基于IPv6的防火墙设计与研究

摘 要：IPv6相较于IPv4而言在安全性方面有所提升，但是也为基于IPv6的防火墙设计提出了新的挑战。本文首先分析了IPv6通信协议中所使用的安全机制，然后对网络与网络通信、终端与终端通信两个方面的IPv6防火墙设计进行了设计与研究。

关键词：IPv6；安全机制；防火墙

中图分类号：TP393 文献标识码：A 文章编号：1674-7712 （2013） 10-0105-01

计算机技术以及网络通信技术的发展使得Internet的网络规模得到了快速扩展，现行的IPv4网络通信协议在地址空间、通信性能、服务质量方面都显示出了不足，限制了IP网络的进一步发展。为解决该问题，IPv6通信协议逐渐被应用于IP网络中用以替代IPv4。在网络应用中，安全问题一直是需要重点关注和解决的一类问题，常用的解决方法为使用防火墙对用户终端进行安全防护。IPv6通信协议体系中使用了认证报头和封装化安全净荷等来提升网络的安全性能，如何将其余防火墙进行有效结合是IPv6网络中防火墙设计与研究的一个热点。

一、IPv6通信协议中的安全机制

相较于IPv4通信协议而言，IPv6通信协议中的IPSec安全机制新增了认证报头（AH）和封装化安全净荷（ESP）来对通信双方进行身份认证和数据加密，这种安全机制的引入在一定程度上增强了网络通信的安全性能。

（一）AH

AH机制是指发送端将所有数据包包头的特定字段添加密码，接收端接收数据时可以通过加密密码确认数据发送方是否正确，还能够对所发送的数据信息进行完整性验证。若数据完整性算法为公钥数字签名算法，则AH还可以向用户提供不可抵赖服务。

AH会对整个数据包进行签名处理，常用的应用模式为传输模式和隧道模式，这两种模式下AH既可以提供数据直传身份认证和数据完整，还能够提供安全网关发送与接收数据封装服务。

（二）ESP

ESP机制是指在IPv6数据包中添加一个标准的扩展头，该扩展头可用于对整个数据包信息进行加密。该机制所能够实现的安全功能与AH机制有部分重叠，如可用于对数据进行加密、对数据源进行身份认证等，除此之外，ESP机制还具有提升部分业务流的机密性、提供对抗重放服务等特性。

相较于AH而言，ESP不会对整个数据包进行签名，只被用于对IP负载进行保护，因而其常被使用在主机或安全网关等部分。ESP同样具有传输模式和隧道模式两种，在传输模式中ESP用于对TCP、UDP等报头和数据进行加密，在隧道模式中，ESP作为扩展头对IP数据包进行封装，以将其定向到安全网关。

二、IPv6下的防火墙设计

（一）网络到网络的防火墙设计

在网络与网络之间的通信中可使用三种防火墙设计方案。

方案一为安全过滤规则。该规则将内部网络中的终端分为两类：安全要求较高的终端设备与普通安全要求的终端设备。对于安全要求较高的终端设备，其与外部网络进行通信时需要使用IPSec对数据进行保护，未采用IPSec封装的数据包在经过防火墙时会被视为不安全数据，进而将该数据包过滤掉，这样就实现了网络终端的通信防护。但是该方案存在TCP/UDP端口号甚至IP地址等信息不易被防火墙识别、通信数据本身没有使用强力密钥等缺陷，故防火墙无法有效抵御对针对这类缺陷发起的攻击。

方案二为主机网关屏蔽防火墙。该防火墙会在内网与外网之间添加分组过滤路由器和堡垒主机对数据进行过滤，对行为进行屏蔽。当两个网络之间进行网络通信时分组过滤路由器负责进行数据接收和明文信息检查，确认数据是否符合过滤规则。对于符合过滤规则的数据，路由器将其转发给堡垒主机，堡垒主机对数据信息进行身份验证和解密过滤，通过身份验证的IP数据经过解密后被分发到内部网络中的具体IP地址主机中。该防火墙设计方案添加了数据认证和数据加密服务，故相较于方案一而言，数据安全性得到了大幅度提升，但是在大型局域网内子局域网通信中该方案所使用的内部明文信息会降低网络的安全性能。

方案三维子网网关屏蔽防火墙。该防火墙在主机网络屏蔽防火墙的基础上添加了一个分组过滤路由器，将所添加的分组过滤路由器和堡垒主机组成屏蔽子网。其防护内容增添了内网通信部分。在内部网络接收外网信息时，堡垒主机将数据信息发送给内部路由器，由该路由器再次对IP数据进行加密处理后再发送到内网具体终端；在内网向外网发送信息时，内部路由器首先对加密信息进行解密处理，然后按照防火墙安全策略对信息进行过滤，之后将过滤后的信息转发给堡垒主机，经过外部路由器实现网络通信。

（二）端到端的防火墙设计

端到端的防火墙设计可以只应用一条加密通信即可完成数据的安全防护工作。IPv6通信协议会将数据包的端口信息进行加密，若防火墙通过端口号直接对信息进行过滤，会出现两种情况，一种情况为对所有数据进行拦截，一种情况为对所有数据放行，这两种方式均无法实现安全防护的目的。为解决这一问题可以利用IPv6所具有的扩展功能设计一种基于逐跳选项数据头扩展的防火墙。

在数据封装之前，系统首先记录下目标地址和源地址的端口号，然后在数据封装完毕后向数据添加带有端口标志的逐跳选项扩展报头（所添加的报头不会对IP数据包的传输和识别产生影响）。当发送端发送数据包时，防火墙会读取IP数据包中的端口标志信息，并将其加入到动态维护表中；当接收端接收数据包时，防火墙首先会对端口标志信息进行分析，查找该端口信息是否在动态维护表中有记录，若存在记录则认为该数据位目标主机的回应数据，防火墙可接受放行；若不存在记录则认为该数据为不安全数据，防火墙滤除该数据并添加日志信息。

参考文献：

[1]肖文曙，陈雷，张玉军.IPv4/IPv6双栈防火墙的设计与实现[J].计算机工程，2006，32（4）.

[2]徐曦，王春停，黄媛.IPv6防火墙的研究和设计[J].湘潭师范学院学报（自然科学版），2007，29（1）.

[3]梁伟.IPv6双协议栈防火墙技术的研究[J].常熟理工学院学报，2005，19（6）.

[4]陈雷，张志刚，肖文曙，张玉军.IPv6防火墙的设计与实现[J].微计算机信息，2005，21.