混合網(wǎng)絡(luò)下IPSec與現(xiàn)有網(wǎng)絡(luò)設(shè)備協(xié)同工作的研究.pdf

1、IPSec、NAT、NAT-PT和防火墻在特定的應(yīng)用領(lǐng)域都是不可缺少的。IPSec保障了IP包在傳輸過(guò)程中的安全性，能夠?yàn)镮P包提供數(shù)據(jù)源認(rèn)證、完整性保護(hù)、加密性和抗重放攻擊等安全服務(wù)；NAT極大地緩解了IPv4地址嚴(yán)重不足的壓力，能夠使擁有一個(gè)或少量公網(wǎng)IPv4地址的單位充分地享用互聯(lián)網(wǎng)資源；NAT-PT解決了純IPv4主機(jī)與純IPv6主機(jī)之間不能互通的問(wèn)題；防火墻作為內(nèi)、外網(wǎng)的隔離工具，可以有效地保障內(nèi)部網(wǎng)絡(luò)的安全性。
　　經(jīng)

2、IPSec保護(hù)的IP包穿越NAT、NAT-PT和防火墻時(shí)，不可避免的產(chǎn)生IPSec與NAT、IPSec與NAT-PT和IPSec與防火墻共存的情景。但是，它們共存時(shí)卻存在一些根本性的矛盾：IPSec的基本思想是防止中間節(jié)點(diǎn)對(duì)IP包進(jìn)行偽造、篡改和竊聽(tīng)；NAT和NAT-PT卻要轉(zhuǎn)換IP包的IP地址或端口；防火墻卻要讀取IP包的IP地址和端口等信息。
　　在IPSec與NAT的一種協(xié)同工作方案即UDP頭封裝方案的基礎(chǔ)上，本論文通過(guò)擴(kuò)展

3、NAT-D載荷和ISAKMP頭，并在IP頭和AH/ESP頭之間插入U(xiǎn)DP頭和“非 IKE標(biāo)識(shí)”，分別在第三章和第四章提出了改進(jìn)的UDP頭封裝和UDP_NAT_PT封裝兩類(lèi)協(xié)同工作方案，前者用來(lái)解決IPSec與NAT不能協(xié)同工作的問(wèn)題，后者用來(lái)解決IPSec與NAT-PT不能協(xié)同工作的問(wèn)題。另外，通過(guò)在IP頭和AH/ESP頭之間插入U(xiǎn)DP頭和“非 IKE標(biāo)識(shí)”，本論文還提出了UDP_Firewall封裝方案，它用來(lái)解決IPSec與防火墻不

4、能協(xié)同工作的問(wèn)題。
　　為了真實(shí)地貼近網(wǎng)絡(luò)的現(xiàn)實(shí)狀況，本論文還深入地研究了IPSec與 NAT和NAT-PT、IPSec與NAT和防火墻、IPSec與NAT-PT和防火墻三方協(xié)同工作的可能性。結(jié)果發(fā)現(xiàn)在前面幾章的基礎(chǔ)上，上述三對(duì)組合是完全能夠協(xié)同工作的。
　　由于UDP_NAT_PT封裝和UDP_Firewall封裝兩類(lèi)協(xié)同工作方案都是在改進(jìn)的UDP頭封裝方案的基礎(chǔ)上提出的，因此本論文只在第七章對(duì)改進(jìn)的UDP頭封裝方案加以實(shí)