基于IPv6的防火墻設計與研究

【摘要】本文系統介紹了基于IPv6的防火墻設計與究。根據協議內容對傳統的防火墻進行了完善和改進，完善之后的防火墻系統不僅具有傳統防火墻的應用代理以及分組過濾等功能，還增加了IP數據報認證源地址，數據加解密以及分組檢驗完整性等功能。

【關鍵詞】IPv6防火墻設計研究

近年來，因特網的發展迅猛，因特網的主機數量也以每天數以萬計甚至更多的速度在增長，網絡規模迅速增大，很多供應商開拓了例如電子商務等的商業項目，此外，因特網也逐漸深入到政府和軍事領域。但是與此同時出現的安全問題也不容忽視，攻擊、入侵因特網的狀況經常發生，主要包括以下兩種形式[1]：（1）利用系統或者是配置管理上的漏洞，以及操作者的誤操作或者是低劣的編輯軟件等漏洞攻擊或入侵網絡系統。（2）再就是利用網絡協議的漏洞攻擊網絡的這種較為復雜的攻擊形式，主要原因是傳統的IP協議沒有數據加解密、數據認證、身份認證等功能。目前，防火墻可以很好的抵御第一種攻擊，但是很難對抗協議內在漏洞的攻擊形式。IPv6這種新版IP協議的安全機制主要有認證和加密兩部分內容，它可以認證和加密網絡層的全部分組。

一、IPv6體系

IPv6的安全機制中的保密和認證主要是通過ESP保密凈荷封裝以及AH認證頭來完成的。

ESP保密凈荷封裝的工作模式主要有以下兩種：（1）ESP傳輸模式。ESP傳輸模式中ESP需要加密傳輸層的如ICMP、UDP、TCP等數據段，在數據段和IP頭之間加入ESP數據頭，分組格式為：IP頭→其他IP頭→ESP數據頭→目的端可選數據報頭→數據段→ESP相關信息。（2）ESP隧道模式。ESP隧道模式中，需要加密整個的IP分組，在原分組之前增加ESP數據報頭，重構路由信息充足的新的IP頭，分組格式為：新IP頭→新擴展數據報頭→ESP數據報頭→IP頭+上層數據段+ESP相關信息。ESP隧道模式主要針對有保密網關或者是防火墻的場合。

二、防火墻設計

傳統的防火墻采用分組過濾的形式，面對IPv6主要有以下幾個問題：（1）防火墻需要過濾IP端口號以及使用的協議，經過ESP加密就無法獲得這些信息，從而使防火墻性能降低。（2）ESP隧道模式需要加密全部分組，非法主機可以趁機連接網絡內部主機，而且這種攻擊很難被防火墻發現。針對這些問題，我們在防火墻的設計過程中采用不同的方案，增加保密和認證機制，從而達到不同程度的安全性。

一方案：過濾分組路由器。這種防火墻系統主要是增加一個分組過濾路由器在因特網和內部子網之間，允許通過或截止通過等的判斷是由這個路由器來決定的。這種方案的優點是對客戶端透明并且成本低，但它的安全性能較低，因為任何子網主機都可以進行外部數據交換，穿透路由器后就可以攻擊主機。

改進這種方案的方案可以以增加過濾規則檢測有無ESP數據報頭或AH在過濾原則中，這樣就可以在IPv6使用時完成簡單的認證，但是無法認證分組數據。如果對AH數據報頭進行校驗則需要有適宜的密鑰，解決方法一是由主機發送密鑰；二是使用公鑰密碼。

二方案：屏蔽網關。這種防火墻系統是配置一個基站主機和過濾路由器在因特網和子網之間，在內部子網設置基站主機，在網絡和基站主機之間設置過濾路由器。過濾原則必須只有基站主機可以接通外部主機，阻塞全部的外部流量。這種方案的安全性較高，可在應用層和網絡層之間進行雙重過濾。

三方案：子網屏蔽。這種防火墻系統使用一個基站主機和兩個路由器，在因特網和內部子網之間形成一個獨立的子網，也就是屏蔽子網。外部路由器在屏蔽子網和因特網之間可以達到不同程度的過濾。屏蔽子網允許基站主機只能接內部子網和因特網，阻塞所有企圖繞過屏蔽子網的流量[2]。

方案三相比于方案二來說就有更高級別的安全性，因為接受基站分組的內部路由器可以形成第二道防線。內部路由器需要根據安全級別和源地址對基站流量進行過慮，并且加密分組。通過因特網來自子網的流量經內部路由器處理時，需要解密分組，基站主機加密封裝并且轉發流量。這些方案的實現都需要一套特有的密鑰分配協議。

三、小結

本文系統介紹了基于IPv6的防火墻設計與究。根據協議內容對傳統的防火墻進行了完善和改進，完善之后的防火墻系統不僅具有傳統防火墻的應用代理以及分組過濾等功能，還增加了IP數據報認證源地址，數據加解密以及分組檢驗完整性等功能。各個防火墻設計方案的實現還需要進一步的改進和完善。

參考文獻

[1]周增國，李忠明. Linux平臺下Netfilter/IPtables包過濾防火墻的研究與應用[J].網絡安全技術與應用，2008（1）：49-50.

[2] Hunt C. TCP/IP Network Administration. 2nd Editor. Cana-da： O’ ReillyAssociates， 1997