筑物中，它们与i n t e r n e t 的连接基本上是静态的，极少改变。 那时也没有i s p ，它们通过电话公司提供的线路来链接至其他网络或i n t e r n e t 骨干网。 现在事情有了些变化。有数百个i s p 可供选择，如果对于用户系统与网络问的选 路和转发没有影响的话，理论上用户可以在不同的i s p 问切换，从而更好地利用不同 的速率和服务。同样，越来越多用户的工作方式要求网络服务具有更大的移动性。他 们可能在家中使用一个或多个系统，可能在世界各地使用所携带的膝上型或笔记本电 脑，也可能使用办公室中的任何一部电脑。更复杂的事情在于，这些人可能不只受雇 于一个雇主，也可能为多个雇主工作。即便是同一个人使用同一部计算机，该计算机 也会频繁地升级或售出。 随着工作和计算机对于移动性要求的与日俱增，i p 也必须做出一些改变以适应 这种需求。针对这个问题，i p v 4 已经有了一些改变，动态主机配置协议( d h c p ) 可以 允许系统在启动甚至只在需要时才通过服务器获取其正确和完整的i p 网络配置。目 前，主机( 无论是移动的还是固定的) 仍然依赖于到网络的单点连接。当用户携带笔记 本电脑出差时，只需给其i s p 打一个电话就可以恢复连接能力。如果该i s p 不能提供 区域外的免费长途号码，就需要打长途电话来拨入该i s p 。 1 2i p v 6 的提出与发展 随着计算机网络技术的飞速发展，i n t e r n e t 已发展成世界上规模最大的计算机 互联网络。1 9 7 4 年产生的i p v 4 在经历了2 0 世纪后2 0 年令人惊异的增长后，已经逐 渐逼近自己的极限，针对这种情况，i e t f ( i n t e r n e t 工程任务组) 于1 9 9 7 年制定了用 来取代i p v 4 的新的i p 版本一i p v 6 。 我国也积极响应网络时代的挑战，2 0 0 2 年5 7 位院士上书国务院雎6 】【2 7 】，呼吁“建 设我国第二代互连网的学术性高速主干网”满足全国科学研究的需要。2 0 0 3 年8 月正 式批复由发改委、工程院、信息产业部、教育部等8 部委牵头启动c n g i ( c h i n an e x t g c n e r a t i o ni n t e r n e t ，中国下一代互连网) 1 2 7 | 。同年6 月，美国国防部正式提出在美 国军方规划实施的“全球信息网格”中全面部署i p v 6 的重要政策【2 引。与此同时，美 国国防部最大的i p v 6 试验网络m o o n 6 完成第一阶段测试，并启动第二阶段测试工作： 美国商务部也发起了有关i p v 6 部署的调查和意见征集，产业界反应踊跃。2 0 0 4 年初， 根据我国政府规划，我国各大运营商加紧了i p v 6 核心网络的方案设计与项目规划。 2 0 0 4 年1 2 月2 5 日，中国第一个全国性下一代互联网c n g i 核心网c e r n e t 2 正式开通， 这是目前世界上规模最大的纯i p v 6 互联n t 2 9 1 。 一时间，东西方两个互联网大国以i p v 6 为主线，加快了下一代互联网部署的步 伐。其实，世界各国在信息技术领域的全面角逐由来已久，而以i p v 6 为基础的下一 代互联网提供了一个改变旧规则，重新划定起跑线的机会。在未来的5 到l o 年中， 作为全球i p v 6 产业的领跑者，中国将面临巨大的机遇和挑战。 美国和中国这两个互联网大国同时于2 0 0 3 年在i p v 6 产业化进程上迈出了重大的 一步绝非巧合，实质上是i p v 6 产业，包括标准、技术、产品和商业需求的逐步成熟 以及产业趋势的渐趋明朗，乃至其真正全球化发展的必然结果。从2 0 世纪9 0 年代中 后期开始的日本、韩国、欧洲等国在i p v 6 实验和研究开发上的稳步发展为i p v 6 的产 业化进程奠定了坚实的基础，但是这一时期的全球i p v 6 产业，还是不完整不均衡的 发展态势。随着美国和中国两个互联网大国的全面进入，全球i p v 6 产业将重新布局， 形成以亚太、欧洲和北美核心区域为主体的区域性均衡发展态势，同时，各核心区域 将以各自独特的特征和发展轨迹推动整个产业进程。i p v 6 商业化进程将逐步展开，全 球i p v 6 市场以及整个产业链的上下游将被带动起来，最终形成完整有序的以i p v 6 为 基础的下一代网络共赢产业链。 在这种背景下，基于i p v 6 协议的各项应用也因用而生! 计算机网络安全作为网络 技术的一个重要方面，随着i p v 6 协议的产生也赋予了新的内容! i p v 6 在安全方面不同 于i p v 4 ，i p v 4 是在i p 层没有安全措旌，而i p v 6 增加了i p s e c ，从而使得i p 网络更加 安全。 1 3i p v 6 下防火墙研究现状 随着i n t e r n e t 的飞速发展，计算机网络安全问题日益严重。i p v 4 协议的脆弱性 给安全造成很大威胁。随着i p v 6 的提出以及各国i p v 6 部署计划的实施，在i p v 6 下 强制实施的i p s e c l 3 i ( i n t e r n e t p r o t o c o ls e c u r i t y ) 协议是i e t f ( i n t e r n e t e n g i n e e r i n gt a s kf o r c e ) 的i p s e c 工作组制定的一套安全方案，目的是在i p 层实现 虚拟的安全链路，以防止i p 报文在i n t e r n e t 上传输时被非法监听、篡改、重播等， 保证通信双方利用i n t e r n e t 传输数据时的安全性。由于i p s e c 封装了报文头部信息， 使得在i p v 4 下相当成功的防火墙【1 1 ( f i r e w a l l ) 的一些基本功能无法正常运行，如何将 防火墙技术有效地运用在i p v 6 协议的网络中，以增强网络的安全性是一个呈待解决 的问题。 从i p v 4 存在的问题来看，i p v 4 向i p v 6 的过渡是不可避免，而且迫在眉睫。这就 带来个问题，原来i p v 4 下原来的某些应用以及安全模式是否还适用于i p v 6 协议? 这 需要我们进一步的研究。防火墙是单个或一群用于加强网络之间接入控制的系统，用 来过滤流经它的、由不可信网到内部子网及内部子网去往外部不可信网的流量。仅通 过授权的流量，系统本身具有对入侵的免疫性。它服务于多个目的：限制人们从一个 特别的控制点进入：防止侵入者接近你的其他防御设施：限定人们从一个特别的点 离开：有效的阻止破坏者对你的计算机系统进行破坏。i p v 4 防火墙是否还适合i p v 6 以及如何在i p v 6 协议下应用也非常值得研究。目前，针对i p v 6 下的防火墙已经很多 科研机构和厂商做了很多的研究工作。自2 0 0 0 年安奈特发布第一款i p v 6 路由器以来， 现在安奈特的系列路由器与多层交换机系列产品已全面支持i p v 6 ，并且可以同时支持 i p v 4 和i p v 6 。思科在圣迭哥召开的北美i p v 6 全球峰会上发表了趋势声明，演示了其 1 0 s 防火墙的过滤能力。在国内，北京交通大学张宏科教授主要主持i p v 6 路由器( 国 内第一台) 、国家“8 6 3 ”重大项目“高性能i p v 6 路由器协议栈软件的研究”( 2 0 0 4 年 8 月通过验收) 、“b j t ui p v 6 无线移动路由器的研究”( 2 0 0 4 年8 月通过了科技成果 鉴定，获得专家的一致好评) 、i p v 6 防火墙、i p v 6 安全路由器( 兼容v 4 ) 、国家攻关项 目等项目的研究工作。 1 4 本论文的研究目标及主要内容 讨论i p s e c 与防火墙兼容，以及如何高效结合策略。 研究i p v 6 下如何对数据包内容进行过滤的策略。 实施仿真防火墙系统的实验、分析。 ， 本文的主要内容以及组织结构如下： 第一章引言。 介绍了i p v 4 的安全缺陷，i p v 6 的提出、发展，i p v 6 下防火墙国内外研究现状， 以及本文研究的目标和主要内容。 第二章防火墙简介。 从防火墙定义、益处及作用、防火墙技术发展的历史、防火墙的分类和防火墙的 发展趋势等方面介绍防火墙。 第三章下一代互联网络技术- - i p v 6 。 本章详细阐述了i p v 6 的扩展报头、i p v 6 安全协议一i p s e c 、i p c o m p 协议三大方 面，并将i p v 6 报头与i p v 4 报头作了比较，对i p s e c 如何防范数据包攻击作了分析。 防火墙的功能和i p v 6 的安全协议一i p s e c 的功能两个方面做了比较，得出防火墙在 i p v 6 协议下存在的必要性。 第四章系统的设计与实现 本章介绍了基于i p v 6 下的防火墙一些典型策略，提出了本文防火墙的策略。本 章中，详细介绍了利用i p v 6 扩展报头解决i p s e c 与防火墙兼容问题策略、数据包内 容过滤解决策略、解决扩展头导致数据包变大影响带宽策略，并对以上策略的优点与 缺陷进行了分析。最后为了验证该策略的可行性，搭建了i p v 6 的实验网络，实现运 用该策略的防火墙系统的主要功能，并对系统进行测试与分析。 第五章总结与展望。 总结本文所做的工作以及分析了工作存在的不足之出和有待进一步研究的工作。 6 第2 章防火墙简介 防火墙的概念起源于中世纪的城堡防卫系统，那时人们为了保护城堡的安全，在 城堡的周围挖一条护城河，每一个进入城堡的人都要经过吊桥，并且还要接受城门守 卫的检查。人们借鉴了这种防护思想，设计了一种网络安全防护系统，这种系统就被 称为防火墙。 2 1 防火墙定义 防火墙是指设置在不同网络( 如可信任的企业内部网和不可信的公共网) 或网络 安全域之间的一系列部件的组合。它可通过监测、限制、更改跨越防火墙的数据流， 尽可能地对外部屏蔽网络内部的信息、结构和运行状况，以此来实现网络的安全保 护。 在逻辑上，防火墙是一个分离器，一个限制器，也是一个分析器，有效地监控了 内部网和i n t e r n e t 之间的任何活动，保证了内部网络的安全。 2 2 使用防火墙的益处及作用 使用f i r e w a l l 的益处 保护脆弱的服务通过过滤不安全的服务，f i r e w a l l 可以极大地提高网络安全 和减少子网中主机的风险。例如，f i r e w a l l 可以禁止n i s 、n f s 服务通过，f i r e w a l l 同时可以拒绝源路由和i c m p 重定向封包。 控制对系统的访问f i r e w a l l 可以提供对系统的访问控制。如允许从外部访问 某些主机，同时禁止访问另外的主机。例如，f i r e w a l l 允许外部访问特定的m a i l s e r v e r 和w e bs e r v e r 。 集中的安全管理 f i r e w a ll 对企业内部网实现集中的安全管理，在f i r e w a ll 定义的安全规则可以运行于整个内部网络系统，而无须在内部网每台机器上分别设 立安全策略。f i r e w a l l 可以定义不同的认证方法，而不需要在每台机器上分别安装 特定的认证软件。外部用户也只需要经过一次认证即可访问内部网。 增强的保密性使用f i r e w a l l 可以阻止攻击者获取攻击网络系统的有用信息， 7 如f i g e r 和d n s 。 记录和统计网络利用数据以及非法使用数据 f i r e w a ll 可以记录和统计通过 f i r e w a l l 的网络通讯，提供关于网络使用的统计数据，并且，f i r e w a l l 可以提供统 计数据，来判断可能的攻击和探测。 策略执行f i r e w a l l 提供了制定和执行网络安全策略的手段。未设置f i r e w a l l 时，网络安全取决于每台主机的用户。 防火墙在网络系统中的作用 防火墙能有效地防止外来的入侵，它在网络系统中的作用是： 控制进出网络的信息流向和信息包； 提供使用和流量的日志和审计； 隐藏内部i p 地址及网络结构的细节； 提供v p n 功能。 2 j 防火墙技术发展的历史【1 7 】 1 9 8 0 包p唰| l | l2 0 0 0 代理 li 动忑卑过滤 自疆应代理 1 9 9 q 第一代防火墙 图2 - 1 防火墙的发展史 第一代防火墙技术几乎与路由器同时出现，采用了包过滤( p a c k e t f i l t e r ) 技术。 图2 1 表示了防火墙技术的简单发展历史。 第二、三代防火墙 1 9 8 9 年，贝尔实验室的d a v e p r e s o t t o 和h o w a r d t r i c k e y 推出了第二代防火墙， 即电路层防火墙，同时提出了第三代防火墙一应用层防火墙( 代理防火墙) 的初步结 构。 第四代防火墙 1 9 9 2 年，u s c 信息科学院的b o b b r a d e n 开发出了基于动态包过滤 ( d y n a m i c p a c k e t f i i t e r ) 技术的第四代防火墙，后来演变为目前所说的状态监视 ( s t a t e f u l i n s p e c t i o n ) 技术。1 9 9 4 年，以色列的c h e c k p o i n t 公司开发出了第一个基 于这种技术的商业化的产品。 第五代防火墙 1 9 9 8 年，n a i 公司推出了一种自适应代理( a d a p t i v e p r o x y ) 技术，并在其产品 g a u n t l e t f i r e w a l l f o r n t 中得以实现，给代理类型的防火墙赋予了全新的意义，可以 称之为第五代防火墙。 2 4 防火墙的分类； 尽管防火墙的发展经过了上述的几代，但是按照防火墙对内外来往数据的处理方 法，大致可以将防火墙分为两大体系：包过滤防火墙和代理防火墙( 应用层网关防火 墙) 。前者以以色列的c h e c k p o i n t 防火墙和c i s c o 公司的p i x 防火墙为代表，后者以 美国n a i 公司的g a u n t l e t 防火墙为代表。 2 4 1 包过滤防火培 第一代：静态包过滤 这种类型的防火墙根据定义好的过滤规则审查每个数据包，以便确定其是否与某 一条包过滤规则匹配。过滤规则基于数据包的报头信息进行制订。报头信息中包括i p 源地址、i p 目标地址、传输协议( t c p 、u d p 、i c m p 等等) 、t c p u d p 目标端口、i c m p 消息类型等。包过滤类型的防火墙要遵循的一条基本原则是”最小特权原则”，即明确 9 允许那些管理员希望通过的数据包，禁止其他的数据包。 第二代：动态包过滤 这种类型的防火墙采用动态设置包过滤规则的方法，避免了静态包过滤所具有的 问题。这种技术后来发展成为所谓包状态监测( s t a t e f u li n s p e c t i o n ) 技术。采用这 种技术的防火墙对通过其建立的每一个连接都进行跟踪，并且根据需要可动态地在过 滤规则中增加或更新条目。 2 4 2 代理防火墙 第一代：代理防火墙 图2 - 2 包过滤防火墙 代理防火墙也叫应用层网关( a p p l i c a t i o ng a t e w a y ) 防火墙。这种防火墙通过一 种代理( p r o x y ) 技术参与到一个t c p 连接的全过程。从内部发出的数据包经过这样的 防火墙处理后，就好像是源于防火墙外部网卡一样，从而可以达到隐藏内部网结构的 作用。这种类型的防火墙被网络安全专家和媒体公认为是最安全的防火墙。它的核心 技术就是代理服务器技术。 所谓代理服务器，是指代表客户处理在服务器连接请求的程序。当代理服务器得 到一个客户的连接意图时，它们将核实客户请求，并经过特定的安全化的p r o x y 应用 程序处理连接请求，将处理后的请求传递到真实的服务器上，然后接受服务器应答， 并做进一步处理后，将答复交给发出请求的最终客户。代理服务器在外部网络向内部 网络申请服务时发挥了中间转接的作用。 1 0 代理类型防火墙的最突出的优点就是安全。由于每一个内外网络之间的连接都要 通过p r o x y 的介入和转换，通过专门为特定的服务如h t t p 编写的安全化的应用程序 进行处理，然后由防火墙本身提交请求和应答，没有给内外网络的计算机以任何直接 会话的机会，从而避免了入侵者使用数据驱动类型的攻击方式入侵内部网。包过滤类 型的防火墙是很难彻底避免这一漏洞的。就像你要向一个陌生的重要人物递交一份声 明一样，如果你先将这份声明交给你的律师，然后律师就会审查你的声明，确认没有 什么负面的影响后才由他交给那个陌生人。在此期间，陌生人对你的存在一无所知， 如果要对你进行侵犯，他面对的将是你的律师，而你的律师当然比你更加清楚该如何 对付这种人。 图2 - 3 传统代理型防火墙 代理防火墙的最大缺点就是速度相对比较慢，当用户对内外网络网关的吞吐量要 求比较高时，( 比如要求达到7 5 一l o o m b p s 时) 代理防火墙就会成为内外网络之间的瓶 颈。所幸的是，目前用户接入i n t e r n e t 的速度一般都远低于这个数字。在现实环境 中，要考虑使用包过滤类型防火墙来满足速度要求的情况，大部分是高速网( a t m 或千 兆位以太网等) 之间的防火墙。 第二代；自适应代理防火墙 自适应代理技术( a d a p t i v ep r o x y ) 是最近在商业应用防火墙中实现的一种革命 性的技术。它可以结合代理类型防火墙的安全性和包过滤防火墙的高速度等优点，在 毫不损失安全性的基础之上将代理型防火墙的性能提高1 0 倍以上。组成这种类型防 火墙的基本要素有两个：自适应代理服务器( a d a p t i v ep r o x ys e r v e r ) 与动态包过滤 器( d y n a m i cp a c k e tf i i t e r ) 。 图2 叫自适应代理防火墙 在自适应代理与动态包过滤器之问存在一个控制通道。在对防火墙进行配置时， 用户仅仅将所需要的服务类型、安全级别等信息通过相应p r o x y 的管理界面进行设置 就可以了。然后，自适应代理就可以根据用户的配置信息，决定是使用代理服务从应 用层代理请求还是从网络层转发包。如果是后者，它将动态地通知包过滤器增减过滤 规则，满足用户对速度和安全性的双重要求。 2 5 防火墙的发展趋势 防火墙技术经历了包过滤、应用代理网关、再到状态检测三个阶段。 防火墙技术的发展离不开社会需求的变化，着眼未来，我们注意到以下几个新的 需求。 远程办公的增长。这次全国主要城市先后受到s a r s 病毒的侵袭，直接促成大 量的企事业在家办公，这就要求防火墙既能抵抗外部攻击，又能允许合法的远程访问， 做到更细粒度的访问控制。现在一些厂商推出的v p n ( 虚拟专用网) 技术就是很好的解 决方式。只有以指定方式加密的数据包才能通过防火墙，这样可以确保信息的保密性， 又能成为识别入侵行为的手段。 内部网络“包厢化”( c o m p a r t m e n t a l i z i n g ) 。人们通常认为处在防火墙保护 下的内网是可信的，只有i n t e r n e t 是不可信的。由于黑客攻击技术和工具在i n t e r n e t 上随手可及，使得内部网络的潜在威胁大大增加，这种威胁既可以是外网的人员，也 可能是内网用户，不再存在一个可信网络环境。 由于无线网络的快速应用以及传统拨号方式的继续存在，内网受到了前所未有的 威胁。企业之前的合作将合作伙伴纳入了企业网络里，全国各地的分支机构共享一个 论坛，都使可信网络的概念变得模糊起来。应对的办法就是将内部网细分成一间间的 “包厢”，对每个“包厢”实施独立的安全策略。 第3 章下一代互联网络技术一i p v 6 下一代互联网始于1 9 9 6 年美国克林顿政府的n g i ( n e x tg e n e r a t i o ni n t e r n e t ) 计划，与目前使用的互联网相比，它的传输速度更快、规模更大、更安全。世界上大 部分国家，包括中国，第一代互联网建设沿用的都是美国的标准，包括底层技术和核 心设备；互联网的巨大变革力量使得各国在下一代互联网研究上展开了激烈了竞争， 力图在下一代互联网标准和核心技术上取得更大的发言权并由此更多地获得新技术 对社会发展的好处。虽然直至今天我们仍然无法看清下一代互联网的全貌。然而技术 上的种种侧面已经逐渐显现：i p v 6 对网络安全性的有效支持，是最具魅力之处。下面 主要介绍i p v 6 与i p v 4 的比较，i p v 6 协议安全体系的结构，i p s e c 与防火墙。 3 1 i p v 6 与i p v 4 的比较 i p v 6 与i p v 4 报头格式的比较【2 】【7 1 ： 表3 1i p v 4 报头格式 4 b i t 版本4 b i t 头标8 b i t 服务 1 6 b i t 数据包长度 号长度类型 d fm f 标准偏移 标识( 1 6 b i t ) 量( 1 6 b i t ) 生存时间头标校验和 传输协议( 8 b i t ) ( 8 b i t )( 1 6 b i t ) 发送地址( 3 2 b i t ) 信宿地址( 3 2 b it ) 选项( 8 b i t ) l l 填充 1 4 表3 - 2i p v 6 报头格式 4 b i t 版本号4 b i t 优先级2 4 b i t 流量标识 数据长度( 1 6 b i t )下一包头( s b i t )跳数限制( 8 b i t ) 起始地址( 1 2 8 b it ) 目的地址( 1 2 8 b i t ) i p v 6 继承了i p v 4 的所有优点，主要改变如下： 1 扩展地址空间：i p 地址长度由3 2 位增加到1 2 8 位，这样就可以提供更大的可用地 址，更多的地址字段，更简便的远程配置，多目路由改进为增加一个多目地址字段并且 定义了一个新的地址类型：组地址( a n y c a s e ) 。 2 更简单的i p 头部：为了减少对数据包的处理以及节约带宽i p v 6 头部去掉了一些 i p v 4 头部中的内容。 3 增加了扩展头和选项：i p v 6 头部的选项允许更多的有效前导信息，从而减少选项长 度的限制，并且更有利于将来扩展新的选项。一些i p v 4 头部的内容在i p v 6 中变成了 可选项。 4 流标签能力：对那些需特殊处理的数据包，如实时服务的数据包，i p v 6 提供了一种 新的q o s 能力，它在数据包中增加了一个f l o w l a b e l i n g 段。 5 安全性：i p v 6 提供了更多的安全方面的选项，如身份认证、数据完整性、数据安全 性等。 3 2 i p v 6 协议安全体系的结构 3 2 1i p s e c 协议简介 i p s e c 3 1 1 4 1 5 】( i ps e c u r i t y ) 产生于i p v 6 的制定之中用于提供i p 层的安全性由于 所有支持t c p i p 协议的主机进行通信时都要经过i p 层的处理所以提供了i p 层的安 全性就相当于为整个网络提供了安全通信的基础。i p s e c 的安全体系i p s e c 是由 i e t f 下属的一个i p s e c 工作组起草的在i p 协议层上保证数据分组在i n t e r n e t 网络中 、 、- 、 具有互操作性高可靠性和基于密码技术的安全服务标准i p s e c 的有关标准以请求注释 ( r f c ) 的方式予以公开这些标准由r f c l 8 2 5 ( i n t e r n e t 协议安全体系结构) r f c l 8 2 6 ( i p 鉴别头) r f c l 8 2 7 ( i p 封装安全载荷) 及用于鉴别和封装载荷的若干算法标准构成一个 体系。 i p s e c 的工作原理类似于包过滤防火墙可以看作是对包过滤防火墙的一种扩展当 接收到一个i p 数据包时包过滤防火墙使用其头部在一个规则表中进行匹配当找到一 个相匹配的规则时包过滤防火墙就按照该规则制定的方法对接收到的i p 数据包进行 处理。 在i p s e c 中由三个主要协议来提供认证数据完整机密性三种保护形式分别为认证 协议【4 1 ( a h ) 安全加载封装【5 1 ( e s p ) 和i n t e r n e t 密钥交换协议( i k e ) 需要先引入一个非常 重要的术语s a ( s e c u r i t ya s s o c i a t i o n 安全关联) 。所谓安全关联是指安全服务与它 服务的载体之间的一个连接a h 和e s p 都需要使用s a 而i k e 的主要功能就是s a 的建 立和维护。 3 2 2 认证机制 下一首翻 i 认汪最掘长度i 妊冒 安全参破j t 射fl 位序号 f 曩或多十耗缸字， 图3 - 1d i 头的结构 ( 1 )下一首部( 8 b i t ) ：表明紧接着a h 头的下一个可选头的类型： ( 2 )认证数据长度( 8 b i t ) ：表示认证数据的长度，以3 2 位字为单位，取值范围从0 2 2 5 ： 1 6 ( 3 )保留( 1 6 b i t ) ：保留给将来使用目前必须置为0 ： ( 4 )安全参数索引( 3 2 b i t ) ：用来指定报文对应的安全关联值为0 时，表明没有安 全关联与该报文对应： ( 5 )3 2 位序号( 3 2 b i t ) ：于1 9 9 7 年修订版本中增加的内容，用于防止“重发 攻击： ( 6 )认证数据( 长度可变) ：3 2 b i t 字的整数倍在完整的i p v 6 头部里，有些内容在传 输过程中发生改变，例如标准头部中的“跳数限制”域、路由可选头等，ah 应放在这 些头的后面，紧邻在a h 前面的首部中的下一首部域的值应等于5 l ，下图所示 巨巫互臣口三亘习 图3 2 包含有a h 的i p v 6 6 报文结构 a h 只涉及到认证不涉及到加密实现和处理都比e s p 简单封装原节点选择恰当的协 议模式和验证算法以3 2 位字的形式封装成a h 扩展头后并将其前一扩展头的下一个头 字段标为5 1 然后插在i p v 6 报头的合适位置接收目标节点在接收到含有a h 头的i p 包 后检查是否是分段的i p 包如果是则将其保留下来直到这个包的其他分段都收齐时重 新组合成一个完整的i p 包根据a h 头中的s p i 检查对应的s a 是否存在如果不存在则 丢弃此包再根据序列号检查是否是重播的包如果是同样丢弃此包否则将这个完整的 包传递到身份验证器( 存在于相应的s a 中) 中进行身份验证并将验证出的结果数据与 从包中提取出的身份验证数据进行比较如果一致接收并拆封i p 包否则发送错误信息 并丢弃工p 包。 认证数据的计算 a h 中的认证数据是通过对i p 报文用某种安全性很强的单向函数计算而得的这些 函数是认证算法的核心，必须具有很高的安全强度才能达到提高信息传送安全性的目 的这样，即使报文内容和认证数据被窃听者所掌握，窃听者也不能从这些信息中逆推 出认证密钥因此，传统的用来求数据校验和的算法不能用来做认证计算在发送一个 i p 报文前，发送方会定位该报文所对应的安全关联安全关联一般有面向进程和面向 主机两种选取方法在面向进程选取安全关联的方法中，安全关联的选取是根据报文 1 7 的目的地址和发送该报文进程的进程号来进行此时，同一进程发送到同一目的地址 的i p 报文都使用同一个安全关联而面向主机的选取方法中，安全关联的选取则根据 报文的目的地址和发送该报文的主机地址来进行因此，同一台主机上发往同一个目 的地址的i p 报文使用相同的安全关联所有的安全关联都是单向的，也就是说从a 机 发往b 机使用的关联并不等于从b 机发往a 机的i p 报文所使用的关联 认证算法除完成对报文发送者的认证以外，其另一个功能就是防止数据被其他 人篡改在i p 报文的正常传输过程中，有一些域需要作正常的修改，例如i p 头中的“跳 数限制”域，i p s e c 在计算时把它们当作全0 字节处理对i p v 6 中的可选头，每一个都 有一个标志指示i p s e c 是否在计算认证数据时将该可选头计算进来接收方收到对方 传来的报文后根据a h 中的s p i 值找出对应的安全关联，再根据关联的认证数据进行比 较，若两者相等，则认为报文满足了认证和完整性的要求否则，该报文要么就是伪造， 要么就是在传输过程中已被他人篡改i p s e c 默认的认证算法是m d 5 对有特殊认证要 求的用户，也可选用其他的认证算法但每一个支持i p s e c 的系统都必须实现m d 5 算 法 3 r 3 加密机镧 i p s e c 通过对报文加密，并将加密数据放置在e s p 中来实现i p 报文的加密传送 根据用户要求，i p s e c 既可只加密i p 报文中的高层协议部分( 如t c p 、u d p 等) ，也可对 整个报文全部加密使用e s p ，i p s e c 可以为用户提供对i p 数据报的保密及数据完整性 的支持 e s p 结构下图所示 i，2 乜安全参矗寮射l 阿 l，2 缸序号 l i 图3 - 3e s p 结构 ( 1 ) s p i ( 3 2 位长) ：与a h 头部中的s p i 功能相同： ( 2 ) 序号( 3 2 位长) ：主要用于防止“重发”攻击； ( 3 ) 加密数据和参数：格式随加密算法而变化： ( 4 )认证数据( 可变长) ：长度依算法而定，用于保护s p i 及序号不被篡改i p s e c 没 有限制e s p 头在i p v 6 头部结构中的位置，可出现在标准头部和报文数据