（通信与信息系统专业论文）基于移动ipv6的防火墙研究与实现.pdf

a b s t r a c t 钾 i t ht h eh i g h 一 s p e e dd e v e l o p m e n t ，c o 叩u t e rn e t w o r ki su s e di n帕n y 份 a y s ， s u c h a sp o l i t i c s ， e c o n o 则， a n d c u l t u r e . n e t w o r k i s b e c o 田 i n g a n i m p o r t a n t p a r t i no u rl i f e .a tt h es amet i m e ，n e t w o r ks e c u r i t yi sb r e a k i n go p e nd i r e c t l y ， n e t w o r k s e c u r i t yi s u n p a r a l 1 e l e d r e g a r d e d b roa d 1 y n o 甘 a d a y s . a s o n e o f t h e m o s t 1 叩o r t a n tt e c h n o 1 o g yo fn e t w o r ks e c u r i t y ，f i r e w a l lt e c h n o l o g yi sb e c o m i n g an i m p o r t antw a yi nt h er e s e a r c ho fn e t 份 o r ks e c u r i t y ， i p v 6h a s s omes p e c i a l i t i e s ， s u c ha sl i m i t l e s sa d d r e s ss p ace ， s e c u r i t y s u p p o r ta n d mob i 1 i t ys u p p o r t i nf u t u r e ， m o r ea n d m o r ew l r e l e s se q u i p m e n t s w i l lc o n n e c tt oi n t e r n e t a n d m o b i l i t ys h o u l d b e t h e肋s ti m p o r t a n t a t t r i b u t e o fl n t e r n e t ， 5 0田b i l ei p v 6w i 1 1b eap r e f e r r e ds c h e m ew h i c hc a np r o v i d e m o bi l e co lll m u n i c at i o n i no r d e rt oe n s u r et h es e c u r i t yo fs i g n a 1a n dt h et r a n s p a r e n c yo f c o nunu n i c a t i o nb e t . e e n h o m en e t w o r ka n dm o b i l e n o d e s ， w e 讲o p o s eas o l u t i o n 汕i c hs p e c 至 f yh o ，t ou s ei p s ec i n for !nat i o nv a l i d a t et op r o t e c t助b i l e1 p v 6 s i g n a l i n gb e t w e e nm o b i l en o d e sa n df i r e 贾 a l l .f i r e w a l lb a s e do nt h es o l u t i o n c a ns o 1 v et h ep r o b 1 e mw h i c ht h es i g n a l i n gb e t w e e nh o m en e t w o r ka n dm o b i l e p o t s c a n n t t h r o u g hf i r e w a 1 l a n d e n s u r e t h e c o n f i d e n t i a l i t y o f c o 咖u n i c a t i o n b e t 贾 e e n h o m e n e t 份 o r k a n d m o b i l e n o d e s . a n d b e c a u s e t h e s o l u t i o n o n l ye s t a b l i s h i p s ec t u n n e lb e t w e e nf i r e w a l la n dmob i 1 en o d e s ， i tc o n s u m el e s ss y s t e m r e s o u r c ea n di sm o r ep r a c t i c abl e .a n dt h el a s tp a r to ft h ep a p e ri st h e r e a l i z a t i o no ft h i sf i r e w a l lu n d er l i n u xo p e r a t i n gs y s t 舰 a n dt h et e s to f t hi sfi r e w al l . k e 卿o r d s ln e t ， 。 r k s e c u r i t y ， i p v 6 ， m o b i l e i p v 6 ， i p s e c ， f l r e wa l l 声明 本学位论文是我在导师的指导下取得的研究成果， 尽我所知，在本 学位论文中，除了 加以标注和致谢的 部分外，不包含其他人已 经发表或 公布过的研究成果，也不包含我为获得任何教育机构的学位或学历而使 用过的材料。与我一同工作的同事对本学位论文做出的贡献均已 在论文 中作了明确的说明。 研 究 生 狐 妙斗 风 年 ， : 月 啪 学位论文使用授权声明 南京理工大学有权保存本学位论文的电 子和纸质文档， 可以借阅或 上网公布本学位论文的全部或部分内容，可以向 有关部门或机构送交并 授权其保存、借阅或上网公布本学位论文的 全部或部分内 容。 对于保密 论文，按保密的有关规定和程序处理。 研 究 生 签 名 :户粤加 年 * : 日 硕士学位论文基于移动ipv6 的防火墙研究与实现 绪论 1 . 1 论文研究的背景和意义 网络安全是一个普遍受到人们关注的课题。 可以预言， 今后几年社会将进入一个 全面网络时 代， 信息共享时代。 网络安全 十分重 要， 只有网络安全才可以 保证网络生 活能够有序 进行， 网 络系 统不遭破坏， 信息不被 窃取， 网络服务不 被非 法中断等。 另 一方面，目 前的网络正在遭受很多威胁和攻击， 网络中存在很多不安全的因素。 诸如， 黑客入侵、信息泄露等。甚至可以武断地说，目前尚没有绝对安全的网络。为此，我 们需要研究和掌握更多的 安全技术。 防火墙是网络安全的一个重要保障。目前， 它在网络安全保护中起到不可替代的 作用。 新一 代防 火墙技术 有了很大 提高，比 如多端口 、 n at技术、 安全审 计、 加密防 毒等， 这些 愈发 使得防火 墙具有了 举足轻重的 作用 j 。 当 然，目 前防火 墙技 术也存在 着许多不足 之处， 如智能性较差等等， 这些都是 我们需 要研究的 地方。 由于 i nternet 的发展迅猛异常，目前广泛使用的 工 p v4 协议出现了地址枯竭、 安 全缺陷、 性能不高 和配置复杂等一系列的问题， 因 此， 从 i p v4 向i p v6的升 级是不可 避免的。由于吸取了工 p v4在设计上的缺陷和对未来应用扩展性的考虑，i p v6 增强了 对移动性的支持， 并将 工 psec 协议集成到 工 p v6 协议之中使得 工 p v6的安全性大大增强。 随 着将来越来越多的无线 设备接 入 i nternet ， 移动性成为对互连网的重要期 望，因 此移动 i p v6 成为一种在全球因特网上提供移动功能的首选方案。而对移动节点在移 动到外地网络后与家乡网 络及通信节点之间通 信的 安全性， 以 及防火墙如何 对移动节 点 与家乡网络之间数 据包进行过滤以 保证家乡网 络的 安全成为当 前研究的一 个热点。 未来移动通信与互联网的结合将是网络发展的大趋势之一。 移动互联网将成为日 常 生活的一部分。 移动互联网不仅 仅是 移动接入互联网 ， 它还提供一系列以 移 动性 为 核心的多种增值服务， 如查询本地化信息、 远程 控制工具及购物付款等。 作为 正在逐 步取代i p v4协议的 下一代网络层协议， i p v6协议 提供了 对移动互联网接入的 更好的 支持，即移动 i p v6 技术。它的主要设计目标是当移动节点在改变网络接入点时不必 改变节点原有的ip地址就能够在移动过程中保持 通信的 连续性。 这是移动 技术和ip 协议的深层融合， 也是对现有通信方式的深刻 变革。 移动 ip技术能够让用 户在漫游 的 过程中自 由的实 现 i n t ernet接入并得到 个性 化的内 容服务。 在 3g 标准 i m t z o 00 中已 明确规定第三 代移动通信系统必须支持移 动 ip分 组业务。 i p v6 己 经成为 实现计 算机网和通 信网结 合的 一个契机. l p v 6 是“ i n t e r n e t p r o t o c o l v e r s i o n 6 ” 的 缩写 ， 也 被 称 作 下 一 代互 联 网 协 议 1 绪 论硕士学位论文 i p n g ( i p n e x t g e n e r a t i o n ) ， 它是由i etf ( i n t e r n e t e n g i n e e r i n g tas k f o r c e ) 设计并用 来代替 先行的i p v 4 协议的一种新的 ip协议。随 着 工 nternet 的 发展， i p v4 的局限越 来越暴露出 来， 这些局限性严重制约了ip技术的应 用和未来网 络的发展。 i p v 6 作为下一 代网 络的 基础以 其鲜明的技术优势得到广泛的 认可。 因此， 对支持i p v6 协 议的防 火墙进行研究是很有必要的。 本文 基于 r f c 3 7 7 5(m o b i l el n t e r n e t p r o t o c o l v e r s i o n6 ) ， 对移动 i p v 6 协 议 进行了 深入的 研究。同 时分析了移动 i p v6 技术自 身可能带 来的安全威胁以及协议 所提供的 安全机制， 并在基于 提高 执行效率的思路上提出了 在移动 i pv6 下 移动节点 和家乡节 点之间实施i psec信 息验证的一 种设计方案。 由 于涉及到ip s ec加 密通道的 问 题， 给防火墙的包过滤功能带 来了 挑战， 因 此利用现 有的 移动工 p v6、 工 p s ec 以 及相 关的 成熟技术解决本地节点移 动到 外地网络时与家乡网 络之间 通信的透明性， 以及 所 传输数据的安全性问题，具有较强的理论意义及实际应用价值. 1 . 2 国内 外研究的现状 在过去十几年间，以 工 nternet 为代表的信息网络给人们的生活带来了巨大的变 化， i nternet己 经逐渐成为 人们日常活 动中不可缺少的部分。 现在 人们生活节奏越 来越快，随着移动技术的迅猛发展，手机、笔记本电脑等便携式移动设备大量应用， 用户希望在日 常生活和商务 环境中 能够使用这些设备方便的上网， 而 且在移动过程中 能够保持网络接入和连续通 信。 但是由于目 前主要是以 固定方式 接入 in t ernet ， 而 原来的 i p v4 协议 对网络节点 的移动性支持不够。巨 大的商业需求给网 络技术带来了 新的机遇，也带来了新的技术难题. ( 1 )国外研究发展状况 由于i p 地址资 源分配的不均衡和各国在互联网 领域发展 状况的 不均衡从而导致 了i p v 6 在全 球的 产业化发展呈现出不均衡的状况。 总 体说来， i pv6 正在全球受到各 方面 越来 越多的 重视。目 前世界上在 i p v6 的研究和应用方面比 较领先的国 家主要有 日 本、 欧盟 一些国 家和美国 ， 但是它们的发展历程和发展战略 也不尽相同， 各有各自 的优势和特点。 日 本是互联网的后起国家， 由 于电 子设备和信息家电 产业的高度发 达， 产生了 对 ip地址的 迫切需求， 因此日 本 在 工 p v6研究和应用方面步 伐大、 速度快， 而且在i p v6 产品 化、 商业化推广方面几乎走 在世界的最前列。 2 0 01 年 3 月， 在日 本政府制定的 it基本战 略和 e 一 japa。 计划中就明 确设定日 本要在2 o 05年完成互联网向工 p v6 的过 渡， 成为信息化最先进的国 家之一。为此，日 本政府投入专项资金来发展 i p v6， 支 持 普及并促进下一代网 络标准i p v6 的发 展， 支持互联网 信息家电 ( 信息家电的i p v6 硕士学位论文 基于移动 ip ， 6 的防火墙研究与实现 化) 的 研究 开发， 建立日 本万兆比 特网(jgn ) 并 使其成为产学研的工 p v6支撑平台。 由 于政府重视、 企业积极，目 前日 本在 i p v6 的 研发与应 用方面走在世界的 前列。日 本 全国 利用工 p v6的环 境正日益 完善。 欧洲在互联网方面落 后于美国， 但在移动通信方面却领先于美国， 所以欧 洲发展 i pv 6 的 基本战略是“ 先移动， 后固定” ， 希望在工 p v6方面掌 握先机，通 过3g标准的 部署 来实 现在未来互联网领域与 美国 并驾齐驱的目 标。欧盟 理事会 工 p v6特派 组的 工 作目 标是: 2 0 03年推出i p v6服务。 制订 下一代移动通信系统气价一 2 0 00” 标准的3 g pp ( t h i r d g e n e r a t 1 o n p a r t n e r s h i p p r o j e c t )已 经在2 0 0 0 年5 月 决定在3 g p p 的基本 协议中 采用 工 p v 6 。 相关人员认为: “ 手 机将率先 正式使用 i pv6 ” 。 如果在手 机电 话业 务中配备 i p v6， 那么很可能在短时间内几亿手机用户将成为 i p v6 标准的用户。从这 个意义上来说，移动通信行业有可能是率先采用 i p v6 的行业。欧洲目前已经建立了 e u r o 6ix 和6net等 工 p v6 试验网 络， 进行有关推广，部署 i pv6 的 准备，欧 洲各大厂 商也都加快了 i p v6 开发和产品化进行，各种试验项目正逐步成熟。 美国由于是 i p v 4的发源地，因此无论在地址资源和商业应用方面都占据了先天 的 优势， 在i p v4主导 的传统互联网 领 域的 领先地位和 ip地址资源优势， 因此目 前既 没有地址 短缺的 忧虑， 又很不愿意改 动花费大量资本构建的 工 p v4 商 业网络体系， 所 以目 前主 要是以 世界i p v6研究、 协调中 心的面目 出 现的， 研究 和开 发i p v 6 的主 要组 织如工 etf ，6 b one 等都在美国。 但美国 在 i p v6的商业化推广方 面的 力度没有日 本和 欧洲大。 最近，由 于美国新经济发展受阻，需要寻找 新的商 机，同 时北美 对宽 带 ip 服务有大 量的 潜在需求，对 i p v6 的 需求逐渐明 显。 同时美国也不 希望失去在 互联网 领域的主 导地位和市场优势。所以美国 对待 i p v6的态度现在己 经有所变化。 各主要 厂商出于商 业利益考虑开始支持工 p v6，己 经或者准备推出 支持i p v6 的 试验性产品。 ( 2) 国内研究发展状况 由于 种种原因， 中国 在 工 p v4 的 发展中处于相对 落后的 状态， 从 而导致在ip地址 的供需上 严重失 衡，中 国是全球最需 要 ip地址资源的国家之一。同时 ，中国 作为 一 个互联网 和移动通信大国， 势必要 在下一代互联网标准和资源分配中力 争占 有更重要 的地 位。i p v 6作为 核心基本技术，势必将带动大量 相关技 术和服务的 发展，以 提升 中国 信息 通信产业的 整体实力，为中国 的信息产业带来全新的发展 和机遇。 随 着 20世纪末期中国 通信业的 持续高速发展，中国通信业正 成为全球通 信产业 的主要力 量， 并且 成为 通信新技术和应用 发展的主要市 场。 在新型通 信技术和业务的 发展下，i p v 6所提供的巨 大的地址空间以 及所具有的 诸多 优势 和功能，使其 成为 构 筑下 一代网 络的 重要基础。以工 p v6为核心技术的下一代网络在中国 正在受到 越来越 多的重视， 它将在高品质、多样化的未 来通信业务发展中 发挥举足 轻重的 作用。 中国 对 i p v6 的 研究开始于 1 9 98年。 2 0 00 年， 天地互连信息技术 有限 公司建立 1 绪 论硕士学位论文 了中国第 一个面向 商用的i pv6 试验床， 并加入了6b one 。 2002年 3 月，中国空间自 动控制学 专家杨嘉择等57 名院士在 “ 两 会” 期间联名上书，向中央建议 “ 建设 我国 第二 代因 特网的 学术性高速主干网” ，受到国务院高 度重视。随即天 地互连信息技术 有限公司 与信息产业部电信传 输所联 合发 起成立了6 t n e t( i p v 6 t e l e c o m t r i a l n e t ) 组织， 联合国内 外运营商、i pv6厂商及主要 研究 机构， 共同 搭建多 运营商和多厂商 的工 p v 6 试验平台，致力于中国的i p v6推广与商用化进程。 随 着互联网 在全球的迅猛发展，国家 “ 8 6 3 ”计 划信息 技术领域通信技术主题也 适时地对其战略研究方向进行了调整。从 19 99 年开 始， “ 8 6 3 ” 计划全速转向 i pv6 关键技术的研究和开发。在会上，国家 “ 8 63”计划通信技术专家组组长郭云飞围绕 “ ipv6技术发展策略” 发表了 演讲， 介绍了国家“ 8 63” 计划 信息、 技术领域通信技 术主题中 i p v6 的战略研究方向及相关的工 p v6 课题项目。到目前为止， “ 863 ” 计划通 信主题己部署了包括“ 高性能 工 p v6 路由 器基础平台及实验系统” 、 “ 高性能 工 p v6 路由 器协议软件” 、 “ i p v6 协议测 试技术” 等重 大专项在内的 课题项目 。 今后，围 绕c n gi 项目，国家 “ 8 63” 计划还将继续积极开展 i p v6 方面的关键技术重大课题研究。2 0 04 年 12 月 25 日， 全球规模最大的 工 p v6 互 联网 一中国下 一代互联网 示范工程 核心网 cernetz 正式在北京开通。 c e r n e tz 即第二 代中国 教育 和科研计算机网， 是 “ 中国下 一代互联网示范 工程cngi” 中 最大的 核心网 和唯一学术网， 它以2 . s gbps飞 民bps 速 率 连接全国20个主要城市的 c e r n e tz主干网的 核心节点， 为全国高校和科 研单位提 供1 飞沉b ps 的高 速工 p v6接入服务， 并 通过中国 下一代互联网交换中心c n g i 一 61x ， 高 速连接全 球的 下一代互联网。 c e 朋etz 将 支持全新的更 丰富的下一代互联网的重大 应 用， 主要包括: 网 格计算、 高 清晰度电 视、 大规模视频通信、 个人移动视频 语音通信、 智能交通、环境地震监测、远程医疗、远程教育等。 对于移动 i p v 6 ，在l i n u x系 统中， m i p l ( m o b i l ei p v 6fo rl i n u x ) 是实现移 动 i p v 6的软件模块，该模块前期是由芬兰赫尔辛基技术大学 ( ijut ， h elsinki u n i v e r s i t y o f t e c h n o l o g y ) 的s o f t ， ar e p r o j e c t 项目 开 发 ， 现 在 由 赫 尔 辛 基 大 学 的 通信与多媒体实验室的 00/ c ore项目 组负责后续的开发工作。目 前其最高版本 m i p v 6 一 1 . 1 一 v z . 4 . 2 6 ，是 基于 l i n u x 一 2 . 4 . 2 6版本，参照 i p v 6的 移动性支持的第 2 4 版草案 ( r fc3 7 7 5 )实现的。 而针对工 p v6下的防 火墙己 经有很多 科 研机构及厂商 作了很多工作。 i p v6包过滤 在思科路由 器中己 经提供，思 科在 2 0 04年3 月提 供延 伸的a cl在他们的工 05当中。 并且正在开展 i p v 6c b a c( c o n t e x tb a s e a c c e s s c o n t o r l )与c i s c oplx 防火墙的 开发工作。一些日 本的 厂商， 例如日 立以 及j uni p er n et 钓rks 的 路由 器产品也支持 i p v 6 过滤. c h e c k p o i n t 在2 0 0 4 年9 月也宣布 他们准备要 提供 i p v 6 的 防火墙. 另外在开 放源码防火墙中 也开始处理工 p v6防火墙过 滤，l i nux 核心己 经包含了 硕士学位论文 基于移动 ip帕的防火墙研究与实现 能 够过滤i p v6 的n etf i l t er套件。不过这 个过滤器只有基本的过滤，并没 有状态过 滤。 在 b sd 这 边， ope n b sd 系统的封 包过滤 器己 经比较完备，不过 针对 i p v6扩展头 的处理还没有。一个 u n i x用过的过滤套件 i p f i l t e r ，用于 s u ns o l ari s 、p r e e b s d 之中的过滤器，也能做 i p v6 的封包过滤，不过不能在这些封包上做状态过滤。 1 . 3 论文的 组织结构 ( 1) 本文的主要工作 研究与工 p v6协议及工 p v6对移动性的支 持的相关的r fc， 熟悉移动工 p v6的 操 作过程、对 i p v6 节点的要求以及移动 i p v 6 的安全性。 研究i p s ec协议相关的r fc。 深入了 解i p s ec协议的 架构、 ah头、 e sp头的 协议内容及其在移动 ipv6 中的使用。 研究防火 墙的 工作原理及防火墙的几种 包过滤方法。 设计一 种对防火墙和移动节点之间的通 信进行 i p s ec认证处理的方 法， 用于 解决i pv6 下 移动节点在外地网络与家乡网络之间的 通信穿越防火墙的问 题，并 保证 了移动节点与家乡网络之间通信的安全性。 最后设计了 移动i p v6下的防 火墙的 试验与实 现方案， 在l i nux 操作系统下 将 该防火墙进行了实现，并对其进行了测试。 ( 2 )本文的 章节和内 容安排如下: 绪论，介绍 本论文的 研究背景、 研究意义、国内 外研究的 现状; 网络安 全， 介绍网 络安全、 面临的网 络威 胁以 及网 络安全技术简介; 防火墙技术， 介绍防火墙技术基本概念、实 现原理， 主要功能模块和分类; 工 p v 6 协议及移动 i p v6 的 简介， 介绍 i p v6 协 议、移动i p v6 的 新特性及其 操 作过程; 移动i p v6安 全性的 研究， 介绍 移动工 p v6对安全性的支持， i p s ec技术 简介; 移动i pv6 下防火墙技术的研究， 详细分析针对移动工 p v6 的 数据包进行过 滤 的防火墙存在的问 题， 在此基础上研究了 移动 i p v6 防 火墙的设 计框图、 流程图，并 提出试验和实现 方案， 在l i nux 操作系统下将该防 火墙进行了实 现。 结论， 对本文研究的技术进行总结与展望， 为后续工作奠定基础。 2网络安全 硕士学位论文 2网络安全 2 . 1 网络安全的概述 2 . 1 . 1 基本定义 网络具有跨国界、 无主管、 不设防、 开放、自 由 、 缺少 法律约束力等特性， 网 络 的 这些 特性显示了 它的 许多 优点， 但同 时也使得它可受来自 各 个方面的 入侵和攻击。 由于网络的定义 有许多 种， 所以 有关网络安全的定义也有所不同。 有的定 义说: 网 络 安 全就是 保护网 上保存 和流动的数据， 不被他人偷看， 窃取或修改。 也有的认为:网 络 信息安 全是指保护信息 财产， 以 防止偶然的或未授 权信息的 泄漏、 修改 和破坏， 从 而导致信息的 不可行或无法处理。 综合起来看， 网 络安 全是 指利用网 络管理控制和技 术措施，保证在一个网络环境里，信息数据的机密性、完整性及可使用性受到保护。 网络安全的主要目标是要确保经网络传送的信息， 在到达目的地时没有任何增加、 改 变、丢失 或被非法读取图 . 2 . 1 . 2 理想的 安全网 络应具有的 特征 一个理想的安全网络应有如下几个特征: ( 1) 保密性: 信息不泄露给 非授权的 用户、 实体或过程，或供其利用的特性。 ( 2 )完整性:数据未经授权 不能进 行改变的 特性，即 信息在存储或传输过程中 保持不被修改、不被破坏和丢失的特性。 ( 3 ) 可用性:可被授 权实体 访问并 按需 求使用的 特性， 即当 需要时应能存取所 需的信息。其中网络环境下拒绝服务、 破坏网络和有关系统的 正常运行等都属于对 可用性的攻击。 ( 4 )可控性:对信息的传播及内容具有控制能力。 2 . 2 计算机网络所面临的 威胁及攻击 2 . 2 . 1 各种网 络威胁 当前的计算机网络系统在许多 方面 存在着弱点， 比 如数据弱点、 软件弱点、 物理 弱点、传输弱点等。当系统接入i nternet 后， 就面临不断增多的各种安全威 胁。这 6 硕士学位论文基于移动印v 6的防火墙研究与实现 些威胁大体可分为两类:一是 对网 络中 信息的 威胁; 二是对网 络中 设备的 威胁。 当 然这些威胁可能是有意的， 也 可能是 无意的， 可能是 人为的， 也可能是非人为 的，主要有以下几种情况: ( 1) 人为的 无意失 误: 一些安全漏洞可能是人为失 误原因造成的， 如:系统安 全配置不当:用户口令选择不慎;帐号随意转借或共享等。 ( 2 )人为的恶意攻击:人为的恶意攻击，正是计算机网络面临的最大威胁，敌 对攻击和计算机犯罪即属于此类。此类攻击一般包括两种情形:一种是主动攻击， 它 以 不同目 的有选择破坏网 络信息的有 效性和完 整性; 另一 种为被动攻击， 它是 在不破 坏网 络正常 运作的 情况下， 对网 络信息进行截获、 窃取、 破译， 从 而获得其 所需 信息。 无论哪种攻击， 都会给网 络带来极大 危害，导致发 生不可知的后果。 ( 3 )网络软件的漏洞和 “ 后门”:网络软件在设计上不可能无缺陷和无漏洞， 恰恰就是这些漏洞和缺陷， 时常被黑客利用做为攻击的首选入口， 世界上，曾经不止 一次出 现黑客攻入网 络内 部的案例， 其原因多数是因为安全 措施不完善的 结果。 另 外 顺便提一下，软件 “ 后门” 一般是开发人员故意预留的，通常情况下外人不知。 倘若 “ 后门”泄密，其后果无法想象。 2 . 2 . 2 各种网络 攻击简介 计算机网 络系统的 广泛应用， 黑客入侵网络事件的频 频发生， 使得网络的安全问 题越来越严重，威胁网络安全的类型主要有以下几种: ( 1 ) 非授权访iq。 没有预先经过同 意就使用网络或计算机资源被 看作非授权访问。 如有意避开系 统 访问控制机制， 对网络设备及资源进行非正式使用， 或擅 自 扩大权限， 越权访问信息。 非 授权访问主 要有以 下几种形式: 假冒、 身份攻击、 非法用户进入网络系统进行违法 操作、合法用户以未授权方式进行操作等. ( 2 ) 信息泄露或丢失。 指敏感数据在有意或无意中 被泄露出去或丢失， 它通常 包括， 信息在传输中丢失 或泄露 ( 如 “ 黑客” 们利用电 磁泄 漏或搭线窃听等方 式可截取机密 信息， 或通过对 信 息流向、 流量， 通信频度和长 度等参 数的 分析， 推断出 有用信息， 如用户口 令、 帐号 等重要信息) ， 信息 在存 储介质中 丢失或泄漏， 通过建立隐蔽隧 道等方式窃 取敏感 信 息等。 ( 3 ) 破坏数据完整性。 以 非法手段窃得对数据的使用权， 删除、 修改、 插入或重发某 些重要 信息， 以 取 得有益于攻击者的响应，同时干扰用户的正常使用。 2网络安全 硕士学位论文 ( 4 ) 拒绝服务攻 击。 拒绝服务攻击是一种 破坏性 攻击， 它是旨 在彻底地阻止用户使用自己 的计 算机的 一种侵袭。 它不断对网络 服务系 统进行干扰， 改变其正常的作业流程， 执行无 关程序 使系统响应减慢甚至瘫痪， 影响正常用户的使用， 甚至使合法用户不能进入计 算机网 络系统或不能得到相应的 服务。 信息轰炸是实现拒绝服务攻击的最简单和最普 通的 方 法， 聪明的 侵袭者也能通过其他方法禁止服务， 例如将信息重定路由 或替换它 们等等。 ( 5) 利用网络传播的病 毒。 计算机病毒被发现十多年来， 其种类以几何级数在增涨， 受害的计算机数量每年 增加一倍，很多病毒的 泛滥还带 来了 灾难性的 后果。 同时病毒机理和变种不断 演变， 并通过网络快速地 广泛传播， 比如， 病毒可以通过电子邮 件、 软 件下 载、 文 件服务器 等侵入网络内 部，传 输介 质可以 是光纤、电 缆或电 话线。 它们动辄删除、 修改文 件， 导致 程序运行错误、 死机， 甚至于毁坏硬件。 人们虽然对于在单 机环境下的 病毒防治 取得了很大成就。 但计算机网络无疑对病毒防治工作提出了新的挑战。 网络的普及为 病毒检测与消除带 来了 很大的 难度， 使病毒的破 坏性大 大高于 单机系 统， 而且 用户很 难防范，成为计算机及其网络安全的又一大公害。 ( 6 )来自 内部网的 安全问 题。 据不完全统计， 企业内部数 据的被泄漏， 有8 0%左右是由 于 有企业内部 人员的参 与， 来自企业内部的安全问题不容忽视。 解决这类问题， 好的管理体制是必不可少的， 但只 有结合 对企 业内 部系统安全问 题有较为全面的考虑，才能比较 彻底. ( 7 )e 琳工 l 的安全问题。 e 琳i l 服务是 应用最为广泛的网 络服务之一， 但与e 琳il 相关的网络协议都 没有全面的 考虑安全问 题。 现 在e mail信件在网 上传输， 就 像没有 盖上 信封的 信件通过邮 政系统传递， 没有任 何安 全可言。 所以 用e 琳il进行数 据传送， 数据泄密可能是不知不觉的。 2 . 3 网 络安全技术简介 上面论 述了 种种网 络威胁和攻击， 它 们对网 络安全具有极大影响。 下面 将研究保 护网络安全的几种技术。 网 络设 计之初只考虑到网络的方便性、 开放 性， 这使得网 络非常脆弱， 极易受到 破坏， 无论这种破坏是有意的还是无意的。 为了 解决 这个问 题， 专家做了 大量研究， 主要包括数 据加密、 身份认证、 数字签名、 防火墙、 安全审计、 安 全管理、 安全内 核、 安全协议、 ic卡 ( 包括存储卡、 加密存储卡、 c pu卡) 、 拒绝服务、 网 络安 全性分析、 网络信息安全监测、信息安全标准化等方面。 硕士学位论文基于移动 护v6 的防火墙研究与实现 这其中， 密码技术应 称作网 络安全的核心技 术。 因为密 码技 术是目 前解决网 络上 信息传输 安全的主要方法。 对于密码 技术， 目 前公开的 加密 算法远多 于1 00种， 根据 密钥性 质不同 ，常见加密算法可分为 传统密钥体制 ( c o n v e n t i o n a l c r y p t o s y s t e m s ) 和公开密 钥体制 ( p u b l i c k e y c r y p t o s y s t e m s ) 。需要指出的是， 密码技 术的 安全性 不仅依赖 于加密算法的 设计， 而且也取 决于安全协议所设计的安 全性上。众 所周知， t c p / i p 协议安全性不够。目前对此改进的方法有一些，如n ets c a pe 在应用层和传输 层间增加 一个安全子层，即安全套接子 层s s l ( s e c u r e s o c k e t l a y e r ) 。 还有 e i t 公司的安全超文本传输协议 s http，在协议的应用层对信息进行加密，提供点对点的 安全交互。 防火 墙是保障内 部网络安全的最有 效手段。 防火 墙在防 止非法入 侵、 确保内部网 络安全上， 是目前最有效的一种方法。防火墙是一种综合技术， 它涉及网络技术、密 码技术、软件技术、1 50 的安全规范及安全操作系统等多方面。当然，目前防火墙技 术尚不完 善， 其标准也不健全， 实 用效果亦不甚理想。 它 是本文后续章节中论 述的重 点内容。 其它网络安全技术还有审计跟踪、 访问控制、弱点保护、 病毒防范等，这些技术 可以统称为 本地安全技术， 因为 多数是 在本机 ( 或内部网) 上采取的 技术 措施， 此时 暂不多述。 3防火墙技术硕士学位论文 3 防火墙技术 防火 墙是 一种重要 的网 络安全技术， 本章主要分析了 防火墙的 概念 和原理、 防 火 墙的关键技术、防火墙的分类以及防火墙的拓扑结构。 3 . 1 防 火墙的概念和原理 3 . 1 . 1 防火 墙的定 义 防 火墙原是指建筑物大厦用来防止火 灾蔓 延的隔断 墙t3 。 从理论 上讲， 工 n t e rnet 防火墙 服务也属于类似的用来防止外界 侵入的。 它可以防 止 工 nternet 上的 各种危险 ( 病毒 资源盗用等) 传播到 你的网 络内 部。 概括地说，防火 墙是 位于两 个 ( 或多个) 网络间实施网间访问控制的一组组件的集合。 正如前面所说的，防火墙一般是指用来在两个或多个网络间加强访问控制的一 个或一 组网 络设备。 从逻辑上来看，防 火墙是分离器、限 制器 和分析器; 从物理上 来看， 各个防火墙的物理实现方式可以多 种多 样， 但是归 根到 底它们都是一组 硬件 设备 ( 路由器、主机)和软件的组合体;从本质上来看，防火墙是一种保护装置， 它 用来保护网络数据、资源 和合法 用户的 声誉; 从技术上来看， 防火墙 是一种访问 控制技术，它在某个机构的网 络与 不安全的网 络之间 设置障 碍， 阻止对网 络信息资 源的非法访问。 3 . 1 . 2 防火墙的工作原理 防火 墙的工 作原 理是按照事先规定好的配置和规则， 监控所有通 过防火墙的数据 流， 只允许 授权的 数据通过， 同 时记录有关的联接来源、 服务器提 供的通信量以及试 图闯 入者的 任何企图， 以 方便管理员的 监测和跟踪， 并且防火墙本身 也必须能够免于 渗透。 3 . 1 . 3 防火 墙的功能 设 计防火 墙的 根本目 的 就是不要让那些 来自 不受保护的网络 ( 如i n t e rne t) 上 的多余的 未授权的 信息进入专用网络 ( 如l an或w a n ) ， 而仍能 够允许本地网 络上的 合法用 户访问i nternet 服务。 防火墙一 般都可以 拥有下列几种功能: ( 1) 关闭服务，过滤掉不安全的服务和非法用户。 i 0 硕 士 学 位 论 文基于移动ip帕的防火墙研究与实现 ( 2) 包 过滤， 用于强 化安 全策略， 管理进出网 络的 访问 行为; 拒绝发往或者来 自 站点的请求通过防火墙。 ( 3 ) 监视网络， 对网 络进行审计其安全性，同 时可以 报警。 (4) 透明代理，利用网络地址转换技术 (nat)，将有限的 ip地址或静态地址 与内 部的ip地址 对应起来， 不 仅可以缓解地 址空间 的短缺问题。 实际上，网 络地址 转换也避免了泄露内 部网 络的信息， 而内 部使用人却不 会有什么不方 便的感 觉。 ( 5 )日 志记录与流量 控制， 防火墙是进出 信息都必 须通过的 关口 ， 适合搜集关 于系统和网络使用 和误用的信息。利用此关口 ，防火 墙能在网 络之间 进行记 录. 可 以在这里进行审计，记录 i nternet 连接使用费用， 并能找出宽带网络的流量瓶颈的 位置， 并能够依 据本机构的核算方式提供各部门的 使用费 用。 ( 6 ) 可以连接到一个单独的网络上，在物理上与内部网络隔开，并部署 w w w服 务器和 盯p 服务器，作为向外部发布内部信息的地点。 3 ， 2 防火墙的 关键技术分析 防火 墙有三类基本 模型: 包过滤路由 器、 应用层网关和电路 层网 关。 它们涉及的 关键技术主要是包 过滤、代理、s ocks、状态检测、 nat 和v pn等。 3 . 2 . 1 包过滤技术 包过滤模块工作 在网 络层，准确的 位置在传统的链路 层之上， t c p / ip 协议栈之 下。它在链路层向 ip层返回 ip报文时，于 ip协议栈之前截获 ip包。 它通过检查每 个报文的源地址、目 的地址、传输协议、端口号、ic淤 的消息类型等信息与预先配 置的安全策略 ( 过滤逻辑规则) 匹配情况， 来决定是否允许该报文通过。 还可以根据 t c p 序列号、 tcp 连接的握 手序列 ( 如s yn， a c k) 的 逻辑分析等进行判断， 可以 较为 有效地 抵御类 似 i p s p o o f i n g ，s y n f l o o d i n g ， s o u r c e i p a d d r e s s s p o o f i n g ， s o u r c e r o u t i n g ， t i n yfra g m e n t 等类型的攻 击 ， 。 包过滤技术的优点: 标准的路由软件中都内置了包过滤功能， 因此无需额外费用。 另外 对于 用户和应用透明， 也就是说不需要用户名和 密码来登录， 用户无须改变使 用 习惯，运行速度快。 包过滤技术的缺点:配置访问控制列表比较复杂， 要求网 络管理员对 i nter net 服务 有深入了 解; 没有 跟踪记录能力， 不能 从日 志记录中发 现黑客 的攻击记录; 不能 在用户级别上进行过滤，即 不能 鉴别 不同的 用户和防止ip地址盗 用;只检查地址 和 端口， 对通过网 络应用链路层协议实现的威胁无防范能 力: 无法抵御数据驱动型攻 击; 能 够或 拒绝特定的 服务， 但是不能理解特定服务的上 下文环境和数据: 包过滤规则数 1 l 3防火堵技术 硕 士 学 位 论 文 目增加会消耗路由器的内存和 c pu 的资源，使路由器的吞吐量下降。 3 . 2 . 2 代理技术 代理实际是设置在i nternet 防火墙网关上有特殊功能的应 用层代码， 是在网 络 管理员允 许下或 拒绝的 特定的 应用程序或者特定服务，还可 应用于实 施数 据流监控、 过滤、记录和报告等功能。 代理的 工作原 理比 较简单， 首先是用户与 代理服 务器建立连接， 然后将目 的站点 告知 代理， 对于合 法的请 求， 代理以自 己的身 份 ( 应用层网 关) 与目的 站点建立连接， 然 后代理 在这两 个连接中 转发数据。 其主 要特点 是有状态性， 能完全提供与应用相关的状态 和部分 传输方面的 信息， 能提供全部的审计和日志功能，能隐藏内部 ip 地址，能够实现比包过滤路由器更严 格的安全策略。 它针对每一个特定应用都有一个代理模块， 管理员可以根据自己的需 要安装相应的代理。 一般情况下每个代理相互无关， 即使某个代理工作发生问题， 只 需将它简单地卸出，不会影响其它的代理模块，也保证了防火墙的失效安全。 代理的一个显著缺点就是处理信息量方面有瓶颈。 由于代理要处理入和出的通信 量，因而要比简单的包过滤程序慢得多。而且每增加一种新的媒体应用， 还必须对代 理进行新的设置. 3 . 2 . 3s ocks 技术 5 优ks 是 n ec ( 美国) 公司 1 998年提出并应用于防火墙技术的新协议标准。 s ocks 是一个电路层网关的标准，目前的版本为 v ersion s 。s ocks 主要由一个运行于防火 墙系统上的代理服务器软件包和一 个连 接到各 种网络 应用程序的 库文件包组成。 它只 中 继基于t c p 数据包， 只 需要改变客户端的 程序， 这 样的 结构使得用户能根据自己 的 需要定制代理软件， 从而有利于增添新的应用。 许多公司的 产品己 经支持5 戊ks， 如 n e t s c a p e 和i e 浏 览 器 。 3 . 2 . 4 状态检侧技术 状态检测又称动态包过滤，是在传统包过滤上的功能扩展，最早由 c h ec k p oin t 提出。 状态检测作为防 火墙技术其安全特性最佳， 它采用了 一个在网关上执行网络安 全策略的软 件引擎， 称为 检测模块。 检测模块在不影响网络正常工作的前提 下， 采用 抽取相关数据的方法对网 络通信的 各层实施监 测， 抽取部分数据， 即 状态 信息， 并动 态地保存起来作为以后制定 安全决策的 参考。 l 2 硕士学位论文 基于移动ipv6的防火墙研究与实现 检测模块支持多 种协议和应用程 序， 并可以很容易 地实 现应用和服务的扩充. 但 其配置非常复杂，而且会降低网络的速度。 3 . 2 . 5 网络 地址转 换技术 网络地址转换的主要功能就是通过将 ip报头上的未经注册的ip地址替换为合法 的、己获 注册的 ip地址，使整个局 域网的 上的 所有主机都可以 访问 i nternet 。 n at