基于IPv6的防火墻設(shè)計(jì)與研究

【摘要】本文系統(tǒng)介紹了基于IPv6的防火墻設(shè)計(jì)與究。根據(jù)協(xié)議內(nèi)容對(duì)傳統(tǒng)的防火墻進(jìn)行了完善和改進(jìn)，完善之后的防火墻系統(tǒng)不僅具有傳統(tǒng)防火墻的應(yīng)用代理以及分組過濾等功能，還增加了IP數(shù)據(jù)報(bào)認(rèn)證源地址，數(shù)據(jù)加解密以及分組檢驗(yàn)完整性等功能。

【關(guān)鍵詞】IPv6防火墻設(shè)計(jì)研究

近年來，因特網(wǎng)的發(fā)展迅猛，因特網(wǎng)的主機(jī)數(shù)量也以每天數(shù)以萬計(jì)甚至更多的速度在增長，網(wǎng)絡(luò)規(guī)模迅速增大，很多供應(yīng)商開拓了例如電子商務(wù)等的商業(yè)項(xiàng)目，此外，因特網(wǎng)也逐漸深入到政府和軍事領(lǐng)域。但是與此同時(shí)出現(xiàn)的安全問題也不容忽視，攻擊、入侵因特網(wǎng)的狀況經(jīng)常發(fā)生，主要包括以下兩種形式[1]：（1）利用系統(tǒng)或者是配置管理上的漏洞，以及操作者的誤操作或者是低劣的編輯軟件等漏洞攻擊或入侵網(wǎng)絡(luò)系統(tǒng)。（2）再就是利用網(wǎng)絡(luò)協(xié)議的漏洞攻擊網(wǎng)絡(luò)的這種較為復(fù)雜的攻擊形式，主要原因是傳統(tǒng)的IP協(xié)議沒有數(shù)據(jù)加解密、數(shù)據(jù)認(rèn)證、身份認(rèn)證等功能。目前，防火墻可以很好的抵御第一種攻擊，但是很難對(duì)抗協(xié)議內(nèi)在漏洞的攻擊形式。IPv6這種新版IP協(xié)議的安全機(jī)制主要有認(rèn)證和加密兩部分內(nèi)容，它可以認(rèn)證和加密網(wǎng)絡(luò)層的全部分組。

一、IPv6體系

IPv6的安全機(jī)制中的保密和認(rèn)證主要是通過ESP保密凈荷封裝以及AH認(rèn)證頭來完成的。

ESP保密凈荷封裝的工作模式主要有以下兩種：（1）ESP傳輸模式。ESP傳輸模式中ESP需要加密傳輸層的如ICMP、UDP、TCP等數(shù)據(jù)段，在數(shù)據(jù)段和IP頭之間加入ESP數(shù)據(jù)頭，分組格式為：IP頭→其他IP頭→ESP數(shù)據(jù)頭→目的端可選數(shù)據(jù)報(bào)頭→數(shù)據(jù)段→ESP相關(guān)信息。（2）ESP隧道模式。ESP隧道模式中，需要加密整個(gè)的IP分組，在原分組之前增加ESP數(shù)據(jù)報(bào)頭，重構(gòu)路由信息充足的新的IP頭，分組格式為：新IP頭→新擴(kuò)展數(shù)據(jù)報(bào)頭→ESP數(shù)據(jù)報(bào)頭→IP頭+上層數(shù)據(jù)段+ESP相關(guān)信息。ESP隧道模式主要針對(duì)有保密網(wǎng)關(guān)或者是防火墻的場(chǎng)合。

二、防火墻設(shè)計(jì)

傳統(tǒng)的防火墻采用分組過濾的形式，面對(duì)IPv6主要有以下幾個(gè)問題：（1）防火墻需要過濾IP端口號(hào)以及使用的協(xié)議，經(jīng)過ESP加密就無法獲得這些信息，從而使防火墻性能降低。（2）ESP隧道模式需要加密全部分組，非法主機(jī)可以趁機(jī)連接網(wǎng)絡(luò)內(nèi)部主機(jī)，而且這種攻擊很難被防火墻發(fā)現(xiàn)。針對(duì)這些問題，我們?cè)诜阑饓Φ脑O(shè)計(jì)過程中采用不同的方案，增加保密和認(rèn)證機(jī)制，從而達(dá)到不同程度的安全性。

一方案：過濾分組路由器。這種防火墻系統(tǒng)主要是增加一個(gè)分組過濾路由器在因特網(wǎng)和內(nèi)部子網(wǎng)之間，允許通過或截止通過等的判斷是由這個(gè)路由器來決定的。這種方案的優(yōu)點(diǎn)是對(duì)客戶端透明并且成本低，但它的安全性能較低，因?yàn)槿魏巫泳W(wǎng)主機(jī)都可以進(jìn)行外部數(shù)據(jù)交換，穿透路由器后就可以攻擊主機(jī)。

改進(jìn)這種方案的方案可以以增加過濾規(guī)則檢測(cè)有無ESP數(shù)據(jù)報(bào)頭或AH在過濾原則中，這樣就可以在IPv6使用時(shí)完成簡(jiǎn)單的認(rèn)證，但是無法認(rèn)證分組數(shù)據(jù)。如果對(duì)AH數(shù)據(jù)報(bào)頭進(jìn)行校驗(yàn)則需要有適宜的密鑰，解決方法一是由主機(jī)發(fā)送密鑰；二是使用公鑰密碼。

二方案：屏蔽網(wǎng)關(guān)。這種防火墻系統(tǒng)是配置一個(gè)基站主機(jī)和過濾路由器在因特網(wǎng)和子網(wǎng)之間，在內(nèi)部子網(wǎng)設(shè)置基站主機(jī)，在網(wǎng)絡(luò)和基站主機(jī)之間設(shè)置過濾路由器。過濾原則必須只有基站主機(jī)可以接通外部主機(jī)，阻塞全部的外部流量。這種方案的安全性較高，可在應(yīng)用層和網(wǎng)絡(luò)層之間進(jìn)行雙重過濾。

三方案：子網(wǎng)屏蔽。這種防火墻系統(tǒng)使用一個(gè)基站主機(jī)和兩個(gè)路由器，在因特網(wǎng)和內(nèi)部子網(wǎng)之間形成一個(gè)獨(dú)立的子網(wǎng)，也就是屏蔽子網(wǎng)。外部路由器在屏蔽子網(wǎng)和因特網(wǎng)之間可以達(dá)到不同程度的過濾。屏蔽子網(wǎng)允許基站主機(jī)只能接內(nèi)部子網(wǎng)和因特網(wǎng)，阻塞所有企圖繞過屏蔽子網(wǎng)的流量[2]。

方案三相比于方案二來說就有更高級(jí)別的安全性，因?yàn)榻邮芑痉纸M的內(nèi)部路由器可以形成第二道防線。內(nèi)部路由器需要根據(jù)安全級(jí)別和源地址對(duì)基站流量進(jìn)行過慮，并且加密分組。通過因特網(wǎng)來自子網(wǎng)的流量經(jīng)內(nèi)部路由器處理時(shí)，需要解密分組，基站主機(jī)加密封裝并且轉(zhuǎn)發(fā)流量。這些方案的實(shí)現(xiàn)都需要一套特有的密鑰分配協(xié)議。

三、小結(jié)

本文系統(tǒng)介紹了基于IPv6的防火墻設(shè)計(jì)與究。根據(jù)協(xié)議內(nèi)容對(duì)傳統(tǒng)的防火墻進(jìn)行了完善和改進(jìn)，完善之后的防火墻系統(tǒng)不僅具有傳統(tǒng)防火墻的應(yīng)用代理以及分組過濾等功能，還增加了IP數(shù)據(jù)報(bào)認(rèn)證源地址，數(shù)據(jù)加解密以及分組檢驗(yàn)完整性等功能。各個(gè)防火墻設(shè)計(jì)方案的實(shí)現(xiàn)還需要進(jìn)一步的改進(jìn)和完善。

參考文獻(xiàn)

[1]周增國，李忠明. Linux平臺(tái)下Netfilter/IPtables包過濾防火墻的研究與應(yīng)用[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2008（1）：49-50.

[2] Hunt C. TCP/IP Network Administration. 2nd Editor. Cana-da： O’ ReillyAssociates， 1997