基于IPV6協(xié)議下的防火墻技術(shù)研究.pdf

1、隨著我國第一個全國性下一代互聯(lián)網(wǎng)CNGI核心網(wǎng)CERNET2正式開通，IPV6下的各項應用成為學術(shù)、商業(yè)界研究的熱點。作為IPV4協(xié)議下保障網(wǎng)絡安全的重要環(huán)節(jié)—防火墻，是否適合在IPV6協(xié)議下應用以及如何應用?這是本文的中心問題。 本文作者從防火墻的功能和IPV6的安全協(xié)議—IPSEC的功能兩個方面做了比較，得出了防火墻在IPV6協(xié)議下存在的必要性，并提出了一個有效結(jié)合IPSEC的防火墻設計策略。 該策略，充分利用了IP

2、V6報文的擴展報頭，設立端口選項從而使得防火墻在IPV6協(xié)議下，能對IP地址、端口號進行過濾。為了實現(xiàn)防火墻在IPv6下的對數(shù)據(jù)包進行內(nèi)容過濾，本文在端口選項中增加了一個過濾級別的參數(shù)，終端裝置的防火墻系統(tǒng)通過這個參數(shù)實現(xiàn)了數(shù)據(jù)包內(nèi)容過濾。針對端口選項引入可能導致的新的不安全因素，源端口號和目的端口號很可能被篡改，使得防火墻無法有效的保護內(nèi)部網(wǎng)絡。建立一個稱為InternetSecurityAssociationandKeyManage

3、mentProtocol(ISAKMP)驗證關(guān)聯(lián)(ValidateAssociation，VA)的安全通道，以保證數(shù)據(jù)包的完整性。 為了驗證該策略的可行性，本文作者搭建了IPV6實驗網(wǎng)絡并實現(xiàn)了防火墻系統(tǒng)的主要功能。文中，詳細介紹了系統(tǒng)的架構(gòu)，以及實現(xiàn)的包過濾的流程圖和算法。最后，作者對系統(tǒng)的功能、性能、安全性做了實驗和分析。 在實驗中：1.測試了防火墻的過濾時延，通過數(shù)學公式，計算出使用該策略實現(xiàn)的防火墻的網(wǎng)絡吞吐量。