混合网络下IPSec与现有网络设备协同工作的研究

摘要

IPSec、NAT、NAT-PT和防火墙在特定的应用领域都是不可缺少的。IPSec保障了IP包在传输过程中的安全性，能够为IP包提供数据源认证、完整性保护、加密性和抗重放攻击等安全服务；NAT极大地缓解了IPv4地址严重不足的压力，能够使拥有一个或少量公网IPv4地址的单位充分地享用互联网资源；NAT-PT解决了纯IPv4主机与纯IPv6主机之间不能互通的问题；防火墙作为内、外网的隔离工具，可以有效地保障内部网络的安全性。
　　经IPSec保护的IP包穿越NAT、NAT-PT和防火墙时，不可避免的产生IPSec与NAT、IPSec与NAT-PT和IPSec与防火墙共存的情景。但是，它们共存时却存在一些根本性的矛盾：IPSec的基本思想是防止中间节点对IP包进行伪造、篡改和窃听；NAT和NAT-PT却要转换IP包的IP地址或端口；防火墙却要读取IP包的IP地址和端口等信息。
　　在IPSec与NAT的一种协同工作方案即UDP头封装方案的基础上，本论文通过扩展NAT-D载荷和ISAKMP头，并在IP头和AH/ESP头之间插入UDP头和“非 IKE标识”，分别在第三章和第四章提出了改进的UDP头封装和UDP_NAT_PT封装两类协同工作方案，前者用来解决IPSec与NAT不能协同工作的问题，后者用来解决IPSec与NAT-PT不能协同工作的问题。另外，通过在IP头和AH/ESP头之间插入UDP头和“非 IKE标识”，本论文还提出了UDP_Firewall封装方案，它用来解决IPSec与防火墙不能协同工作的问题。
　　为了真实地贴近网络的现实状况，本论文还深入地研究了IPSec与 NAT和NAT-PT、IPSec与NAT和防火墙、IPSec与NAT-PT和防火墙三方协同工作的可能性。结果发现在前面几章的基础上，上述三对组合是完全能够协同工作的。
　　由于UDP_NAT_PT封装和UDP_Firewall封装两类协同工作方案都是在改进的UDP头封装方案的基础上提出的，因此本论文只在第七章对改进的UDP头封装方案加以实现，实验结果表明它是有效且可行的。

目录

封面

中文摘要

英文摘要

目录

1 绪 论

1.1 研究背景

1.2 国内外研究现状

1.3 主要工作及论文组织

2 主要关键技术

2.1 IPSec

2.2 NAT技术

2.3 NAT-PT技术

2.4 防火墙技术

2.5 小结

3 IPSec与NAT协同工作的研究

3.1 IPSec与NAT共存时所存在的问题

3.2 现有的解决方案及其优缺点

3.3 改进的UDP头封装方案

3.4 小结

4 IPSec与NAT-PT协同工作的研究

4.1 IPSec与NAT-PT共存时所存在的问题

4.2解决方案及其优缺点

4.3 小结

5 IPSec与防火墙协同工作的研究

5.1 IPSec与防火墙共存时的兼容性分析

5.2 现有的解决方案及其优缺点

5.3 UDP_Firewall封装方案

5.4 小结

6 IPSec与现有网络设备协同工作的研究

6.1 引言

6.2 网络模型

6.3 IPSec、NAT、NAT-PT和防火墙多方协同工作的可能性

6.4 小结

7 改进的UDP头封装方案的实现

7.1 引言

7.2 Linux平台下的Netfilter框架

7.3 模块设计

7.4 功能模块的实现

7.5 实验及结果分析

7.6 小结

8 总结与展望

致谢

参考文献

附录