IPv6防火墙研究与设计.docVIP

常熟理工学院 《网络安全》 课程设计报告 课题名称： IPv6防火墙研究与设计 姓 名： 学院/系： 专 业： 学 号： 指导教师： 提交日期： IPv6防火墙研究与设计 摘 要: 随着网络安全问题日益严重，网络安全产品也被人们重视起来。防火墙作为最早出现的网络安全产品和使用量最大的安全产品，也受到用户和研发机构的青睐。对防火墙的原理以及分类、作用进行详细的介绍。 1 引言 随着Internet 的发展，IPv4 协议的缺陷逐渐暴露出来，例如I P v4 地址将很快被耗尽，通信安全没有保障。所以需要新的协议来解决这一问题。I E T F 于1995 开始开发IPv6，它是下一代Internet 的核心协议。I P v6 带来的不仅是足够的I P 地址，同时还带来了其他更重要的特性：安全性、支持QoS、支持移动通信、可扩展性、更有效的层次化地址和路由结构缩小了骨干网路由器路由表的规模、支持相邻节点互动、消灭了局域网广播的产生。正因为这样，I P v6 将会逐步取代I P v4。目前，中国在I P v6 的应用上走在了世界的前列。教育和科研计算机网（CERNET）、中国电信和近200 家高校都已建立或加入了I P v6 试验床。相信不久，以I P v6 为核心的下一代nternet 在中国会得到更大的普及。防火墙是网络安全的一个重要的环节，目前常用的防火墙是针对IPv4 的，对于IPv6 无效，本文提出一种基于IPSec 创建IPv6 防火墙的方法，并给予实现。 2 IPSec IPSec 是一系列基于IP 网络的、由IETF（互联网工程任务组）正式定制的开放性I P 安全标准。I P S e c 细则首先于1995 年在互联网标准草案中颁布。I P S e c 可以保证局域网、专用或公用的广域网及Internet 上信息传输的安全。I P S e c 通过认证和钥匙交换机制确保企业与其他组织的信息往来的安全性与机密性。 2.1 IPSec 体系结构 IPSec 协议包括：AH（验证头）、ESP（封装安全载 荷）、IKE（Internet 密钥交换）、ISAKMP/Oakley 以及 转码。IPSec 各组件之间的交互方式如图1 所示。 验证头（A H）用于为I P 提供数据完整性、数据原始身份验证和一些可选的、有限的抗重播服务。正如整个名称所示，A H 通过一个只有密钥持有人才知道的“数字签名”来对用户进行认证。这个签名是数据包通过特别的算法得出的独特结果；A H 还能维持数据的完整性，因为在传输过程中无论多小的变化被加载，数据包头的数字签名都能把它检测出来。不过由于A H 不能加密数据包所加载的内容，因而它不保证任何的机密性。两个最普遍的A H 标准是MD5 和S H A -1，M D5 使用最高到128 位的密钥，而SHA-1 通过最高到160 位密钥提供更强的保护。AH 的格式如图2 所示。 图2 AH 的格式 封装安全负载（E S P）通过对数据包的全部数据和加载内容进行全加密来严格保证传输信息的机密性，这样可以避免其他用户通过监听来打开信息交换的内容，因为只有受信任的用户拥有密钥才可打开内容。E S P 也能提供认证和维持数据的完整性。最主要的E S P 标准是数据加密标准（DES），DES 最高支持56 位的密钥，而Triple-D E S 使用三套密钥加密，那就相当于使用最高到168 位的密钥。由于E S P 实际上加密所有的数据，因而它比AH 需要更多的处理时间，从而导致性能下降。ESP 的格式如图3 所示。 图3 ESP 的格式 2.2 IPSec 的工作模式 IPSec 有两种工作模式：传输模式和隧道模式，见图4。 (1) 传输模式：传输模式使用原始明文I P 头，并且只加密数据，包括它的TCP 和UDP 头。 (2) 隧道模式：隧道模式处理整个I P 数据包——包括全部TCP/IP 或UDP/IP 头和数据，它用自己的地址作为源地址加入到新的I P 头。当隧道模式用在用户终端设置时，它可以提供更多的便利来隐藏内部服务器主机和客户机的地址。 2.3 安全联盟 安全联盟（SA）是构成IPSec 的基础。SA 是两个通信实体经协商建立起来的一种协定。它们决定了用来保护数据包安全的IPSec 协议、转码方式、密钥以及密钥的有效存在时间等等。任何IPSec 实施方案始终会构建一个SA 数据库（SADB）