基于流過濾技術的IPv6防火墻設計與分析

1 引言

　　“流過濾”技術融合了包過濾和應用代理安全性和優(yōu)點，克服了包過濾和應用代理的諸多缺陷，代表了一種全新的防火墻技術結構。在大家紛紛開始關注應用層安全的今天，“流過濾”技術架構更加顯示了其前瞻性和先進性。經過近幾年的不斷完善和實際使用中的磨合，新產品的“流過濾”引擎已經相當成熟和完善，在性能和穩(wěn)定性方面得到了大幅度的提升，使其能夠滿足關鍵業(yè)務領域的長期穩(wěn)定運行的要求。但這都是針對IPv4防火墻的，隨著IPv6網絡[1]的普及，對基于流過濾技術的IPv6防火墻設計和分析則是一個新的研究熱點。

　　2 流過濾技術研究

　　“流過濾”技術[2]是以狀態(tài)檢測包過濾的形態(tài)實現對應用層保護的一種防火墻過濾技術，基本原理是在狀態(tài)檢測包過濾的基礎上，針對具體應用層協(xié)議采用專門設計的TCP/IP協(xié)議棧實現對鏈路層數據流在應用層重組并在此基礎上進行過濾，以包過濾的形態(tài)提供應用層保護能力，使得規(guī)則匹配在防火墻內部由數據鏈路層直達應用層。

　　2.1 流過濾處理策略

　　在流過濾報文處理策略中，要對不同報文區(qū)別對待，一部分類型的報文使用流過濾技術，其它類型的報文使用包過濾技術，比如說ARP報文、UDP報文、非用來傳輸數據的TCP報文都使用包過濾技術，這些報文可根據MAC首部、IP首部、TCP首部進行判斷。但判斷用來傳輸數據的TCP報文中哪些使用流過濾技術哪些使用包過濾技術的判定依據是TCP報文中的首部端口號、某些標志字段及應用層協(xié)議首部某些字段。使用流過濾技術的報文稱為關鍵報文，而其它的報文統(tǒng)稱為非關鍵報文。

　　2.2 流過濾的處理步驟

　　當對關鍵報文應用流過濾技術處理時，流過濾技術邏輯上斷開數據發(fā)送端與數據接受端之間的直接網絡連接，即發(fā)送端與接受端之間在傳輸數據之前建立的網絡連接仍然存在，但發(fā)送端與接受端之間的數據傳輸必須通過使用流過濾技術的防火墻中轉。如圖1所示。 　　

　　圖1 防火墻利用流過濾技術對關鍵報文進行處理的過程，按照時間先后順序可分為三個步驟：

　?。?）對發(fā)送端發(fā)送應答報文，并將同一會話中的全部關鍵報文在應用層數據重組。

　　（2）按照流過濾規(guī)則對重組后的完整數據進行合法性檢查，并做相應處理。

　　（3）對通過合法性檢查的數據發(fā)送給接受端，并處理接受端發(fā)出的應答報文。

　　2.3 流過濾實現要點

　　（1）報文分類：首先利用報文信息判斷第一個報文是否為關鍵報文，若是，記錄下IPv6基本報頭的流標識字段值。對于收到的第二個報文，先與第一個比較流標識字段值，若相等，則說明它們屬于同一個會話，第二個報文也為關鍵報文；否則再利用報文信息判斷是否為關鍵報文，若是，記錄下流標識字段值。

　　（2）發(fā)送應答報文：關鍵在于應答報文中IP首部標識字段、TCP首部確認序號及IP首部、TCP首部校驗和的計算。

　?。?）判斷同一會話關鍵報文是否傳輸完畢：在同一會話中收到TCP首部FIN標志位為1的報文，即可確定傳送傳輸完畢。

　　（4）重組關鍵報文：通過報文中TCP首部序號字段的值及應用數據的長度發(fā)現重復報文，并根據后發(fā)送報文的TCP首部序字段的值等于先發(fā)送報文TCP首部序號值加上應用層數據長度加1這條規(guī)則，排列好同一會話的所有報文。

　?。?）發(fā)送合法數據：需要發(fā)送數據時把原始報文按順序發(fā)送給接受端。

　　3 IPv6防火墻系統(tǒng)的設計

　　3.1 體系結構

　　在IPv6網絡通信中，數據流是以密文的形式在網絡中傳輸，IPv6報文都是加密的，防火墻無法獲得相關信息進行過濾，要么全部阻攔數據包則網絡將不能進行通信，要么全部放行則容易受到攻擊。為解決這一問題，本文將采用屏蔽子網防火墻系統(tǒng)結構[4]，在此系統(tǒng)中的堡壘主機上實現流過濾技術。如圖2所示。

　　圖2 IPV6防火墻體系結構圖

　　該系統(tǒng)層次結構示意圖如圖3所示。

　　圖3 IPv6防火墻系統(tǒng)層次結構示意圖