IPV6环境下防火墙技术研究

随着互联网络的迅猛发展,传统的IPv4技术所表现的诸多问题在很大程度上制约着网络的扩展、应用以及管理。这些问题主要表现在地址空间匮乏、路由表过大、网络管理与配置复杂、安全性能差等方面,IPv6技术的提出在很大程度上解决了现有的网络问题,但其安全性能也不容乐观。 本文从IPv6的关键技术谈起,探讨了IPv6的地址格式、数据报头格式、即插即用和移动IPv6以及IPv6过渡阶段的相关技术等问题。详细地分析了IPv6的安全体系结构——IPSec的体系构成、工作方式、安全能力以及IPSec在IPv6中的实现方式;论述了IPSec中的身份验证头(AH)和封装安全净荷头(ESP)。对IPSec在IP报文的机密性、数据来源认证、完整性和抗重播等方面的能力进行了研究。在此基础上给出了IPv6和防火墙相结合的几种方式。本文在对IPv6新特性进行分析的同时,从多个角度考察和归纳了IPv6在网络安全方面所引入的若干新问题,以及攻击者可能采取的攻击手段等,并指出了由于采用了IPv6技术给现有的网络安全工具带来的危机。 基于上述问题,本文提出了在纯IPv6环境下的一种网络防火墙机制,论述了这种机制所采用的体系结构——屏蔽主机结构,并且就本机制中的包过滤防火墙模块的工作方式和过滤规则等提出了自己的观点,堡垒主机模块主要针对的是采用分片或IPSec机制的数据包进行处理和过滤。通过模拟纯IPv6中网络攻击的方式对该机制进行了验证用以确定其能够正常运行。