双层IPSec与防火墙协同工作一个设计方案.docVIP

双层IPSec与防火墙协同工作一个设计方案 　　摘 要：IPSec是为Internet通信提供安全服务的一组标准协议，它封装了传输层中的一些重要信息，而防火墙则需要访问报文中的信息进行控制处理。针对如何能够让IPSec和防火墙协同工作提出一种双层IPSec处理思想：将IP报文分为协议头和数据两部分，使用复合安全关联(Composite SA)对其进行安全处理，使IPSec和防火墙可以各取所需，从而给出上述问题的一个解决方案。该方案的优点在于安全主机与防火墙之间复合安全关联的协商灵活多变，与传统IPSec相比协议格式变化不大，传输效率较高。 　　关键词：双层IPSec； 防火墙； 协同； 复合安全关联 　　中图法分类号：TP393．08 文献标识码：A 文章编号：1001-3695(2006)10-0107-03 　　Investigation on Schema of Cooperation of DL??IPSec and Firewall 　　DAI Ren??dong, WANG Shang??ping, WANG Xiao??feng, HOU Hong??xia 　　(College of Science, Xi’an University of Technology, Xi’an Shanxi 710048, China) 　　Abstract:IPSec is a suite of standard protocols that provides security services for Internet communications, it encapsulates some important information of the transport layer of IP datagram, however, firewall requires the information above to process the access control work. About the problem of cooperation of IPSec and firewall, a technology of Double??Layer IPSec is provi??ded, that is doing IPSec processes on protocol head and data in IP datagram separately, so we can solve the problem above. The advantage of our schema is the negotiation of Composite SA is variable between hosts and firewalls, changes of the format of IP datagram is very small and the transportation of imformation is efficient. 　　Key words:DL??IPSec; Firewall; Cooperation; Composite SA 　　 　　1 引言 　　 　　随着Internet在全世界的普及，网络系统的安全性问题也日益突出。在各种安全性的解决方案中，IPSec和防火墙技术脱颖而出，成为备受业界青睐的两种安全技术。 　　IPSec是IETF设计的网络安全协议。它能够提供的安全服务包括访问控制、无连接的完整性、抗重播攻击保护、数据源认证、机密性等安全服务。这些目标通过三大协议：认证首部协议AH[2]、封装安全载荷协议ESP[4]和自动密钥管理协议IKE[3]的协同使用来完成。防火墙则是采用综合网络技术的专用网络安全设备，是设置在被保护网络和外部不可信任网络之间的一道关卡，用于分隔被保护网络与外部网络系统，防止发生不可预测的恶意入侵。它是不同网络或网络安全域之间信息的唯一出入口，能通过访问IP报文中传输层的协议头信息控制出入信息流，以保护本地系统或网络。 　　防火墙主要是用来保护内部网络的，IPSec主要是用来保护数据在网络上传输时的安全，所以很多时候需要这两种技术协同工作以保护整个网络的数据安全。然而，如果将这两种技术简单地组合在一起，就会引起一定的问题：IPSec需要将整个IP报文(隧道模式)或整个网络层数据(传输模式)作为整体进行加密或验证处理；而防火墙则需要访问IP报文中传输层的协议头信息进行访问控制处理。这种根本性的冲突使得在一个分布式的环境下如何让IPSec和防火墙协同工作成为一个实际困难的问题。 　　目前针对上述问题存在的几种解决方案，我们分析了其中的两种：Multi??