IPSec和IP Filter在路由器中研究与应用.docVIP

IPSec和IP Filter在路由器中研究与应用 　　摘 要：计算机广泛应用和网络的普及，给整个社会经济建设和人民生活带来巨大价值，不过由于在互联网早期采用IPV4协议，安全性方面较低，随着网络的广泛应用安全问题越来越为突出，IPSec提供了更高的网络安全标准。本文就IPSec和IP Filter在路由器中的应用进行了研究，提出以路由器为平台利用IPSec和IP Filter提高网络安全的设计思想。 　　关键词：IPSec；IP Filter；路由器；嵌入式系统 　　中图分类号：TN915.08 　　在计算机网络不断发展的今天，人类社会信息化水平得到全面推进，大量企业、个人、政府的信息在网络上传输和存储，这些信息中有的信息具有公共性，有的信息具有隐秘性，由于计算机网络的开放性和互连性，使得网络容易受到黑客、病毒等的攻击，造成信息泄露和信息破坏等问题，给社会经济和人民生活带来不良影响，尤其是一些敏感数据遭到攻击更可能引发极为严重的问题，因此网络安全问题极为重要。在网络发展中，顺应网络安全的需要，产生了多种网络安全机制，提高了网络安全水平，但依然还有很多需要改进的地方，尤其是早期所采用的IPv4互联网协议标准在安全性上具有明显的缺陷，急需提供新的网络安全标准，IPSec最终在1995年公布，成为新一代网络安全标准。目前，大量企业、个人、政府等网络用户普遍使用路由器进行网络接入，下面本文根据路由器软件功能模块，就IPSec和IP Filter在路由器中的应用进行研究。 　　1 IPSec在路由器中的应用 　　1.1 IPSec协议体系 　　IPSec是基于IP网络的开放性IP安全标准框架，为局域网、广域网、Internet的信息传输安全提供保障。在网络上，IP包本身并不具备安全性，因此给黑客等造成地址伪造、内容修改、传输窃听等空间。IPSec通过网络层上设备间数据传输的IP报文进行保护与验证，能有效提高数据机密性、完整性，并对数据源进行认证，确保证报文不存在重复，对IP及上层协议提供保护。IPSec包括验证头、封闭安全载荷、密钥交换、转码等组件。在其安全策略中，决定了数据通信对象、安全服务、数据处理策略、密钥管理方式等。目前常用的IPSec有传送模式和隧道模式两种模式，传送模式与上层协议头之间插入特殊IPSec头，用以保护上层协议，隧道模式则对整个IP包进行封装用以保护整个IP数据包。 　　IPSec协议分为AH协议和ESP协议两种，AH协议对报文进行附加加密处理，但对不受保护的报文部分则不进行加密，其协议头由5个固定长度域和一个认证数据域构成，使用MAC算法对IP进行认证。ESP协议模式比AH协议模式增加了更多的功能，包括数据保密功能和数据流保密服务，其协议头由四个固定长度的域和三个可变长度域组成，采用密钥密码加密算法，同样利用MAC算法进行IP认证。 　　1.2 路由器分析 　　路由器是一种协议相关设备，通过路由选择来实现不同网络的联系。在路由器使用中，当路由器接收到数据报文后，通过检验的正确的数据包，则根据数据包报头信息和路由表来决定路由，对报头进行修改将报文发送至相应网段，这是路由器工作的基本原理，也是其基本功能。不过为了提升网络安全水平，路由器逐渐增加了安全访问控制、身份验证等安全技术方面的支撑。常用的路由器软件包括应用协议模块、安全功能模块、路由功能模块、系统配置模块、网络接口驱动模块、网络接口模块几个部分。IPSec主要应用于路由器协议栈之中。 　　1.3 IPSec在路由器中的实现 　　在路由器中实现IPSec协议，可以采用直接集成和接口连接两种方式。直接集成是将IPSec集成在路由器OS上，将IPSec作为网络层来实现，这就需要在路由器内核源码中增加IPSec支持功能，使IPSec集成到路由器内核IP模块中，采用这种实现方式IPSec是作为路由器操作系统的内核部分，能有效的降低功能重构现象，并提高IPSec配置的灵活性和操作性，能更容易的提供安全服务，实现密钥管理、IPSec协议、网络层的无缝链接。接口连接是单独构建IPSec设备，将其直接通过物理接口与路由器连接，采用这种方式，IPSec设备不进行任何路由算法，仅只承担数据包安全保障工作，但这种方法很容易造成功能上的重复。两种方法各有优缺点，在实际应用中应当根据需要采用相应的方法。 　　2 IP Filter在路由器中的应用 　　2.1 IP Filter分析 　　IP Filter是目前软件防火墙中的典型产品，具有强大的功能，安装较为容易。IP Filter的功能包括过滤和路由两个部分，其中IPf实现数据报的过滤，IPnat实现路由功能。在IPf中，利用配置文件来执行规则，规则的执行按照从上到下的顺序执行，但不同于其它包过滤软件