论文部分内容阅读
计算机网络安全主要有两个方面的问题:(1)如何保证在网络上传输的信息私有性,防止被非法窃取、篡改、伪造。(2)如何限制网络上用户(或程序)的访问权限,防止非法用户(或程序)的侵入。现阶段解决第一个问题的最好办法是使用VPN(虚拟专用网)技术,而解决第二个问题普遍采用的方法则是防火墙技术。防火墙考虑的是阻止未经授权的传输进入或离开专网,而一般不考虑传输离开专网之后的安全问题。VPN 技术是指采用隧道技术以及加密、身份认证等方法,在公众网络上构建专用网络的技术,数据通过安全的"加密管道"在公众网络中传播,保证离开专网后的传输是安全的。VPN 和防火墙都是安全技术,它们的功能相互交叉,因此在同一个设备中集成VPN 功能和防火墙功能已经变成了一种趋势。本文研究的主要内容是防火墙的工作机制、过滤技术和VPN 的IPSEC 协议。根据防火墙和VPN 发展趋势,针对防火墙不能对网络传输进行保护的缺陷,设计出一种防火墙与VPN 相结合的防火墙改进策略。改进策略的特点是:(1)使用驱动程序级的HOOK 技术截获封包,在网络层进行"行为"上的有效结合。利用现有的VPN 和防火墙技术,萃取在VPN 中的包结构变化的思想进行数据包的结构重构(鉴于防火墙应用的对象是普通用户,所以采用VPN 中的ESP 传输模式),融入完善的加密措施,并与网络层包过滤型防火墙相结合,对防火墙加密认证机制进行了研究和部分实现。(2)建立防火墙过滤规则与VPN 的安全联盟、安全策略数据库的无缝连接,进行"思想"上的结合。本文所研究的防火墙吸取了状态连接技术的思想,建立自己的过滤规则策略库,使得防火墙能够在满足自己防卫安全的同时,与SPD(安全策略数据库),SAD(安全联盟数据库)进行连接,从而使得进出主机的数据包得到较高质量的加密和认证等服务。经过该策略改进后的防火墙,不但能够保护计算机不受非法用户的攻击,也能够保证数据在网络上传输的安全。改进后的防火墙摒弃了一些适用于大型网关的复杂策略管理,专注于VPN 的认证和加密两大功能,使得本文所研究的防火墙具有很好的易用性。由于防火墙不能够保护网络上传输的数据,本文通过融入VPN 中的加密认证方法对防火墙进行改进,使得防火墙这种网络安全设备具有更加完备的安全功能。