基于IPv6的防火墙和IDS的研究-计算机应用技术专业论文.docxVIP

声 声 明 本学位论文是我在导师的指导下取得的研究成果，尽我所知，在 本学位论文中，除了加以标注和致谢的部分外，不包含其他人已经发 表或公布过的研究成果，也不包含我为获得任何教育机构的学砬或学 历而使用过的材料。与我一同工作的同事对本学位论文做出的贡献均 己在论文中作了明确的说明。 研究生签名：—壑址 ∥‘年7月7稠 学位论文使用授权声明 南京理工大学有权保存本学位论文的电子和纸质文档，可以借阅 或上网公布本学位论文的部分或全部内容，可以向有关部门或机构送 交并授权其保存、借阅或上网公布本学位论文的部分或全部内容。对 于保密论文，按保密的有关规定和程序处理。 研究生签名：—蔓址≯肿占年7月／男目 硕士论文 硕士论文 基于Ⅱh，6的防火墙和ID$的研究 I绪论 1．1问题的提出 IP协议诞生于70年代中期，解决的是网络连接和计算机通讯。IPv4作为IP 协议的第4版把各种网络的主机连接起来，在全球Internet的发展中起到了关键 的作用。但是，由于IPv4在设计之初在资源限制上较为保守，所以现在Internet 的爆炸性增长引发了网络地址不足的危机，并且这个危机日益增重，按目前入网主 机的增长速度，据IETF(互联网工程任务组，The Internet Engineering Task Force， 简称IETF)预测，基于IPv4的地址资源将会在2005～2010年枯竭；另外，出于安 全和信息私密性的考虑，越来越多的政府部门和商业机构不再愿意在不安全的网络 上发送他们敏感的信息和进行明文的信息交流，从而导致对加密和认证的需求飞速 增长。另外，由于IPv4地址方案不能很好地支持地址汇聚，现有的互联网正面临 路由表不断膨胀的压力；同时，对服务质量、移动性和安全性等方面的需求都迫切 要求开发新一代IP协议。 基于以上原因，IETF于1994年正式提出的Internet协议第六版(IPv6)作为下 一代网络协议。IPv6采用128位地址长度，几乎可以不受限制地提供地址，彻底解 决了IPv4地址不足的问题。为了加强安全性，IPv6中定义了认证报头(AH)和封 装化安全净荷(ESP)，从而使IPv4中仅仅作为选项使用的IPsec协议作为了IPv6 的有机组成部分，增强了IPv6在网络层上的安全性。 IPv6的出现从某些方面确实增强了系统的安全性，但是这不能说只要有IPv6， 就可以确保网络安全了，这里面有很多原因，最重要的是，安全包含了各个层次， 各个方面的问题，不是仅有一个安全的网络层就可以的，如果入侵者从网络层以上 的应用层进攻，即使是再安全的网络层也是无济于事的。即使只从网络层来看，IPv6 也不是十全十美的。 这样说来，我们的各种网络安全工具即使是在IPv6的环境下，也是必需的。 但是，当前的网络安全体系是基于现行的IPv4协议，当前的各种网络安全工具， 诸如防火墙、IDS等，大部分也是在基于IPv4协议下开发的。然而，IPv6的安全 机制对这些安全工具产生了巨大的影响(后面章节会具体谈到)，我们可能会说， 那就不用IPv6协议了，但是IPv6是大势所趋，正如前面提到的一样。因此，如何 在IPv6下开发这些安全工具，以使我们的网络在新的协议下，能更加安全，成了 摆在我们面前的重大问题。 本文正是基于这样的问题开展的，主要目的是为了解决在IPv6下防火墙和IDS 的设计，以使它们能用于新的网络协议环境下． 硕士论文 硕士论文 基于Ⅱ，v6的防火墙和ID$的研究 1．2本文的结构 第一章介绍了本文的研究背景。 第二章简要介绍了网络安全的基本知识，提出了作为静态安全技术的防火墙和 作为动态安全技术的IDS的重要地位和特点。 第三章首先介绍了IPv6协议的概念，接着介绍了IPv6网络的安全性、各种安 全保障机制以及IPv6安全机制对现有网络安全系统的冲击，最后提了IPv6的发展 状况。 第四章首先介绍了防火墙技术的概念、功能、特点和分类以及工作原理和优缺 点，接着讨论了IPv4防火墙的现状，最后提出了IPv6防火墙需要考虑的问题以及 目前的IPv6防火墙。接着介绍了IDS概念、分类、检测过程、系统功能和目前IDS 存在的缺陷，接着谈到了下一代IDS系统采用的技术，最后介绍了IPv6下的IDS 关键技术。 第五章则基于前几章所提到的知识以及目前的一些研究成果，在Fedora Core 4 Linux环境下，设计实现了一个IPv4／IPv6双栈防火墙，并进行了简单的测试。 第六章则基于开放源码的网络入侵检测系统snort的基础上，设计了同时支持 IPv4和IPv6的IDS。 第七章提到了防火墙和IDS的协同，并且在现有研究成果的基础上，设计了一 个可以运用到IPv6环境下的防火墙和入侵检测系统协同的系统模型和两者联动的 网络模型