<meter id="pryje"><nav id="pryje"><delect id="pryje"></delect></nav></meter>

<label id="pryje"></label>

新聞中心

EEPW首頁 > 工控自動化 > 設計應用 > IPv6防火墻設計技術介紹

IPv6防火墻設計技術介紹

作者：時間：2011-12-24 來源：網(wǎng)絡

加入技術交流群
- 掃碼加入
  和技術大咖面對面交流
  海量資料庫查詢

收藏

1 引言

本文引用地址：http://www.ex-cimer.com/article/161256.htm

　　“流過濾”技術融合了包過濾和應用代理安全性和優(yōu)點，克服了包過濾和應用代理的諸多缺陷，代表了一種全新的防火墻技術結構。在大家紛紛開始關注應用層安全的今天，“流過濾”技術架構更加顯示了其前瞻性和先進性。經(jīng)過近幾年的不斷完善和實際使用中的磨合，新產(chǎn)品的“流過濾”引擎已經(jīng)相當成熟和完善，在性能和穩(wěn)定性方面得到了大幅度的提升，使其能夠滿足關鍵業(yè)務領域的長期穩(wěn)定運行的要求。但這都是針對IPv4防火墻的，隨著IPv6網(wǎng)絡[1]的普及，對基于流過濾技術的IPv6防火墻設計和分析則是一個新的研究熱點。

　　2 流過濾技術研究

　　“流過濾”技術[2]是以狀態(tài)檢測包過濾的形態(tài)實現(xiàn)對應用層保護的一種防火墻過濾技術，基本原理是在狀態(tài)檢測包過濾的基礎上，針對具體應用層協(xié)議采用專門設計的TCP/IP協(xié)議棧實現(xiàn)對鏈路層數(shù)據(jù)流在應用層重組并在此基礎上進行過濾，以包過濾的形態(tài)提供應用層保護能力，使得規(guī)則匹配在防火墻內(nèi)部由數(shù)據(jù)鏈路層直達應用層。

　　2.1 流過濾處理策略

　　在流過濾報文處理策略中，要對不同報文區(qū)別對待，一部分類型的報文使用流過濾技術，其它類型的報文使用包過濾技術，比如說ARP報文、UDP報文、非用來傳輸數(shù)據(jù)的TCP報文都使用包過濾技術，這些報文可根據(jù)MAC首部、IP首部、TCP首部進行判斷。但判斷用來傳輸數(shù)據(jù)的TCP報文中哪些使用流過濾技術哪些使用包過濾技術的判定依據(jù)是TCP報文中的首部端口號、某些標志字段及應用層協(xié)議首部某些字段。使用流過濾技術的報文稱為關鍵報文，而其它的報文統(tǒng)稱為非關鍵報文。

　　2.2 流過濾的處理步驟

　　當對關鍵報文應用流過濾技術處理時，流過濾技術邏輯上斷開數(shù)據(jù)發(fā)送端與數(shù)據(jù)接受端之間的直接網(wǎng)絡連接，即發(fā)送端與接受端之間在傳輸數(shù)據(jù)之前建立的網(wǎng)絡連接仍然存在，但發(fā)送端與接受端之間的數(shù)據(jù)傳輸必須通過使用流過濾技術的防火墻中轉(zhuǎn)。如圖1所示。　　

使用流技術時接收端與發(fā)送端傳輸關鍵數(shù)據(jù)關系

　　圖1 防火墻利用流過濾技術對關鍵報文進行處理的過程，按照時間先后順序可分為三個步驟：

　?。?）對發(fā)送端發(fā)送應答報文，并將同一會話中的全部關鍵報文在應用層數(shù)據(jù)重組。

　?。?）按照流過濾規(guī)則對重組后的完整數(shù)據(jù)進行合法性檢查，并做相應處理。

　?。?）對通過合法性檢查的數(shù)據(jù)發(fā)送給接受端，并處理接受端發(fā)出的應答報文。

　　2.3 流過濾實現(xiàn)要點

　?。?）報文分類：首先利用報文信息判斷第一個報文是否為關鍵報文，若是，記錄下IPv6基本報頭的流標識字段值。對于收到的第二個報文，先與第一個比較流標識字段值，若相等，則說明它們屬于同一個會話，第二個報文也為關鍵報文；否則再利用報文信息判斷是否為關鍵報文，若是，記錄下流標識字段值。

　　（2）發(fā)送應答報文：關鍵在于應答報文中IP首部標識字段、TCP首部確認序號及IP首部、TCP首部校驗和的計算。

　?。?）判斷同一會話關鍵報文是否傳輸完畢：在同一會話中收到TCP首部FIN標志位為1的報文，即可確定傳送傳輸完畢。

　?。?）重組關鍵報文：通過報文中TCP首部序號字段的值及應用數(shù)據(jù)的長度發(fā)現(xiàn)重復報文，并根據(jù)后發(fā)送報文的TCP首部序字段的值等于先發(fā)送報文TCP首部序號值加上應用層數(shù)據(jù)長度加1這條規(guī)則，排列好同一會話的所有報文。

　?。?）發(fā)送合法數(shù)據(jù)：需要發(fā)送數(shù)據(jù)時把原始報文按順序發(fā)送給接受端。

　　3 IPv6防火墻系統(tǒng)的設計

　　3.1 體系結構

　　在IPv6網(wǎng)絡通信中，數(shù)據(jù)流是以密文的形式在網(wǎng)絡中傳輸，IPv6報文都是加密的，防火墻無法獲得相關信息進行過濾，要么全部阻攔數(shù)據(jù)包則網(wǎng)絡將不能進行通信，要么全部放行則容易受到攻擊。為解決這一問題，本文將采用屏蔽子網(wǎng)防火墻系統(tǒng)結構[4]，在此系統(tǒng)中的堡壘主機上實現(xiàn)流過濾技術。如圖2所示。

IPV6防火墻體系結構圖

　　圖2 IPV6防火墻體系結構圖

　　該系統(tǒng)層次結構示意圖如圖3所示。

IPv6防火墻系統(tǒng)層次結構示意圖

　　圖3 IPv6防火墻系統(tǒng)層次結構示意圖

上一頁 1 2 下一頁

<a target='_blank'><img src='https://ad.eepw.com.cn/www/delivery/avw.php?zoneid=114&cb=INSERT_RANDOM_NUMBER_HERE&n=a7a83b30' border='0' alt='' /></a>
<a target='_blank'><img src='https://ad.eepw.com.cn/www/delivery/avw.php?zoneid=115&cb=INSERT_RANDOM_NUMBER_HERE&n=a3d98779' border='0' alt='' /></a>
<a target='_blank'><img src='https://ad.eepw.com.cn/www/delivery/avw.php?zoneid=116&cb=INSERT_RANDOM_NUMBER_HERE&n=abca108c' border='0' alt='' /></a>
<a target='_blank'><img src='https://ad.eepw.com.cn/www/delivery/avw.php?zoneid=117&cb=INSERT_RANDOM_NUMBER_HERE&n=a1775170' border='0' alt='' /></a>
<a target='_blank'><img src='https://ad.eepw.com.cn/www/delivery/avw.php?zoneid=118&cb=INSERT_RANDOM_NUMBER_HERE&n=a449048b' border='0' alt='' /></a>

關鍵詞：技術介紹分析設計 防火墻 IPv6

評論

相關推薦

8檔位恒流電流設計

設計方案檔位恒流電流設計 | 2009-07-06

我國開通全球首條1.2T互聯(lián)網(wǎng)主干通路超高速全部國產(chǎn)

互聯(lián)網(wǎng) 路由器 IPv6 | 2023-11-16

仿蚯蚓機器人蠕動裝置驅(qū)動電路的設計

資源下載蚯蚓機器人蠕動裝置驅(qū)動電路設計 | 2007-12-25

用點亮LED舉例，說明嵌入式軟件分層設計的思想

嵌入式 LED 軟件設計 | 2024-02-29

微軟嵌入式技術教育大會專訪實錄(老站轉(zhuǎn))

amine | 2002-05-16

嵌入式Linux防火墻產(chǎn)品設計下

視頻嵌入式 Linux 防火墻 IPtables | 2009-10-23

PCB設計的EMC考慮

EDA/PCB PCB EMC 設計 | 2024-05-31

嵌入式Linux防火墻產(chǎn)品設計上

視頻嵌入式 Linux 防火墻 Netfilter | 2009-10-23

視頻分析與視頻編碼

視頻視頻分析編碼 AVS H.264 | 2012-11-01

VxWork介紹及編程

jackwang | 2002-05-15

數(shù)字功放設計

資源下載功放數(shù)字功放設計 | 2007-12-24

數(shù)字搶答器設計

設計方案數(shù)字搶答設計 | 2009-07-06

集成計數(shù)器功能分析及應用

設計方案集成計數(shù)器功能分析應用 | 2009-07-06

SmartMesh IP 無線傳感器網(wǎng)絡入門套件

視頻 ADI Linear SmartMesh IP IPv6 | 2014-03-25

MOS管驅(qū)動電路設計，如何讓MOS管快速開啟和關閉？

MOS管驅(qū)動電路設計 | 2023-04-18

一種數(shù)字接收機的設計

資源下載接收機數(shù)字接收機設計 | 2007-12-22

仿真器概念及實現(xiàn)技術

jackwang | 2002-05-14

CNTTR通信電源勘察、設計培訓.rar

資源下載 CNTTR 通信電源勘察、設計 | 2007-12-16

我國移動網(wǎng)絡 IPv6 流量首次突破 50%，超越 IPv4 流量

手機與無線通信 IPv6 IPv4 移動網(wǎng)絡 | 2023-04-03

Linux內(nèi)核源代碼的閱讀和工具介紹(aqian轉(zhuǎn))

amine | 2002-05-16

嵌入式Linux防火墻產(chǎn)品設計中

視頻嵌入式 Linux 防火墻 IPtables | 2009-10-23

消費總線電力線接口電路的設計

資源下載消費總線電力線接口電路設計 | 2007-12-25

微軟2002嵌入式技術教育大會情況（4月11-12）北京(老站轉(zhuǎn))

amine | 2002-05-16

節(jié)能燈功率管失效機理分析

設計方案節(jié)能燈功率失效機理分析 | 2009-07-06

單級高功率因數(shù)調(diào)光式熒光燈電子鎮(zhèn)流器設計

設計方案單級高功率因數(shù) 調(diào)光熒光燈電子鎮(zhèn)流器設計 | 2009-07-06

在不影響系統(tǒng)性能的情況下延長電池壽命的 3 種低 IQ 技術

電源與新能源電池壽命低 IQ 技術德州儀器 | 2023-12-20

MOS管驅(qū)動電路設計

MOS管驅(qū)動電路設計 | 2023-09-30

西門子推出 Solido IP 驗證套件，為下一代 IC 設計提供端到端的芯片質(zhì)量保證

EDA/PCB 西門子 Solido IP IC設計 IC 設計 | 2024-05-23

Microchip發(fā)布TimeProvider 4100主時鐘V2.4版固件，采用嵌入式 BlueSky?防火墻技術以檢測安全威脅

網(wǎng)絡與存儲 Microchip TimeProvider 主時鐘 BlueSky 防火墻 | 2024-05-23

晶圓廠貨源多元布局，代工報價面臨壓力

EDA/PCB 晶圓代工 IC 設計 | 2023-03-13

焦點

推薦視頻

技術專區(qū)

關閉

看屁屁www成人影院,亚洲人妻成人图片,亚洲精品成人午夜在线,日韩在线欧美成人 (function(){ var bp = document.createElement('script'); var curProtocol = window.location.protocol.split(':')[0]; if (curProtocol === 'https') { bp.src = 'https://zz.bdstatic.com/linksubmit/push.js'; } else { bp.src = 'http://push.zhanzhang.baidu.com/push.js'; } var s = document.getElementsByTagName("script")[0]; s.parentNode.insertBefore(bp, s); })();