防火墙双宿主机防火墙
双宿主机防火墙 时间:2021-01-14 阅读:(
)
163IPv4/IPv6IPv4/IPv6IPv4/IPv6IPv4/IPv6双栈防火墙的设计与实现双栈防火墙的设计与实现双栈防火墙的设计与实现双栈防火墙的设计与实现肖文曙肖文曙肖文曙肖文曙陈陈陈陈雷雷雷雷张玉军张玉军张玉军张玉军(中国科学院计算技术研究所信息网络研究室北京100080)摘摘摘摘要要要要IPv6的新特点和应用对现有的安全设备结构提出了挑战同时从IPv4升级到IPv6是一个长期的过程两种协议在一定时间内将共同存在因此需要设计支持IPv4IPv6双协议的防火墙以适应过渡时期的需要和IPv6新特点对防火墙的要求论述了IPv4/IPv6防火墙的设计需要考虑的防火墙位置IPv6与IPv4的差异及性能然后介绍防火墙实现的步骤和将要进行的工作关键词关键词关键词关键词防火墙IPv6IPSecDesignandImplementationofIPv4/IPv6FirewallXIAOWenshu,CHENLei,ZHANGYujun(InformationNetworkLaboratory,InstituteofComputingTechnology,ChineseAcademyofSciences,Beijing100080)AbstractTheadoptionofIPv6willimpacttoday'snetworksecurityarchitecture.
Firewallisoneofthemainpointsofsecurityarchitecture.
ThispaperdiscusseshowtodesignfirewalltomatchtherequirementofnextgenerationnetworkbasedonIPv6.
ThispaperfocusesontheproblemsthatshouldbetakenintoconsiderationwhendesigningfirewallsystemforthenetworkenvironmentthatbothIPv4andIPv6exist.
Then,theworkonfirewallisintroducedandthefollowingworkispresented.
KeywordsFirewall;IPv6;IPSec计计计计算算算算机机机机工工工工程程程程ComputerEngineering第第第第32卷卷卷卷第第第第4期期期期Vol.
3242006年年年年2月月月月February2006安全技术安全技术安全技术安全技术文章编号文章编号文章编号文章编号10003428(2006)04016303文献标识码文献标识码文献标识码文献标识码A中图分类号中图分类号中图分类号中图分类号TP309随着Internet的迅速增长和无线设备的激增现行的Internet协议IPv4在地址空间端到端的IP连接服务质量网络安全和移动性等方面都暴露出了不足极大地限制了IP网络的进一步发展而IPv6所提供的巨大的地址空间以及所具有的诸多优势和功能获得了普遍关注和广泛认可然而从IPv4升级到IPv6不是一二天内完成的IPv4与IPv6系统在一段时期共存是不可避免的事实IPv6协议的一个重要设计目标是与IPv4兼容在这个阶段IPv6节点之间的通信依赖于现有IPv4网络的设施而且IPv6结点也必不可少地要与IPv4结点通信对于同时支持两种协议的主机攻击者可以同时使用两种协议协调作战对于安全产品应该同时支持两种协议并联系起来分析才能真正起到保障安全的作用这对于网络安全提出了新的要求研究IPv4/IPv6过渡阶段下的新的安全体系设计是非常必要的IPv6利用IPsec实现了网络层的加密与认证部分解决了现有网络协议IPv4存在的安全问题但是相关的密钥交换加密算法等标准都不成熟IPSec的提出仍然替代不了传统安全设备如防火墙和入侵检测系统已有公司开始进行基于IPv6防火墙的研究和开发设计IPv4/IPv6过渡阶段的防火墙是构造过渡阶段安全体系结构的重要部分对保障IPv6的实现有着重要的意义1防火墙的设计思想防火墙的设计思想防火墙的设计思想防火墙的设计思想防火墙的设计需要考虑防火墙的位置即其与网关的相对位置此外防火墙IPv6部分与IPv4部分的差异和防火墙性能也是必需的考虑1.
1过渡阶段防火墙的位置过渡阶段防火墙的位置过渡阶段防火墙的位置过渡阶段防火墙的位置在IPv4IPv6共存的环境下针对IPv6小岛之间的通信以及IPv6小岛和IPv4海洋之间的通信需要网关支持隧道技术和协议转换技术防火墙实施安全策略时要考虑与网关的交互针对IPv6小岛之间通信的解决方案这些方案都是在隧道的基础上实施的出口路由器是隧道的起点或终点路由器通向外网的数据包格式都是同一类型的隧道包格式内网的数据包是普通的IPv6包因此防火墙可以统一实施安全策略根据防火墙的位置不同实施的安全检测也不同防火墙放置在出口路由器(隧道端点)外面可以保护路由器免遭攻击流经防火墙的数据包是普通的IPv4数据包或IPv4/IPv6隧道包如果隧道包没有被IPSec协议进行加密处理防火墙可以读取隧道包内的IPv6报头分析过滤防火墙位于出口路由器(隧道端点)与内部网络之间流经防火墙的数据包是普通的IPv4数据包(内部IPv4主机或双栈主机之间的IPv4通信数据)或IPv6数据包防火墙直接对IPv6报头分析过滤防火墙与出口路由器(隧道端点)集成在一起防火墙在数据包进入隧道封装之前或从隧道解包出来时对数据包分析过滤此时防火墙分析的数据包是IPv6数据我们的防火墙针对IPv6小岛之间的通信要求放置在出口路由器与内部网络之间流经防火墙的数据包是普通的IPv4数据包(内部IPv4主机或双栈主机间的IPv4通信数据)或IPv6数据包(内部IPv6主机或双栈主机之间的IPv6通信数据)1.
2防火墙需要考虑的防火墙需要考虑的防火墙需要考虑的防火墙需要考虑的IPv6与与与与IPv4的差异的差异的差异的差异IPv4/IPv6环境下防火墙IPv6部分的设计需要考虑IPv6基金项目基金项目基金项目基金项目国家计算机网络与信息安全管理中心招标项目IPv6信息过滤技术作者简介作者简介作者简介作者简介肖文曙(1980)女博士生主研方向信息网络安全陈雷硕士生张玉军博士收稿日期收稿日期收稿日期收稿日期2005-02-06E-mailwsxiao@ict.
ac.
cn164不同于IPv4的特点IPv6报头与IPv4报头的差异是对IPv6包进行过滤时需要考虑的IPv4防火墙的过滤器在工作的时候对于IPv4选择性包头部分并无考虑在IPv6下确定特定扩展报头的有无是过滤时必须考虑的同时IPv4的IP报头和TCP/UDP报头紧接在一起且长度基本固定防火墙很容易找到IP地址和TCP/UDP端口信息进行过滤而IPv6的扩展报头存在于两者之间对过滤器寻找地址及端口信息带来麻烦影响效率IPsec是IPv6必需的功能如果IPsec要在IPv6的环境中使用经过加密的数据如何过滤是必须解决的问题一个加密的通道允许使用者跳过安全性的检查IPsec也是IPv4可选的功能在现在的IPv4网络中IPsec一般用于VPN环境中设置于两个网关之间而没有用于两个端系统之间在IPv6环境下要实现端对端的IPsec安全首先必须解决如何过滤加密数据的问题为解决这个问题有人提出在防火墙处打断连接这样将有两个加密通道一个从外部主机到防火墙一个是从防火墙到内部主机这个办法的主要问题是会打破端到端的模式对移动的更好的支持是IPv6的重要应用这同时会给防火墙带来过滤上的困难因为对过滤器来看网络变得分散一个外地的主机移动到本地防火墙要能判断出这个移动节点而不能把它当成非法的为做到这一点防火墙要能分析协议并具有授权功能我们的防火墙在实现中考虑到IPv4和IPv6的这些差异实现了通过地址端口号等信息对IPv6数据包的过滤对IPsec和移动的支持在防火墙的下一步工作中进行1.
3防火墙性能考虑防火墙性能考虑防火墙性能考虑防火墙性能考虑在IPv4/IPv6过渡阶段的网络环境下网络流量大大增加而防火墙处于内部网络通向外部网络的出口处过滤通信数据包将付出性能代价CPU的大量时间将用来检查规则表当更快的通信抵达时这个问题会变得更严重因此应该尽量减轻防火墙负担首先防火墙在Linux系统下实现首先需要精简系统的内核同时从过滤方法考虑我们采用状态包过滤防火墙辅助少量应用层控制策略同时由入侵检测系统辅助防火墙实施访问控制策略达到安全性与性能的折中2防火墙系统的初步实现防火墙系统的初步实现防火墙系统的初步实现防火墙系统的初步实现要实现IPv4/IPv6防火墙首先就是要实现防火墙对双协议栈的支持使防火墙具备IPv4IPv6包处理的能力要设计防火墙的安全策略包括网络的划分网络间通信的基本策略要实现防火墙的管理部分提供对用户的接口并提供通过IPv4IPv6两种地址对防火墙访问的能力下面介绍我们设计的防火墙总体结构和实现步骤2.
1防火墙结构防火墙结构防火墙结构防火墙结构防火墙由Web管理系统和内核部分组成Web管理系统通过通用网关接口为用户提供一个管理配置的接口也给防火墙提供一种控制存储防火墙规则的脚本这个部分包括Web管理界面通用网关接口Web服务器内核部分实现网络数据包处理分发的核心工作包括安全策略模块包过滤模块日志统计模块以及其他功能模块(1)Web管理系统Web管理系统负责与用户的交互用户通过浏览器登陆管理界面设置防火墙的参数进行过滤规则的配置用户输入的数据通过该接口传回防火墙系统应用程序将这些数据作为参数写入相应的配置文件中(2)安全策略设计防火墙安全性的基础是首先要建立一套合理的科学的可操作的安全策略本防火墙系统采用了一种适用于混和军用网络的新型的安全策略具有较高的安全性和开放性防火墙区分3个不同的网络分别为绿网--内网红网--外网橙网--非军事化区最基本的安全策略是允许内网的用户访问非军事区允许可信站点的外网用户访问非军事区允许内网用户访问外网可信站点不允许外网用户访问内网(3)防火墙过滤模块防火墙过滤模块包过策略表和会话状态表依据策略表规则进行过滤这些规则告诉防火墙数据包是否合法以及对于来自某个源至某个目的地或具有某种协议类型的网络流量要做些什么而会话状态表使得同一会话的数据包无须逐个匹配过滤规则提高性能2.
2防火墙的实现步骤防火墙的实现步骤防火墙的实现步骤防火墙的实现步骤按照防火墙设计时的考虑为提高性能首先进行精简内核的工作然后实现管理包过滤日志模块2.
2.
1精简内核防火墙实现在一个小型Linux上为提高防火墙的性能首先精简Linux系统内核如果不需要的模块被放在Linux的系统内核中每次在系统启动时这些没有的内核模块会加载到系统内核中系统内核的运行效率会大打折扣重新编译内核在内核配置时去除所有可以拿掉的选项并且要注意选中IPv6相关选项要大幅度精简核心就需要裁剪文件系统Linux的VFS简化了档案系统的设计增加了系统的效率但这些嵌入系统根本就用处不大把它们去除编译内核和模块将编译好的文件移到启动目录下用新内核替换原有内核2.
2.
2实现管理模块部分配置apache服务器从而可以通过IPv6地址访问防火墙进行管理操作假定防火墙内部IPv4地址设为192.
168.
6.
10IPv6地址为2002:250:f007:1::400,Web服务端口号为81则在浏览器中键入HTTP://192.
168.
6.
10:81或HTTP://[2002:250:取f007:1::400]:81可以登录到防火墙我们使用Perl语言编写管理页面及响应程序该部分由核心管理程序和功能模块组成核心管理程序有Perl脚本和几个CGI脚本分包括核心库管理中心的首页和模块管理功能模块完成某一特定功能的参数设置或数据的显示等模块的一般结构如表1所示表表表表1功能模块列表功能模块列表功能模块列表功能模块列表目录或文件说明functionnanme.
cgi该模块的首页config缺省的配置文件config.
info对配置文件中置选项的说明image/存放模块中用到的图片lange/页面信息中的各种语言版本2.
2.
3实现包过滤模块部分该部分实现网络数据包处理分发的核心工作实现采用C语言和脚本语言编程防火墙内核的开发建立在Linuxnetfilter架构的基础上Netfilter是Linux2.
4内核实现数据包过滤/数据包处理/NAT等的功能框架Netfilter提供了一个抽象通用化的框架为每种网络协议(IPv4IPv6等)定义一套钩子函数这些钩子函数在数据报流过协议栈的几个关键点被调用在这几个165点中协议栈将把数据报及钩子函数标号作为参数调用netfilter框架防火墙过滤表通过钩子函数NF_IP_LOCAL_IN,NF_IP_FORWARD及NF_IP_LOCAL_OUT接入netfilter框架因此对于任何一个数据报只有一个地方对其进行过滤防火墙对数据包过滤的过程是系统首先根据IP协议版本确定其通过IPv4协议栈还是IPv6协议栈然后检查接收数据包的校验和是否正确字段数据值是否合法如果数据包没有错误系统对会话表进行搜索寻找与当前会话匹配的条目如果没有搜索到匹配的会话系统根据数据包的属性检查策略表以判断对当前数据包实施的策略如果策略允许数据包通过当前会话就被加入会话表如果系统在会话表中搜索到匹配的会话系统检查序列号的合法性以确保当前数据包是会话的一部分数据包会话状态检查有效后系统对数据包进行地址翻译或者计算路由然后发送数据包如果不通过系统就丢弃当前数据包并记录日志信息2.
2.
4实现日志统计和流量分析在过滤规则设置时对于要被丢弃的数据包首先送到目标LOGLOG将匹配的数据报传递给syslog()进行记录写入系统日志文件应用程序读取文件根据模式匹配找出希望显示的记录显示在管理页面的日志页流量分析使用了一个生成流量分析图表的工具rrdtool和定时执行任务的软件cron在crontab文件中写入命令*/30****root/usr/local/bin/rrdtool.
pl>/dev/null此命令每隔30min调用一次rrdtool.
pl获取网卡的数据包进出流量信息调用rrdtool将流量信息反映到管理界面的流量图页该页有若干张流量图分别是3个网卡一天一个月一年的流量状况图根据这些图表可以对经过防火墙的流量进行分析统计4防火墙系统说明防火墙系统说明防火墙系统说明防火墙系统说明防火墙配置部分主要有如下模块(1)防火墙接口参数设置该功能模块用于进行内网非军事区外网的地址参数配置根据管理员的输入将接口的IPv6地址IPv4地址等数据写入配置文件后台程序读取该文件执行实际的配置操作(2)IPv6包过滤规则设置模块用于IPv6包过滤策略设定本设置用于添加修改删除防火墙规则链根据数据包的输入输出接口源地址源端口目的地址目的端口协议类型来过滤(图1)图图图图1包过滤规则设置包过滤规则设置包过滤规则设置包过滤规则设置(3)IPv6路由配置我们的防火墙属于分组过滤路由器防火墙系统在此处进行系统的路由设置对防火墙的IPv6路由表进行操作对防火墙进行路由设置对于IPv6的功能模块防火墙有相应的IPv4模块IPv4包过滤规则设置IPv4路由配置(4)日志查询模块防火墙有完善的日志功能对防火墙所控制的活动进行记录有对外部主机的访问的日志对被阻断的v6或v4数据包有确切的记录日志的实现是通过程序调用系统命令将被阻断的数据包信息写入日志文件并将信息显示出来(5)防火墙流量分析模块防火墙有流量分析功能对通过防火墙的流量状况进行统计分析并形成直观的图表5防火墙性能指标防火墙性能指标防火墙性能指标防火墙性能指标测试防火墙得到使用千兆网卡在流量大于200Mbps时丢包率<0.
05%使用百兆网卡在流量大于60Mbps时丢包率<0.
01%(在P4Xeon2GHzx22GBDDRmem,GEnic配置下)百兆网卡60%负载丢包率表见表2千兆网卡20%负载丢包率见表3表表表表2测试数据测试数据测试数据测试数据1FramesizeRateTested(%)(01,07,01)to(01,09,01)(%)1001000MBAverage6430.
000.
0000.
0006460.
000.
1450.
14512830.
000.
0000.
00012860.
000.
0030.
00325630.
000.
0000.
00025660.
000.
0000.
000表表表表3测试数据测试数据测试数据测试数据2FramesizeRateTested(%)(01,07,01)to(01,09,01)(%)Average6410.
000.
0000.
0006420.
001.
3861.
38612810.
000.
0000.
00012820.
000.
0120.
01212830.
001.
8161.
81625620.
000.
0000.
00025640.
000.
0000.
00025660.
002.
2132.
2136防火墙的进一步实现防火墙的进一步实现防火墙的进一步实现防火墙的进一步实现我们的防火墙已经完成了初步的实现即第一版的开发在今后的防火墙实现中重点需要考虑IPv6不同于IPv4的特点以适应新的要求和提高防火墙的处理能力IPsec是IPv6支持的功能如果使用IPsec传输模式进行端到端的加密则防火墙无法对分组所采用的传输层协议TCP/IP的端口号进行过滤因为其接收的是加密的数据包这些信息无法获得降低了防火墙的性能因此如何在加密的环境下过滤数据包将是需要解决的问题的重点研究如何将IPsec与防火墙结合是下一步要完成的工作参考参考参考参考文献文献文献文献1JacquesJ,GundolB,JacquesF.
FirewallsandIPv6[R].
AFNIC,2002-10-30.
2EllermannU.
IPv6andFirewalls[A].
Proc.
of14thInternationalCongressonComputerandCommunicationsSecurityProtection,1996-06.
3DobruckiM.
TheEffectsoftheTransitiontoIPv6onInternetSecurity[R].
NixuLtd.
,1999-12.
4GamageC.
EncyrptedMessageAuthenticationbyFirewalls[A].
Proc.
ofPKC'99,LNCS,Springer-Verlag,1999,1560:69-81.
5NicolasGR.
VPNandFirewallTraversal[A].
SeminaronNetworkSecurityTik-110.
5012000,2000-11.
6贾贺,张旭.
防火墙原理与实用技术[M].
北京:电子工业出版社,2002.
目前舍利云服务器的主要特色是适合seo和建站,性价比方面非常不错,舍利云的产品以BGP线路速度优质稳定而著称,对于产品的线路和带宽有着极其严格的讲究,这主要表现在其对母鸡的超售有严格的管控,与此同时舍利云也尽心尽力为用户提供完美服务。目前,香港cn2云服务器,5M/10M带宽,价格低至30元/月,可试用1天;;美国cera云服务器,原生ip,低至28元/月起。一、香港CN2云服务器香港CN2精品线...
cmivps香港VPS带来了3个新消息:(1)双向流量改为单向流量,相当于流量间接扩大一倍;(2)Hong Kong 2T、Hong Kong 3T、Hong Kong 无限流量,这三款VPS开始支持Windows系统,如果需要中文版Windows系统请下单付款完成之后发ticket要求官方更改即可;(3)全场7折年付、8折月付优惠,优惠码有效期一个月!官方网站:https://www.cmivp...
博鳌云是一家以海外互联网基础业务为主的高新技术企业,运营全球高品质数据中心业务。自2008年开始为用户提供服务,距今11年,在国人商家中来说非常老牌。致力于为中国用户提供域名注册(国外接口)、免费虚拟主机、香港虚拟主机、VPS云主机和香港、台湾、马来西亚等地服务器租用服务,各类网络应用解決方案等领域的专业网络数据服务。商家支持支付宝、微信、银行转账等付款方式。目前香港有一款特价独立服务器正在促销,...
双宿主机防火墙为你推荐
xunizhuji雷网主机的idcr的基本概念是什么?域名空间代理现在代理域名空间赚钱吗linux虚拟主机如何安装LINUX虚拟机免费网站域名申请哪有里可以申请免费域名的网站?域名备案域名怎么备案香港虚拟主机香港虚拟主机多少钱一年呢?虚拟主机管理系统推荐几个适合windows的免费虚拟主机管理系统郑州虚拟主机59互联 亿恩科技 和郑州景安那一个公司的虚拟主机最好!我指的是速度和服务!谢谢!请大家凭良心说话!论坛虚拟主机最适合做论坛的虚拟主机是什么?美国虚拟主机购买美国虚拟主机在国内那家卖的便宜,稳定,功能全??
域名备案查询 域名到期查询 ion bash漏洞 淘宝双十一2018 网站被封 52测评网 怎么测试下载速度 双线主机 新家坡 世界测速 稳定免费空间 申请免费空间和域名 新睿云 帽子云排名 论坛主机 lamp怎么读 创速 qq空间打开很慢 游戏服务器 更多