收藏
下载资源

基于linux的ipv4ipv6双协议栈防火墙的设计与实现

上传人:E**** 文档编号:118181041 上传时间:2019-12-11 格式:PDF 页数:47 大小:1.76MB
返回 下载 相关 举报
基于linux的ipv4ipv6双协议栈防火墙的设计与实现_第1页
第1页 / 共47页
基于linux的ipv4ipv6双协议栈防火墙的设计与实现_第2页
第2页 / 共47页
基于linux的ipv4ipv6双协议栈防火墙的设计与实现_第3页
第3页 / 共47页
基于linux的ipv4ipv6双协议栈防火墙的设计与实现_第4页
第4页 / 共47页
基于linux的ipv4ipv6双协议栈防火墙的设计与实现_第5页
第5页 / 共47页
点击查看更多>>
资源描述

《基于linux的ipv4ipv6双协议栈防火墙的设计与实现》由会员分享,可在线阅读,更多相关《基于linux的ipv4ipv6双协议栈防火墙的设计与实现(47页珍藏版)》请在金锄头文库上搜索。

1、兰州理工大学 硕士学位论文 基于Linux的IPv4/IPv6双协议栈防火墙的设计与实现 姓名:米国治 申请学位级别:硕士 专业:通信与信息系统 指导教师:袁占亭 20040501 摘要 Y6 2 1 2 4 2 基于L i n u x 的I P v 4 I P v 6 双协议栈防火墙的设计与实现 摘要 针对I P v 6 的实施与应用以及I P v 4 向I P v 6 过渡时期的安全问题,本文设计并实 现了一个基于L i n u x 支持I P v 4 I P v 6 双协议栈的防火墙系统。 文中通过对过渡策略、I P v 4 A P v 6 的数据报头格式、双协议栈的安全性和防火墙 体系

2、结构等方面的研究,提出了一个新的采用屏蔽主机体系结构、基于L i n u x 的 I P v 4 I P v 6 双协议栈防火墙设计,同时提出了防火墙系统中采用的双协议栈系统结构 设计。利用L i n u x 下的N e t f i l t e r 包过滤管理工具来实现系统中的包过滤路由器,并 通过管理工具中i p t a b l e s 和i p 6 t a b l e s 模块对I P v 4 及I P v 6 访问控制列表进行的配置, 来完成对双协议栈中现有的纯I P v 4 、纯I P v 6 数据包以及I P v 4 隧道分组( 6 t 0 4 数据 包) 的访问控制。同时采用S o

3、 c k s 6 4 技术实现支持双协议栈的应用代理网关,完成 对双协议栈系统中数据包的应用层过滤。最后利用N e t l QC h a r i o t 网络测试工具对系 统在不同状态下的吞吐量进行测试。 本文在给出双协议栈防火墙设计的同时,通过现有L i n u x 2 4 下的包过滤工具及 双协议栈网关技术实现了I P v 4 l P v 6 双协议栈防火墙,对它的性能进行了分析比较, 并讨论了它的扩展应用。 关键字:l P v 6 ,网络安全,防火墙,双协议栈,屏蔽主机,包过滤,s o c k s 6 4 ,网关 D e s i g n a n d I m p l e m e n t a

4、 t i o n o fI P v 4 I P v 6D a u lS t a c k F i r e w a l lB a s e dO i lL i n u x A b s t r a c t I na l l u s i o nt oi m p l c m e n t i n ga n da p p l i c a t i o no f I P v 6a n d s e c u r i t yp r o b l e m so f p e r i o d I P v 4t r a n s i t st oI P v 6 t h et h e s i sd e s i g n sa n di

5、 m p l e m e n t saI P v 4 I P v 6d u a ls t a c kf i r e w a l l s y s t e mb a s e d o nl i n u x T h et h e s i sd e s i g n saI P v 4 I P v 6d u a ls t a c kf i r e w a l lb a s e do nL i n u x ,w h i c hc h o o s e s s h i e l dh o s ts y s t e ms t r u c t u r e ,t h r o u g ht h er e s e a r

6、c ho ft r a n s i t i o np o l i c y , I P v 4 f l P v 6d a t a h e a d e rf o r m a t ,s e c u r i t yo fd u a ls t a c ka n ds y s t e ms t r u c t u r ea n dd e s i g n st h eD a n lS t a c k s y s t e ms t r u c t u r eu s e di nf i r e w a l li nt h es a m et i m e T h eP a c k e t sf i l t e r

7、R o u t e ri nt h es y s t e m i si m p l e m e n t e d b yN e t f i l t e r , P a c k e t sf i l t e rm a n a g e m e n tt o o l si nL i n u x I tC a nf i l t e rI P v 4 , I P v 6a n dI P v 4t u n n l ep a c k e t st h r o u g h 口v 4a n dI P v 6a c c e s sc o n t r o lt a b l e s w h i c ha r e c o

8、 n f i g u r e db yi p t a b l e sa n di p 6 t a b l e sm o d u l e so fN e t f i l t e nT h ea p p l i c a t i o na n dp r o x y g a t e w a y i s i m p l e m e n t e db yS o c k s 6 4t e c h e n o l o g ya n df u l f i l l d a t a f i l t e r i n g i nt h e a p p f i c a t i o nl a y e r F i n a l

9、 l y , t e s t i n gt h et h r o u g h p u to fs y m e mi nt h ed i f f e r e n tc o n d i t i o n sb y N e t l Q C h a r i o tt o o l s T h e p a p e rf o u n d ad u a ls t a c kf i r e w a l ls c h e m ea n df u l f i l li tb y p a c k e tf i l t e rt o o l sa n d a p p l i c a t i o ng a t e w a

10、y , m o r e o v e ra n a l y s i s i n gi t sp e r f o r m a n c ea n dd i s c u s s i n gi t se x t e n d u s a g e K e yW o r d :I P v 6 ,n e t w o r ks e c u r i t y , f i r e w a l l ,d u a ls t a c k ,s h i e l dh o s t ,p a c k e tf i l t e r , S o c k s 6 4 ,g a t e w a y I I 兰二主堕堕一 _一一 第一章绪论

11、 1 1I P v 6 发展现状 1 9 6 9 年,美国国防部建立了A R P A N E T 实验网,1 9 7 3 年开发出基于T C P I P 协 议的I P v 4 原型,以后经过三次大的修改完善,在1 9 8 1 年9 月,I E T F ( I n t e m e t E n g i n e e r i n g T a s kF o r c e ) 正式公布了I P v 4 标准规范R F C 7 9 1 文件。从此,在此后的 2 0 多年间,I P v 4 取得了预想不到的巨大成功,可以说P v 4 是现行I n t e r n e t 成功的基 石。然而,新应用的不断涌现使

12、互联网呈现出新的特征,传统的互联网协议版本, 即P v 4 ,已经难以支持互联网的进一步扩张和新业务的特性。1 P v 4 面临的一系列问 题主要包括I P v 4 地址空间即将耗尽、路由瓶颈日趋严重、服务质量缺乏安全性保证 等,其中最为严重的是即将耗尽的口地址,有预测表明,以目前I n t e m e t 发展速度 计算,所有I P v 4 地址将在2 0 0 5 - - 2 0 1 5 年问分配完毕。为了彻底解决口v 4 存在的问 题,I E T F 从1 9 9 5 年开始,着手研究开发下一代邛协议,即I P v 6 。I P v 6 具有长达 1 2 8 位的地址空间,可以彻底解决I

13、P v 4 地址不足的问题,除此之外,I P v 6 还采用了 分级地址模式、高效I P 包头、服务质量、主机地址自动配置、认证和加密等许多技 术【”。 I E T F 机构于1 9 9 0 年开始进行选择I P v 4 升级协议的探索,逐步形成并完善I P n g 领域,至1 9 9 5 年,I A N A 组织通过修正的I P n g 协议已经到了第6 版,并且将该版 本正式发布,该协议被通称为口v 6 。到了1 9 9 8 年,I P v 6 协议的基本框架已逐步成 熟,在越来越广泛的范围内开始得到实践和研究。由于I P v 6 和D v 4 在协议格式上 并不兼容,I E T F 又成

14、立了专门的工作组| N g t r a n s 研究从现有I P v 4 网络环境向 I P v 6 网络环境的过度策略及其相关技术。国际的I P v 6 实验床( 实验网络) 6 b o n e 也 在1 9 9 6 年正式建立。现在,6 b o n e 已经扩展到全球5 0 多个国家和地区,成为I P v 6 研究者、开发者和实践者的主要平台。在我国,C E R N E T 国家网络中心于1 9 9 8 年6 月加入6 b o n e ,同年1 1 月成为6 b o n e 的骨干网成员,并且在此基础上开始组建全国 规模的坤v 6 实验床1 2 J 。 由于I P v 6 存在着巨大的商机

15、,许多国家都投入了I P v 6 的竞争。I P v 6 网络协议 的研究及应用从其诞生之日算起已进行了几年,在世界范围内属研究领先行列的应 该是日本、欧洲和美国,中国基本属于技术跟踪行列。 日本在口v 4 的研发、应用中远远落后于美国,属于互联网发展的后来者。日本 国内很多人认为,正是因为没有赶上I n t e m e t ( I P v 4 ) 这趟经济、技术快车,日本才从 与美国平起平坐的超级经济大国一步步滑落到二流国家。这话虽然说得有些过分, 但也反映了日本对失去I n t e r n e t ( I P v 4 ) 技术领导权的切肤之痛。而且,日本与中国一 样,也面临着P 地址紧缺的

16、困境。因为同本电子技术、信息家电产业的高度发达, 所以,它对口地址的需求更为迫切。为了迅速从这种难以容忍的弱势中走出来,f _ :】 本已经开始积极引导、扶植和推动I P v 6 的产业化。现在日本在v 6 的商业化推广 方面走在了世界的最前列。目前,越来越多的日本I S P 已经开始提供I P v 6 的接入服 务,日本利用I P v 6 的环境可以算得上是全球最为领先的。日本厂商中的代表则是东 芝、松下、日立、索尼等几大家电巨头,其中,在网络家电商品化方面领先一步的 东芝和它的竞争对手松下、同立( 技术联盟) 都各个提出了自己的家电网络化标准, 并都力争使其成为全球的事实标准。移动通信以欧洲最为发达,如诺基亚、爱立信、 B T 等。所以,欧洲在I P v 6 的研究和应用方而则更注重在通信领域。而且,制订第 第一章绪论 j 代移动通信系统“I M T - 2 0 0 0 ”标准的3 G

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 办公文档 > 其它办公文档

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号