摘 要：計(jì)算機(jī)廣泛應(yīng)用和網(wǎng)絡(luò)的普及，給整個(gè)社會(huì)經(jīng)濟(jì)建設(shè)和人民生活帶來(lái)巨大價(jià)值，不過(guò)由于在互聯(lián)網(wǎng)早期采用IPV4協(xié)議，安全性方面較低，隨著網(wǎng)絡(luò)的廣泛應(yīng)用安全問(wèn)題越來(lái)越為突出，IPSec提供了更高的網(wǎng)絡(luò)安全標(biāo)準(zhǔn)。本文就IPSec和IP Filter在路由器中的應(yīng)用進(jìn)行了研究，提出以路由器為平臺(tái)利用IPSec和IP Filter提高網(wǎng)絡(luò)安全的設(shè)計(jì)思想。

關(guān)鍵詞：IPSec；IP Filter；路由器；嵌入式系統(tǒng)

中圖分類號(hào)：TN915.08

在計(jì)算機(jī)網(wǎng)絡(luò)不斷發(fā)展的今天，人類社會(huì)信息化水平得到全面推進(jìn)，大量企業(yè)、個(gè)人、政府的信息在網(wǎng)絡(luò)上傳輸和存儲(chǔ)，這些信息中有的信息具有公共性，有的信息具有隱秘性，由于計(jì)算機(jī)網(wǎng)絡(luò)的開(kāi)放性和互連性，使得網(wǎng)絡(luò)容易受到黑客、病毒等的攻擊，造成信息泄露和信息破壞等問(wèn)題，給社會(huì)經(jīng)濟(jì)和人民生活帶來(lái)不良影響，尤其是一些敏感數(shù)據(jù)遭到攻擊更可能引發(fā)極為嚴(yán)重的問(wèn)題，因此網(wǎng)絡(luò)安全問(wèn)題極為重要。在網(wǎng)絡(luò)發(fā)展中，順應(yīng)網(wǎng)絡(luò)安全的需要，產(chǎn)生了多種網(wǎng)絡(luò)安全機(jī)制，提高了網(wǎng)絡(luò)安全水平，但依然還有很多需要改進(jìn)的地方，尤其是早期所采用的IPv4互聯(lián)網(wǎng)協(xié)議標(biāo)準(zhǔn)在安全性上具有明顯的缺陷，急需提供新的網(wǎng)絡(luò)安全標(biāo)準(zhǔn)，IPSec最終在1995年公布，成為新一代網(wǎng)絡(luò)安全標(biāo)準(zhǔn)。目前，大量企業(yè)、個(gè)人、政府等網(wǎng)絡(luò)用戶普遍使用路由器進(jìn)行網(wǎng)絡(luò)接入，下面本文根據(jù)路由器軟件功能模塊，就IPSec和IP Filter在路由器中的應(yīng)用進(jìn)行研究。

1 IPSec在路由器中的應(yīng)用

1.1 IPSec協(xié)議體系

IPSec是基于IP網(wǎng)絡(luò)的開(kāi)放性IP安全標(biāo)準(zhǔn)框架，為局域網(wǎng)、廣域網(wǎng)、Internet的信息傳輸安全提供保障。在網(wǎng)絡(luò)上，IP包本身并不具備安全性，因此給黑客等造成地址偽造、內(nèi)容修改、傳輸竊聽(tīng)等空間。IPSec通過(guò)網(wǎng)絡(luò)層上設(shè)備間數(shù)據(jù)傳輸?shù)腎P報(bào)文進(jìn)行保護(hù)與驗(yàn)證，能有效提高數(shù)據(jù)機(jī)密性、完整性，并對(duì)數(shù)據(jù)源進(jìn)行認(rèn)證，確保證報(bào)文不存在重復(fù)，對(duì)IP及上層協(xié)議提供保護(hù)。IPSec包括驗(yàn)證頭、封閉安全載荷、密鑰交換、轉(zhuǎn)碼等組件。在其安全策略中，決定了數(shù)據(jù)通信對(duì)象、安全服務(wù)、數(shù)據(jù)處理策略、密鑰管理方式等。目前常用的IPSec有傳送模式和隧道模式兩種模式，傳送模式與上層協(xié)議頭之間插入特殊IPSec頭，用以保護(hù)上層協(xié)議，隧道模式則對(duì)整個(gè)IP包進(jìn)行封裝用以保護(hù)整個(gè)IP數(shù)據(jù)包。

IPSec協(xié)議分為AH協(xié)議和ESP協(xié)議兩種，AH協(xié)議對(duì)報(bào)文進(jìn)行附加加密處理，但對(duì)不受保護(hù)的報(bào)文部分則不進(jìn)行加密，其協(xié)議頭由5個(gè)固定長(zhǎng)度域和一個(gè)認(rèn)證數(shù)據(jù)域構(gòu)成，使用MAC算法對(duì)IP進(jìn)行認(rèn)證。ESP協(xié)議模式比AH協(xié)議模式增加了更多的功能，包括數(shù)據(jù)保密功能和數(shù)據(jù)流保密服務(wù)，其協(xié)議頭由四個(gè)固定長(zhǎng)度的域和三個(gè)可變長(zhǎng)度域組成，采用密鑰密碼加密算法，同樣利用MAC算法進(jìn)行IP認(rèn)證。

1.2 路由器分析

路由器是一種協(xié)議相關(guān)設(shè)備，通過(guò)路由選擇來(lái)實(shí)現(xiàn)不同網(wǎng)絡(luò)的聯(lián)系。在路由器使用中，當(dāng)路由器接收到數(shù)據(jù)報(bào)文后，通過(guò)檢驗(yàn)的正確的數(shù)據(jù)包，則根據(jù)數(shù)據(jù)包報(bào)頭信息和路由表來(lái)決定路由，對(duì)報(bào)頭進(jìn)行修改將報(bào)文發(fā)送至相應(yīng)網(wǎng)段，這是路由器工作的基本原理，也是其基本功能。不過(guò)為了提升網(wǎng)絡(luò)安全水平，路由器逐漸增加了安全訪問(wèn)控制、身份驗(yàn)證等安全技術(shù)方面的支撐。常用的路由器軟件包括應(yīng)用協(xié)議模塊、安全功能模塊、路由功能模塊、系統(tǒng)配置模塊、網(wǎng)絡(luò)接口驅(qū)動(dòng)模塊、網(wǎng)絡(luò)接口模塊幾個(gè)部分。IPSec主要應(yīng)用于路由器協(xié)議棧之中。

1.3 IPSec在路由器中的實(shí)現(xiàn)

在路由器中實(shí)現(xiàn)IPSec協(xié)議，可以采用直接集成和接口連接兩種方式。直接集成是將IPSec集成在路由器OS上，將IPSec作為網(wǎng)絡(luò)層來(lái)實(shí)現(xiàn)，這就需要在路由器內(nèi)核源碼中增加IPSec支持功能，使IPSec集成到路由器內(nèi)核IP模塊中，采用這種實(shí)現(xiàn)方式IPSec是作為路由器操作系統(tǒng)的內(nèi)核部分，能有效的降低功能重構(gòu)現(xiàn)象，并提高IPSec配置的靈活性和操作性，能更容易的提供安全服務(wù)，實(shí)現(xiàn)密鑰管理、IPSec協(xié)議、網(wǎng)絡(luò)層的無(wú)縫鏈接。接口連接是單獨(dú)構(gòu)建IPSec設(shè)備，將其直接通過(guò)物理接口與路由器連接，采用這種方式，IPSec設(shè)備不進(jìn)行任何路由算法，僅只承擔(dān)數(shù)據(jù)包安全保障工作，但這種方法很容易造成功能上的重復(fù)。兩種方法各有優(yōu)缺點(diǎn)，在實(shí)際應(yīng)用中應(yīng)當(dāng)根據(jù)需要采用相應(yīng)的方法。

2 IP Filter在路由器中的應(yīng)用

2.1 IP Filter分析

IP Filter是目前軟件防火墻中的典型產(chǎn)品，具有強(qiáng)大的功能，安裝較為容易。IP Filter的功能包括過(guò)濾和路由兩個(gè)部分，其中IPf實(shí)現(xiàn)數(shù)據(jù)報(bào)的過(guò)濾，IPnat實(shí)現(xiàn)路由功能。在IPf中，利用配置文件來(lái)執(zhí)行規(guī)則，規(guī)則的執(zhí)行按照從上到下的順序執(zhí)行，但不同于其它包過(guò)濾軟件只要包符合一條規(guī)則則不再往下匹配，IPf會(huì)為包匹配整個(gè)規(guī)則集，而不論包通過(guò)與否，只是給包做一個(gè)標(biāo)記最后根據(jù)最后一條規(guī)則來(lái)決定是否通過(guò)。IPnat采用通過(guò)IP偽裝來(lái)實(shí)現(xiàn)路由功能的方法，不過(guò)與普通Nat只是改變地址不同，IPnat除了對(duì)地址進(jìn)行轉(zhuǎn)換還會(huì)對(duì)端口進(jìn)行轉(zhuǎn)換，實(shí)現(xiàn)IP地址和端口的偽裝。

2.2 IP Filter在路由器中的應(yīng)用實(shí)例

某企業(yè)財(cái)務(wù)中心擁有業(yè)務(wù)中心擁有15臺(tái)計(jì)算機(jī)，通過(guò)服務(wù)器利用IPFW共享固定IP接入Internet，服務(wù)器安裝FreeBSD做為內(nèi)網(wǎng)防火墻并提供WEB、FTP、MAI、DNS等服務(wù)，但在業(yè)務(wù)中心高峰期服務(wù)器壓力巨大，上網(wǎng)速度明顯變慢，需要將防火墻與服務(wù)器功能分開(kāi)處理，其中防火墻采用IP Filter。

本案例中，內(nèi)網(wǎng)中所有的電腦都需要通過(guò)防火墻透明訪問(wèn)互聯(lián)網(wǎng)，其中防火墻IP為192.168.0.1，內(nèi)網(wǎng)網(wǎng)段為192.168.0.0。外網(wǎng)客戶機(jī)可以透明訪問(wèn)內(nèi)網(wǎng)中的多功能服務(wù)器，使用WEB、FTP、EMAIL服務(wù)，同時(shí)內(nèi)網(wǎng)客戶機(jī)也可以訪問(wèn)內(nèi)網(wǎng)多功能服務(wù)器。因此，必須人工配置IP Filter內(nèi)核中的IPf規(guī)則，讓所有數(shù)據(jù)報(bào)均可自由進(jìn)入防火墻。配置命令如下：

#cat<ipf.conf

>pass in all

>pass out all

>end

#ipf –f ipf.conf

#sysctl –w net.inet.ip.forwarding =1

通過(guò)配置，即可使所有數(shù)據(jù)報(bào)均可自由進(jìn)出防火墻。但還需要實(shí)現(xiàn)數(shù)據(jù)報(bào)文轉(zhuǎn)發(fā)的路由功能，這就需要在IPnat中進(jìn)行配置。

首先利用MAP命令共享IP地址，配置如下：

Map rl1 192.168.0.0-> 202.124.58.112/32 portmap tcp/udp 10000：39999

Map rl1 192.168.0.0->202.124.58.112/32

通過(guò)配置，即完成了所有IP內(nèi)網(wǎng)網(wǎng)段IP地址與202.124.58.112的單向映射。為了使外網(wǎng)客戶機(jī)能訪問(wèn)到內(nèi)網(wǎng)中的多功能服務(wù)器，還應(yīng)當(dāng)進(jìn)行如下配置：

Rdl rl1 202.124.58.112 port 80 -> 192.168.0.248 port 80

Rdl rl1 202.124.58.112 port 21 ->192.168.0.252 port 21

Rdl rl1 202.124.58.112 port 25 ->192.168.0.252 port 25

通過(guò)rdl配置，使防火墻接收的數(shù)據(jù)報(bào)改變目的地址轉(zhuǎn)發(fā)至另外的主機(jī)上，為外網(wǎng)客戶機(jī)提供WEB、FTP、Email服務(wù)。

參考文獻(xiàn)：

[1]王利，徐明偉，徐恪.IPSec和IP Filter在路由器中部署策略的研究[J].計(jì)算機(jī)研究與發(fā)展，2006（03）.

[2]王燕，李華等.基于Petri網(wǎng)的移動(dòng)IPSec快速切換的建模與分析[J].計(jì)算機(jī)研究與發(fā)展，2012（10）.

[3]姜穎，苗長(zhǎng)云.基于IPSec和L2TP的訪問(wèn)型VPN解決方案研究[J].電腦知識(shí)與技術(shù)，2009（11）.

作者單位：長(zhǎng)慶鉆井總公司，西安 710018